一种勒索者病毒的检测方法及系统与流程

本发明涉及信息安全技术领域，尤其涉及一种勒索者病毒的检测方法及系统。

背景技术：

勒索软件是近两年比较流行的病毒，尤其是在2016年我国勒索软件成爆发式增长。勒索软件一旦感染系统，它会加密电脑磁盘的文档文件、图片文件、文本文件等，加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金后才会给予解密的方式。勒索软件作者会使用非常复杂的随机非对称加密手段加密用户数据，只有恶意代码作者能对其解密。在某种程度上就算用户支付赎金给恶意代码作者，也可能无法解密数据，这对于拥有重要资源的企业和部门是一个灾难性的事件，比如：医疗部门、银行、政府部门一旦遭受勒索软件攻击，就会使各业务系统瘫痪，损失不可估计。

目前主流杀毒软件都有文件防护功能，可以保证文件不被恶意篡改，但是这种做法可能同时影响正常软件对于文件的操作，即使通过白名单机制可以保证放行一部分软件的正常访问，但是不能保证所有安全程序对文件的操作。同时，白名单技术也不能保证文件不被恶意程序篡改，因此对于勒索者并不适用，因为目前很多勒索者病毒是通过注入白名单进程来释放攻击的，如explorer或svchost进程。

技术实现要素：

针对上述技术问题，本发明所述的技术方案通过感知文件的变化范围来判定是否存在疑似勒索者病毒，进而提升对勒索者病毒的检出率，并同时降低误报。

本发明采用如下方法来实现，包括：

若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；

对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；

若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。

进一步地，在判定为疑似勒索者病毒之后，还包括：将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。

更进一步地，在判定为疑似勒索者病毒之后，还包括：

若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；

若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。

上述方法中，在判定为疑似勒索者病毒之后，还包括：删除被加密的文件并将备份的文件恢复到原来位置。

本发明可以采用如下系统来实现，包括：

文档备份模块，用于若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；

加密判定模块，用于对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；

勒索判定模块，用于若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。

进一步地，还包括：恶意特征记录模块，用于将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。

更进一步地，还包括：恶意域名记录模块，用于若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；

若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。

上述系统中，还包括：文档恢复模块，用于删除被加密的文件并将备份的文件恢复到原来位置。

综上，本发明给出一种勒索者病毒的检测方法及系统，本发明若发现存在修改文件的进程，则首先判断是否是针对文件的加密操作；若是则继续判断该进程所加密的文件中，具备相同扩展名的文件占所有文件的比例是否超过预设值，若是则继续判断这些具备相同扩展名的文件的文件名是否长度一致，并同时存在部分相同字符串，若是则判定为疑似勒索者病毒。

有益效果为：本发明所述技术方案通过监控文件是否被批量加密，被加密后的文件的扩展名和文件名的形态是否满足判定条件，进而准确判定是否是勒索者病毒。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种勒索者病毒的检测方法实施例流程图；

图2为加密前的文件的字符情况；

图3为加密后的文件的字符情况；

图4为本发明提供的一种勒索者病毒的检测系统实施例结构图。

具体实施方式

本发明给出了一种勒索者病毒的检测方法及系统实施例，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

本发明首先提供了一种勒索者病毒的检测方法实施例，如图1所示，包括：

S101：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程。目的是为后续文件的恢复操作做准备，进而降低用户损失。

S102：对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；

其中，经过观察加密数据中常见字符在加密前后的规律变化，发现熵值在加密前后将发生很大的变化，例如：未加密的文件中存在较多为0的字符串，如图2所示；但是加密之后的文件中则基本不存在为0的字符串，如图3所示；由此可知，通过将修改后的文件的熵值与备份的修改前的文件的熵值进行对比，若差距较大，则判定当前进程对文件进行了加密操作。

更优选地，由于压缩文件或者电影文件的字符密度很高，可能会出现高熵值的情况，并且如果文件整体参与计算将拖慢检测速度，建议选择文件的头部预设数量的字节进行熵值的计算和对比，进而在保证准确率的前提下，进一步提升检测效率。

S103：若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续执行S104，否则停止监控；

其中，勒索者病毒通常会批量修改文件，将其修改为系统无法识别的扩展名，因此，若被加密的文件中存在一定比例的相同的扩展名，则一定程度上说明这些文件是被勒索者恶意操作过的。

S104：判断具备相同扩展名的文件的文件名是否长度一致，若是则继续执行S105，否则停止监控；

S105：判定文件名中是否存在部分相同字符串，若是则判定为疑似勒索者病毒并继续执行S106，否则停止监控；

勒索者病毒在感染用户文件后，会批量修改文件名并且修改后缀名，而正常软件并不会出现该情况。因此通过监控文件的文件名和扩展名的形态变化来判定是否是勒索者所为。

其中，之所以判断具备相同扩展名的文件数量与当前文件夹内文件的数量的比值是否超过预设值，是因为勒索者通常会在文件夹内添加其他扩展名的文件，例如：html文件或者txt文件。勒索者病毒作者会在文件夹内放置html、txt或者其他非加密形式的文件的目的是通知用户文档被加密，需要支付赎金来恢复文件，仅此文件夹通常会存在与其他文件扩展名不同的能够被打开的文件。

S106：将相同扩展名、文件名中的相同字符串部分存入特征库；目的用于后续进一步分析判定，并方便后续对该勒索者的检测。

更优选地，若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；

若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。

将上述相同扩展名、文件名中的相同字符串和收集到的URL链接存入特征库，一旦其他人中了此类勒索者病毒，则可以通过入库的特征码即刻检出，将损失降至最低，为产品库提供支撑。

S107：删除被加密的文件并将备份的文件恢复到原来位置。该步骤的目的是降低用户损失。

上述方法实施例中，所述文件包括但不限于：文档文件、文本文件或者图片文件。

本发明其次提供了一种勒索者病毒的检测系统实施例，如图4所示，包括：

文档备份模块401，用于若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；其中，将文件换个区域备份的目的是方便后续读取，同时防止被勒索者继续加密。

加密判定模块402，用于对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；其中，若判定存在加密操作，则发出加密警告，或者请求用户协助判定是否需要拦截该进程，否则停止监控。

勒索判定模块403，用于若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。

优选地，还包括：恶意特征记录模块，用于将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。

更优选地，还包括：恶意域名记录模块，用于若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；

若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。

上述系统实施例中，还包括：文档恢复模块，用于删除被加密的文件并将备份的文件恢复到原来位置。其中，所述文档恢复模块是用于确定勒索者病毒之后的恢复处理，将用户的损失降至最低，将被恶意加密的文件删除，将备份到可读区域的文件恢复至原来位置。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

如上所述，本发明提供了多个实施例，通过监控系统进程，对修改文件的进程执行挂起操作后备份相关文件，之后放行该进程；判断所述修改操作是否是加密操作，若是则进一步判断被加密文件的文件形态是否符合勒索者的特征，包括：绝大多数扩展名相同，文件名长度一致并存在部分相同字符串，若符合上述文件形态，则判定为疑似勒索者病毒。其较比传统的勒索者病毒检测方法更准确，同时不会妨碍正常软件对文件的操作行为，并通过备份修改前的文件来降低用户的损失。

以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。