一种针对恶意加密软件的防护方法及装置与流程

本发明涉及网络安全技术领域，尤其涉及一种针对恶意加密软件的防护方法及装置。

背景技术：

勒索软件，也称敲诈者病毒是近年数量增加最快的网络安全威胁之一，是不法分子通过锁屏、加密文件等方式劫持用户资产或资源以此向用户敲诈钱财的一种恶意软件。不法分子往往通过网络钓鱼的方式，向受害电脑植入勒索软件来加密硬盘上的文件甚至所有数据，随后向受害企业或个人要求数额不等的赎金(如比特币等)后才予以解密。当用户受到勒索软件的感染，通常会有如下的表现形式：

1、通过设置电脑开机密码、登录密码等对电脑锁屏，影响用户系统的正常使用。

2、通过威胁恐吓用户，实施敲诈：比如FakeAV勒索软件会伪装成反病毒软件，欺骗在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。

3、加密用户用户文件和数据，要求支付赎金：最典型的是CTB-Locker家族，采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法。

4、篡改磁盘MBR(Master Boot Record，硬盘的主引导记录)，制造计算机蓝屏重启，之后加密电脑整个磁盘敲诈赎金。

从最近几年国内流行的勒索软件的传播过程看，用户需要开启杀毒功能并及时更新以确保对勒索软件的有效识别，但是对于最新的勒索软件以及变种，在没能有效识别出应用程序的安全性时，也很难避免勒索软件的攻击。

技术实现要素：

有鉴于此，本发明提供一种针对恶意加密软件的防护方法及装置，通过对访问的网路文件进行采样和标记信息来源，并对写入本地存储的文件进行匹配以确定该文件的信息来源。

依据本发明的一个方面，提出了一种针对恶意加密软件的防护方法，该方法包括：

监控未知应用程序的执行过程，判断所述未知应用程序是否存在修改指定的数据文件的操作，所述未知应用程序是不能确定安全性的应用程序；

若存在，则在所述未知应用程序修改所述数据文件之前对所述数据文件进行备份；

判断所述未知应用程序修改所述数据文件的内容中是否存在特征数据，所述特征数据为恶意加密软件的特征数据；

若存在，则终止所述未知应用程序的执行过程，利用所述数据文件的备份文件替换被修改的数据文件。

优选的，所述终止所述未知应用程序的执行过程，利用所述数据文件的备份文件替换被修改的数据文件包括：

发送报警信息，所述报警信息用于提示所述未知应用程序疑似恶意加密软件，获取用户的操作指令；

当所述操作指令为终止执行指令时，结束所述未知应用程序的进程；

利用所述数据文件的备份文件替换被修改的数据文件。

优选的，所述监控未知应用程序的执行过程，判断所述未知应用程序是否存在修改指定的数据文件的操作包括：

当应用程序启动执行时，识别所述应用程序的安全性；

若无法确定所述应用程序的安全性，则确定所述应用程序为未知应用程序；

监控所述未知应用程序是否加载指定的数据文件。

优选的，在所述未知应用程序修改所述数据文件之前对所述数据文件进行备份包括：

当所述未知应用程序存在修改所述数据文件的操作时，输出提示信息，以判断是否继续执行修改所述数据文件的操作；

若继续执行，则在修改所述数据文件之前对所述数据文件进行备份。

优选的，所述判断所述未知应用程序修改所述数据文件的内容中是否存在特征数据包括：

获取恶意加密软件的特征数据，所述特征数据包括加密格式信息、解密提示信息；

根据所述特征数据匹配所述未知应用程序修改所述数据文件的内容；

若匹配成功则确定所述未知应用程序为疑似恶意加密软件。

依据本发明的另一个方面，提出了一种针对恶意加密软件的防护装置，该装置包括：

第一判断单元，用于监控未知应用程序的执行过程，判断所述未知应用程序是否存在修改指定的数据文件的操作，所述未知应用程序是不能确定安全性的应用程序；

备份单元，用于当所述第一判断单元判断存在修改指定的数据文件的操作时，在所述未知应用程序修改所述数据文件之前对所述数据文件进行备份；

第二判断单元，用于判断所述未知应用程序修改所述数据文件的内容中是否存在特征数据，所述特征数据为恶意加密软件的特征数据；

替换单元，用于当所述第二判断单元确定修改所述数据文件的内容中存在所述特征数据时，终止所述未知应用程序的执行，利用所述备份单元复制所述数据文件的备份文件替换被修改的数据文件。

优选的，所述替换单元包括：

发送模块，用于发送报警信息，所述报警信息用于提示所述未知应用程序疑似恶意加密软件，获取用户的操作指令；

终止模块，用于当所述用户的操作指令为终止执行指令时，结束所述未知应用程序的进程；

替换模块，用于利用所述数据文件的备份文件替换被修改的数据文件。

优选的，所述第一判断单元包括：

识别模块，用于当应用程序启动执行时，识别所述应用程序的安全性；

确定模块，用于当所述识别模块无法确定所述应用程序的安全性时，确定所述应用程序为未知应用程序；

监控模块，用于监控所述确定模块确定的未知应用程序是否加载指定的数据文件。

优选的，所述备份单元包括：

输出模块，用于当所述未知应用程序存在修改所述数据文件的操作时，输出提示信息，以判断是否继续执行修改所述数据文件的操作；

备份模块，用于当所述输出模块输出的提示信息的反馈信息为继续执行修改操作时，在修改所述数据文件之前对所述数据文件进行备份。

优选的，所述第二判断单元包括：

获取模块，用于获取恶意加密软件的特征数据，所述特征数据包括加密格式信息、解密提示信息；

匹配模块，用于根据所述获取模块获取的特征数据匹配所述未知应用程序修改所述数据文件的内容；

确定模块，用于当所述匹配模块匹配成功时，确定所述未知应用程序为疑似恶意加密软件。

本发明所采用的一种针对恶意加密软件的防护方法及装置，是在未知的应用程序对本地中的文件进行读取或修改操作之前，先将该未知应用程序所要读取或修改的文件进行备份，之后允许未知应用程序对文件进行的所有操作，同时，对未知应用程序所修改的文件内容进行监控，判断所修改的内容中是否含有符合恶意加密软件的特征数据，在确定其含有特征数据时，则将该未知应用程序确定为恶意软件，终止其在本地的执行并将所修改的文件删除，使用备份文件覆盖所删除的文件。通过本发明所采用的防护方法及装置，可以对疑似恶意加密的勒索软件在执行过程中所携带的特征数据加以判断，而对于疑似的勒索软件所修改的本地文件，通过预先的备份也可以确保本地被修改的文件能够有效修复，从而实现预防未知应用对本地的文件进行恶意加密所造成的危害与损失。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提出的一种针对恶意加密软件的防护方法流程图；

图2示出了本发明实施例提出的另一种针对恶意加密软件的防护方法流程图；

图3示出了本发明实施例提出的一种针对恶意加密软件的防护装置的组成框图；

图4示出了本发明实施例提出的另一种针对恶意加密软件的防护装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种针对恶意加密软件的防护方法，该方法主要应用于增强系统的安全性，特别是对于勒索软件的恶意攻击，其具体步骤如图1所示，包括：

101、监控未知应用程序的执行过程，判断该未知应用程序是否存在修改指定的数据文件的操作。

其中，本发明实施例中的未知应用程序是指系统无法确定该应用的安全性的程序。也就是说，应用程序在启动执行时，系统会通过安全防御软件判断该应用程序是否为安全的应用，若是，则继续执行，而当判断应用程序是木马或病毒时，则禁止该应用程序的执行。而除了以上两种情况外，当无法判断出该应用程序是安全应用或是木马或病毒程序时，则向本地用户发送提示信息，告知该应用的安全性不明，继续执行可能存在风险，同时，要求用户判断是否继续执行该应用程序，再根据用户的指示进一步的确定是否执行该应用程序。

当确定应用程序为未知应用程序时，在该未知应用程序被启动时，系统将对该程序进行实时监控，以判断该未知应用程序是否会对本地的文件进行修改操作。其中，所修改的本地文件为指定的数据文件，一般的，所指定的数据文件是指定类型的文件，例如，.doc、.gif、.exe等，由于恶意加密软件的目的是对数据文件进行加密，从而实现敲诈勒索的目的，因此，为了防止未知应用程序属于恶意加密软件，就需要对该未知应用程序的操作进行监控，特别是对本地的数据文件进行的写操作。在本发明实施例中，所指定的数据文件的类型可根据实际情况的需求进行自定义设置，这样，可以有重点的对本地中的重要类型的数据文件进行保护，从而降低系统由于监控未知应用程序所消耗的系统资源。

102、在未知应用程序修改指定的数据文件之前对该数据文件进行备份。

当步骤101中判断未知应用程序存在修改本地中指定的数据文件的操作时，将对所操作的数据文件进行备份复制操作。需要说明的是，所备份的数据文件是在未知应用程序对该数据文件进行修改操作之前进行的备份操作。

本发明实施例中，进行数据备份操作的时机是在对未知应用程序进行监控的过程中，未知应用程序读取本地中指定的数据文件时，或者是在准备向数据文件写入数据内容之前。

此外，为了确保所备份的数据文件不被该未知应用程序再次修改，在存储该备份文件时，需要将该备份文件保存至本地的安全区域中，该区域一般禁止对数据文件的读操作或写操作，或者是对备份文件进行加密处理，改变原有数据文件的文件类型。

103、判断未知应用程序修改指定的数据文件的内容中是否存在特征数据。

在完成数据文件的备份后，将继续执行并监控未知应用程序，即监控未知应用程序对指定的数据文件进行修改操作，其中，监控的主要内容是监控该修改操作在数据文件中所修改的具体内容，判断该内容中是否存在恶意加密软件所具有的特征数据。在本发明实施例中，该特征数据并不特指已知恶意加密软件所具有的特征数据，而是对于所有恶意加密软件所共有的一些特征数据，例如，对数据文件进行加密的密钥信息，或者是用于敲诈勒索的信息等。可见，本步骤是对未知应用程序进行鉴定的具体步骤，即根据未知应用程序在数据文件中所写入的内容确定其是否为恶意加密软件，当存在特征数据时，将未知应用程序确定为疑似恶意加密软件。

104、终止未知应用程序的执行过程，利用数据文件的备份文件替换被修改的数据文件。

根据步骤103的判断，当确定未知应用程序为疑似恶意加密软件时，系统将终止未知应用程序的执行，同时获取被修改的数据文件的备份文件将其替换被修改的数据文件。也就是停止疑似恶意加密软件的执行，防止其继续对其他的数据文件进行修改，同时将已修改的数据文件删除，并使用步骤102中所备份的该数据文件的备份文件保存至该文件的原地址中，使得疑似恶意加密软件对本地中的数据文件无法进行恶意加密。

此外，在终止该疑似恶意加密软件的执行后，还可以将该未知应用程序的相关信息通过安全防御软件进行上报，以使其他网络用户能够识别出该疑似恶意加密软件，减少该疑似恶意加密软件所造成的危害。

上述本发明实施例提供的一种针对恶意加密软件的防护方法，是在未知的应用程序对本地中的文件进行读取或修改操作之前，先将该未知应用程序所要读取或修改的文件进行备份，之后允许未知应用程序对文件进行的所有操作，同时，对未知应用程序所修改的文件内容进行监控，判断所修改的内容中是否含有符合恶意加密软件的特征数据，在确定其含有特征数据时，则将该未知应用程序确定为恶意软件，终止其在本地的执行并将所修改的文件删除，使用备份文件覆盖所删除的文件。通过本发明实施例所采用的防护方法及装置，可以对疑似恶意加密的勒索软件在执行过程中所携带的特征数据加以判断，而对于疑似的勒索软件所修改的本地文件，通过预先的备份也可以确保本地被修改的文件能够有效修复，从而实现预防未知应用对本地的文件进行恶意加密所造成的危害与损失。

进一步的，为了更加详细的说明上述的针对恶意加密软件的防护方法在实际应用中的具体实现，以下实施例中将针对上述实施例中的各个步骤进行详细说明，具体如图2所示，包括：

201、监控未知应用程序的执行过程，判断该未知应用程序是否存在修改指定的数据文件的操作。

本步骤是在未知应用程序启动后，对该应用程序进行实时的监控。其中，对未知应用程序的判断是在应用程序启动后，系统中的安全防御软件将获取该应用程序的相关信息，以确定该应用程序的安全性，一般的，安全防御软件中会存储有大量应用程序的安全性判断信息，包括安全的应用程序以及危险的应用程序，也就是木马或病毒软件。通过对比判断，当应用程序的相关信息无法被安全防御软件所识别时，此时，该应用程序就被确定为未知应用程序。

由于不能确定未知应用程序会对系统或本地中的数据文件造成损害。因此，不能与处理木马或病毒软件的方式一样禁止未知应用程序的执行。所以，当未知应用程序启动时，需要对其进行实时的监控，以判断该未知应用程序是否具有安全威胁。在本发明实施例中，由于针对的是恶意加密软件的防护，而恶意加密软件都是要获取本地的数据文件进行加密后来达到敲诈勒索的目的，因此，本步骤中对未知应用程序监控的主要目的是判断其是否会加载数据文件，并进一步的进行加密操作，其中，根据系统中数据文件的重要程度，可以对指定类型的数据文件进行监控。

202、在未知应用程序修改指定的数据文件之前对该数据文件进行备份。

当监控到未知应用程序准备修改指定的数据文件时，系统将提前对该数据文件进行备份。本步骤中，可以在监控到未知应用程序加载本地中指定的数据文件时，将将该数据文件进行备份，以防止未知应用程序对该数据文件进行恶意加密。

此外，在监控到未知应用程序加载或修改本地中指定的数据文件时，可以进一步的输出提示信息给用户，由用户判断是否继续执行修改该数据文件的操作。当用户选择终止该操作后，系统将停止运行该未知应用程序，而当用户选择继续执行该操作时，系统将先对该数据文件进行备份后，在执行未知应用程序修改该数据文件的操作。

203、判断未知应用程序修改指定的数据文件的内容中是否存在特征数据。

在执行该步骤之前，需要先获取恶意加密软件的特征数据，而这些特征数据是预先设置的恶意加密软件在对数据文件进行加密时所必须修改的一些数据内容的特征，包括：加密格式信息，比如加密所需的密钥信息，解密提示信息，如“想知道密码请向XXX账号汇款XXX”等类似的提示信息。

在确定特征数据后，对未知应用程序修改数据文件的内容进行监控，匹配该内容中是否存在有所获取的恶意加密软件的特征数据。当匹配成功时，就将该未知应用程序确定为疑似恶意加密软件。

204、当存在特征数据时，发送报警信息。

该步骤是在确定未知应用程序为疑似恶意加密软件后，发送报警信息以提示用户当前正在运行的未知应用程序为疑似恶意加密软件。其中，在该报警信息中，还包括有用户的操作接口，用户可以在看到该报警信息后通过操作接口来确定是否继续执行未知应用程序，若用户选择继续执行，系统将不拦截该未知应用程序，而当用户选择终止执行时，将执行步骤205。

205、根据用户的操作指令结束未知应用程序的进程，并利用数据文件的备份文件替换被修改的数据文件。

需要说明的是，由于备份文件一般会保存在本地中的安全区域中以防止被恶意加密软件感染，而本地的安全区域往往容量有限，因此，所保存的备份文件在确定未知应用程序的安全性后，将被移除出该安全区域。也就是说，当确定未知应用程序为普通应用程序时，将直接删除该备份文件，而当确定该未知应用程序为恶意加密软件时，将该提取该备份文件，并使用该备份文件替换已被修改的数据文件。

以上详细说明了针对恶意加密软件的防护方法在实际应用中的具体实现，作为实现上述方法的具体装置，本发明实施例还提供了一种针对恶意加密软件的防护装置，如图3所示，该装置包括：

第一判断单元31，用于监控未知应用程序的执行过程，判断所述未知应用程序是否存在修改指定的数据文件的操作，所述未知应用程序是不能确定安全性的应用程序；

备份单元32，用于当所述第一判断单元31判断存在修改指定的数据文件的操作时，在所述未知应用程序修改所述数据文件之前对所述数据文件进行备份；

第二判断单元33，用于判断所述未知应用程序修改所述数据文件的内容中是否存在特征数据，所述特征数据为恶意加密软件的特征数据；

替换单元34，用于当所述第二判断单元33确定修改所述数据文件的内容中存在所述特征数据时，终止所述未知应用程序的执行，利用所述备份单元32复制所述数据文件的备份文件替换被修改的数据文件。

进一步的，如图4所示，所述替换单元34包括：

发送模块341，用于发送报警信息，所述报警信息用于提示所述未知应用程序疑似恶意加密软件，获取用户的操作指令；

终止模块342，用于当所述用户的操作指令为终止执行指令时，结束所述未知应用程序的进程；

替换模块343，用于利用所述数据文件的备份文件替换被修改的数据文件。

进一步的，如图4所示，所述第一判断单元31包括：

识别模块311，用于当应用程序启动执行时，识别所述应用程序的安全性；

确定模块312，用于当所述识别模块311无法确定所述应用程序的安全性时，确定所述应用程序为未知应用程序；

监控模块313，用于监控所述确定模块312确定的未知应用程序是否加载指定的数据文件。

进一步的，如图4所示，所述备份单元32包括：

输出模块321，用于当所述未知应用程序存在修改所述数据文件的操作时，输出提示信息，以判断是否继续执行修改所述数据文件的操作；

备份模块322，用于当所述输出模块321输出的提示信息的反馈信息为继续执行修改操作时，在修改所述数据文件之前对所述数据文件进行备份。

进一步的，如图4所示，所述第二判断单元33包括：

获取模块331，用于获取恶意加密软件的特征数据，所述特征数据包括加密格式信息、解密提示信息；

匹配模块332，用于根据所述获取模块331获取的特征数据匹配所述未知应用程序修改所述数据文件的内容；

确定模块333，用于当所述匹配模块332匹配成功时，确定所述未知应用程序为疑似恶意加密软件。

综上所述，本发明实施例所提供的一种针对恶意加密软件的防护方法及装置，是在未知的应用程序对本地中的文件进行读取或修改操作之前，先将该未知应用程序所要读取或修改的文件进行备份，之后允许未知应用程序对文件进行的所有操作，同时，对未知应用程序所修改的文件内容进行监控，判断所修改的内容中是否含有符合恶意加密软件的特征数据，在确定其含有特征数据时，则将该未知应用程序确定为疑似恶意软件，同时向本地用户发送报警信息，当用户选择终止该应用程序时，结束该应用程序的进程并将所修改的文件删除，使用备份文件覆盖所删除的文件。通过本发明实施例所采用的防护方法及装置，可以对疑似恶意加密的勒索软件在执行过程中所携带的特征数据加以判断，而对于疑似的勒索软件所修改的本地文件，通过预先的备份也可以确保本地被修改的文件能够有效修复，从而实现预防未知应用对本地的文件进行恶意加密所造成的危害与损失。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述云端服务器及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述云端服务器实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的云端服务器、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的云端服务器解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何云端服务器或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内连接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的云端服务器的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。