基于文件格式监控发现勒索者病毒的方法及系统与流程

本发明涉及信息安全技术领域，尤其涉及基于文件格式监控发现勒索者病毒的方法及系统。

背景技术：

勒索者病毒是近两年来爆发的一种恶意病毒，它会加密电脑磁盘里的文档、图片等关键数据，并会告知用户在一定时间内交付赎金，由于赎金是用比特币的形式，所以很难追溯到病毒制作者，同时勒索者才用了强加密算法，很难在不知私钥的情况下进行文档的解密。目前主流杀毒软件都有文件防护功能，可以保证文件不被恶意篡改，但是这种做法同时也阻止了正常的软件对文件的访问，即使通过白名单机制可以保证一些软件的正常访问，但是不能保证没有恶意行为的程序对该文档进行访问，即使有了白名单技术，也不能保证文档一定不被改写，所以现有的文档保护机制对目前的勒索者并不适用，因为目前很多勒索者病毒是通过注入白名单进程来释放攻击的，如explorer或svchost进程。

技术实现要素：

针对上述现有技术存在的缺陷，本发明提出基于文件格式监控发现勒索者病毒的方法及系统，监控系统中的进程；发现存在对系统中现有文件进行修改的进程时，挂起相应进程；加密备份相应进程将要修改的文件，并取消加密备份文件的后缀；放行被挂起的进程，并监控相应进程及文件的状态；当相应进程完成修改操作，并释放句柄时，拦截并获取释放的句柄信息，判断相应进程是否对文件进行了修改格式的操作，若是则将相应进程写入黑名单，否则放行相应进程。

具体发明内容包括：

基于文件格式监控发现勒索者病毒的方法，包括：

监控系统中的进程；

发现存在对系统中现有文件进行修改的进程时，挂起相应进程；

加密备份相应进程将要修改的文件，并取消加密备份文件的后缀；取消后缀的文件是不能被访问或者加密的，所以可以通过取消后缀的方式来保护加密备份文件的安全性和完整性；

放行被挂起的进程，并监控相应进程及文件的状态；

当相应进程完成修改操作，并释放句柄时，拦截并获取释放的句柄信息，判断相应进程是否对文件进行了修改格式的操作，若是则将相应进程写入黑名单，否则放行相应进程。

进一步地，还包括：若所述相应进程对文件进行了修改格式的操作，则判断修改文件格式的操作是否经过用户授权，若是则放行，否则将相应进程写入黑名单。

进一步地，还包括：删除被写入黑名单中的进程修改的文件，并在加密备份的文件中确定其对应的加密备份文件，并对相应文件进行恢复。

基于文件格式监控发现勒索者病毒的系统，包括：

进程监控模块，用于监控系统中的进程，发现存在对系统中现有文件进行修改的进程时，挂起相应进程；

加密备份模块，用于加密备份相应进程将要修改的文件，并取消加密备份文件的后缀；

勒索判定模块，用于放行被挂起的进程，并监控相应进程及文件的状态，当相应进程完成修改操作，并释放句柄时，拦截并获取释放的句柄信息，判断相应进程是否对文件进行了修改格式的操作，若是则将相应进程写入黑名单，否则放行相应进程。

进一步地，所述勒索判定模块还用于：若所述相应进程对文件进行了修改格式的操作，则判断修改文件格式的操作是否经过用户授权，若是则放行，否则将相应进程写入黑名单。

进一步地，还包括文件恢复模块，具体用于：删除被写入黑名单中的进程修改的文件，并在加密备份的文件中确定其对应的加密备份文件，并对相应文件进行恢复。

本发明的有益效果是：

本发明通过监控系统进程，同时对系统中的文件修改及文件格式变化进行监控，能有效感知勒索者病毒的攻击行为，并发现勒索者病毒释放的进程；本发明在文件被修改之前对文件进行加密备份，能有效确保系统文件数据的完整性，并便于后续文件的恢复；本发明取消加密备份文件的后缀，能够有效保护加密备份文件的安全性和完整性。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于文件格式监控发现勒索者病毒的方法流程图；

图2为本发明基于文件格式监控发现勒索者病毒的系统结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了基于文件格式监控发现勒索者病毒的方法实施例，如图1所示，包括：

S101：监控系统中的进程；

S102：发现存在对系统中现有文件进行修改的进程时，挂起相应进程；

S103：加密备份相应进程将要修改的文件，并取消加密备份文件的后缀；取消后缀的文件是不能被访问或者加密的，所以可以通过取消后缀的方式来保护加密备份文件的安全性和完整性；

S104：放行被挂起的进程，并监控相应进程及文件的状态；

S105：当相应进程完成修改操作，并释放句柄时，拦截并获取释放的句柄信息；

S106：判断相应进程是否对文件进行了修改格式的操作，若是则进入S107，否则放行相应进程；

S107：将相应进程写入黑名单。

优选地，还包括：若所述相应进程对文件进行了修改格式的操作，则判断修改文件格式的操作是否经过用户授权，若是则放行，否则将相应进程写入黑名单。

优选地，还包括：删除被写入黑名单中的进程修改的文件，并在加密备份的文件中确定其对应的加密备份文件，并对相应文件进行恢复。

本发明还给出了基于文件格式监控发现勒索者病毒的系统实施例，如图2所示，包括：

进程监控模块201，用于监控系统中的进程，发现存在对系统中现有文件进行修改的进程时，挂起相应进程；

加密备份模块202，用于加密备份相应进程将要修改的文件，并取消加密备份文件的后缀；

勒索判定模块203，用于放行被挂起的进程，并监控相应进程及文件的状态，当相应进程完成修改操作，并释放句柄时，拦截并获取释放的句柄信息，判断相应进程是否对文件进行了修改格式的操作，若是则将相应进程写入黑名单，否则放行相应进程。

优选地，所述勒索判定模块203还用于：若所述相应进程对文件进行了修改格式的操作，则判断修改文件格式的操作是否经过用户授权，若是则放行，否则将相应进程写入黑名单。

优选地，还包括文件恢复模块，具体用于：删除被写入黑名单中的进程修改的文件，并在加密备份的文件中确定其对应的加密备份文件，并对相应文件进行恢复。

本说明书中方法的实施例采用递进的方式描述，对于系统的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。本发明提出基于文件格式监控发现勒索者病毒的方法及系统，监控系统中的进程；发现存在对系统中现有文件进行修改的进程时，挂起相应进程；加密备份相应进程将要修改的文件，并取消加密备份文件的后缀；放行被挂起的进程，并监控相应进程及文件的状态；当相应进程完成修改操作，并释放句柄时，拦截并获取释放的句柄信息，判断相应进程是否对文件进行了修改格式的操作，若是则将相应进程写入黑名单，否则放行相应进程。本发明通过监控系统进程，同时对系统中的文件修改及文件格式变化进行监控，能有效感知勒索者病毒的攻击行为，并发现勒索者病毒释放的进程；本发明在文件被修改之前对文件进行加密备份，能有效确保系统文件数据的完整性，并便于后续文件的恢复；本发明取消加密备份文件的后缀，能够有效保护加密备份文件的安全性和完整性。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。