对云驱动器文件夹上勒索软件攻击的补救的制作方法

勒索软件是拒绝受害人访问他们的文件并然后要求支付赎金以换取允许访问的恶意软件。例如，勒索软件可以加密受害人的文件，并然后在收到赎金后向受害人提供用于解密文件的密钥。勒索软件可以经由特洛伊木马被安装在受害人的计算机上，特洛伊木马看似是合法的程序，但实际上包含恶意软件。如果支付了赎金，但却未从受害人的计算机移除勒索软件，那么该勒索软件可以再次重复加密文件并要求支付赎金的过程。

一种众所周知的勒索软件是locky，其发布于2016年。勒索软件作为包含恶意宏的电子邮件附件到达。当用户打开该附件时，如果内容看似是乱码，则该附件请求用户启用宏，因为内容确实是乱码时会这样做。当用户启用宏时，恶意软件被下载并被执行。勒索软件加密文件，并用唯一的16个字符的字母数字名称和“locky”扩展名对这些文件进行重命名。然后指示用户访问网站以获得进一步指示。该网站要求支付价值在350美元到750美元之间的比特币。当付款完成后，解密密钥会被提供给用户，然后用户可以解密文件。

勒索软件是一个影响全世界数百万台计算机的日益严重的问题。另一众所周知的勒索软件(被称为cryptowall)估计已经收到了超过1800万美元的赎金。此外，勒索软件攻击者在2016年上半年估计已经获得了超过10亿美元的收入。

鉴于云计算的快速发展，勒索软件一直以云存储为目标也就不足为奇了。通常，用户会设置他们的计算机以便经由基于云的存储装置使被存储在他们的计算机上的文件与他们的其它设备同步。一旦文件被勒索软件加密，则与被加密文件同步的文件的所有副本也会被加密。因此，如果用户有多个设备(例如，工作台式电脑、家用台式电脑、笔记本电脑、以及智能手机)，那么每个设备和云存储装置上的文件的副本都将被加密。

一个云存储供应商意识到了这个问题并指出：如果在30天内检测到加密，则可以恢复文件的先前版本。在一些实例中，可能不能够重新生成自在前版本以来所做的更改，或者重新生成更改的成本可能远远超过赎金。一些云存储供应商可能允许用户一次只恢复一个文件，而数千个文件可能已经被加密了，这使得恢复至少非常繁琐并且可能是不可行的。此外，一些用户可能不会检测到加密直到太晚以至于无法检索到在前版本。

技术实现要素：

提供了一种用于通过云服务检测对客户端设备的勒索软件攻击的系统。该系统监测对由云服务存储的客户端设备的文件的更改。该系统评估对文件的更改是否看似是恶意的，因为更改可能是由勒索软件导致的。当对文件的更改看似是恶意的时，该系统执行对策，以防止客户端设备的文件与其它客户端设备的同步以及与云服务的同步，来防止来自正遭受勒索软件攻击的客户端设备的文件的传播。

附图说明

图1是图示了一些实施例中的arc系统的总体处理的流程图。

图2是图示了在一些实施例中的arc系统内的信息流的框图。

图3是图示了在一些实施例中的arc系统的组件以及与arc系统进行接口连接的组件的示例布置的框图。

图4是图示了在一些实施例中的arc系统的文件事件处理器组件的处理的流程图。

图5是图示了在一些实施例中的arc系统的实时勒索软件检测器组件的处理的流程图。

图6是图示了在一些实施例中的arc系统的勒索软件处理器组件的处理的流程图。

图7是图示了在一些实施例中的arc系统的对策处理器组件的处理的流程图。

图8是图示了在一些实施例中的arc系统的通知用户组件的处理的流程图。

具体实施方式

提供了一种反勒索软件云服务(“arc”)系统，该系统自动检测到勒索软件已经攻击文件并自动将文件返回到受攻击前的状态。arc系统可以作为服务被提供给现有云提供商系统或被提供作为在客户端设备上执行的代理扩展器组件。当arc系统作为服务被提供给现有云提供商系统时，客户端设备可以像以前一样与云提供商系统交互，但是它被无缝地提供了勒索软件保护。当arc系统被提供作为代理扩展器组件时，该组件向在客户端设备上执行的现有云提供商代理提供附加能力。可以采用arc系统来检测并处理对文件的任何恶意更改，包括并非由勒索软件导致的恶意更改。例如，黑客可能会故意地或无辜的行动者可能会无意地破坏文件、中断文件、或以其他方式篡改用户的文件但未要求赎金。通常，术语“恶意的”可以被认为涵盖任何未经授权的更改，而不管意图。

在一些实施例中，arc系统通过使用更改通知、不断扫描文件等来监测对用户文件的更改。当检测到对文件的更改时，arc系统确定文件是否被恶意更改(例如，被删除、被加密、或者以其他方式被损坏)。为了确定文件是否已经被恶意更改，arc系统可以使用各种检测标准，诸如(a)熵变、(b)试探法、(c)用户行为的突然改变(例如，行为分析)、以及(d)蜜罐(honeypot)文件或被存储在云提供商的存储装置上的或被存储在客户端设备的存储装置上的文件上的目录的更改。当确定文件被恶意更改了时，arc系统可以通知用户或恢复到已经被保存在云存储装置中的攻击之前的版本。

在一些实施例中，代理扩展器组件作为已经在客户端设备上执行的云提供商代理的附加件在客户端设备上执行。由于代理在本地运行并且已经在监测文件更改，所以代理扩展器组件利用了这种功能并添加了查找勒索软件活动的安全检测层。代理扩展器组件可以最终指示应该采取的补救措施。例如，代理扩展器组件可以指示应该拒绝对云的文件同步。代理扩展器组件可以通过断开客户端设备与云的链接或撤消与云同步的权限来使同步被拒绝。代理扩展器组件也可以在检测阶段与用户交互以减少误报。例如，当代理扩展器组件确定文件可能已经被恶意更改时，代理扩展器组件可以不允许将该文件与云同步直到用户确认该更改是被授权的为止。代理扩展器组件可以使用“全自动区分计算机和人类的公共图灵测试”(“captcha”)来确保其不是正响应于对确认的请求的勒索软件。由于代理扩展器组件是对云提供商代理的附加件，所以代理扩展器组件可以与不同的云提供商的代理一起使用。

在一些实施例中，arc系统可以使用数据分析学来帮助在合法更改与恶意更改之间进行区分。arc系统可以使用各种机器学习技术(诸如支持向量机、贝叶斯网络、学习回归、神经网络、大数据分析、演化算法等)来检测恶意更改。arc系统可以收集各种特征，诸如文件更改的数目和频率、文件更改的位置、更改的模式(文件扩展名、文件头、熵变、文件类型)、用户信息(例如组织或位置)等。在收集特征之后，arc系统可以以每个用户为基础、以每个组织为基础、或以一些其它用户分区为基础来学习分类器。例如，arc系统可以使用各种聚类技术基于用户的各种属性(例如商务用户或个人用户以及计算机使用的频率)来生成用户的集群。

在一些实施例中，arc系统可以采用支持向量机来为每个用户或每个用户分区训练分类器。为了训练分类器，训练数据包括恶意文件更改的样本和合法文件更改的样本，其中每个样本包括特征的特征向量和指示该样本是否表示恶意或合法更改的标签。支持向量机通过在可能的输入的空间中找到超曲面来进行操作。该超曲面试图通过将最近的正反样本与超曲面之间的距离最大化来从负面示例(例如不是勒索软件)中分离出正面示例(例如勒索软件)。支持向量机同时最小化经验分类错误并最大化几何边缘。这允许对与训练数据类似但不同的数据的正确分类。可以使用各种技术来训练支持向量机。一种技术使用序列最小优化算法，该序列最小优化算法将二次规划大问题分解成可以被分析地解决的一系列二次规划小问题。(参见platt,j.的"sequentialminimaloptimization:afastalgorithmfortrainingsupportvectormechanisms,"1998年，http://research.microsoft.com/pubs/69644/tr-98-14.pdf.)

支持向量机被提供有由(xi,yi)表示的训练数据，其中xi表示特征向量并且yi表示用于样本i的标签。支持向量机可以被用来最优化以下：

使得yi(w^tφ(xi)+b)≥1-ξi,ξi≥0

其中向量w与分离的超曲面垂直，偏移变量b被用来增加边缘，松弛变量εi表示xi的误分类程度，函数将向量xi映射到更高维度的空间中，并且c表示错误项的惩罚参数。支持向量机支持线性分类但可以通过修改核函数而适用于执行非线性分类，如由下式表示：

(k(xi,xj)＝φ(xi)^t(xj))

在一些实施例中，arc系统使用径向基函数(“rbf”)核，如由下式表示：

k(xi,xj)＝exp(-y||xi-xj||²),y>0

arc系统也可以使用多项式高斯rbf或sigmoid核。arc系统可以使用交叉验证和网格搜索来寻找用于参数y和c的最佳值。(参见台北的国立台湾大学计算机科学与信息工程学院的hsu,c.w.、chang,c.c.和lin,c.j.在2003年发表的技术报告“apracticalguidetosupportvectorclassification”。)

在一些实施例中，当arc系统同步客户端设备的文件时，arc系统可以将一个或多个蜜罐文件下载到客户端设备。蜜罐文件是仅出于检测对文件的恶意更改的目的而被存储在客户端设备上的文件。设备的用户可能未意识到任何特别的蜜罐文件的存在，并且可能没有理由更改蜜罐文件的内容。例如，如果arc系统经由代理扩展器组件检测到对蜜罐文件的更改(或甚至蜜罐文件的删除)，则arc系统可以假设该更改是由勒索软件导致的并采取补救措施(诸如上述措施)。arc系统可以为蜜罐文件给出与由用户用来帮助掩盖由勒索软件进行的检测的名称和内容相似的名称和内容。

在一些实施例中，arc系统可以为云存储账户部署蜜罐，不断监测勒索软件的指示符，通过将受影响的文件恢复到它们受攻击前的状态来自动地响应，并采取行动防止未来的攻击。arc系统也可以向用户提供信息来帮助教导用户关于勒索软件攻击和怎样防止未来的攻击。arc系统可以基于勒索软件攻击的类型采用与用户交互的自动化机器人。arc系统可以维持有关勒索软件攻击的信息存储，该信息存储是从客户端设备所收集到的和/或从这种信息的其它存储库(例如，防病毒软件)中所收集到的。当arc系统检测到文件已经被恶意更改时，arc系统可以指示防病毒软件标识出导致该更改的恶意软件(例如通过基于勒索软件的已知签名运行文件扫描)。

在一些实施例中，除了执行过程(例如勒索软件)的行为之外，arc系统还监测对文件的更改。arc系统可以将文件的熵(例如，香农(shannon)熵)纳入考虑，因为受勒索软件影响的文件可能具有高熵输出(例如由于加密)。arc系统也可以将文件差异纳入考虑，因为受勒索软件影响的文件可能具有与其在前版本完全不相似的内容。例如，arc系统可以采用相似性保留哈希函数(例如，nilsimsa哈希、tlsh、以及ssdeep)来检测更改。arc系统可以将对文件的修改数目纳入考虑，因为受勒索软件影响的文件可能会被大量修改。例如，arc系统可以监测“魔法标记”类型的修改、扩展名更改、和/或内容删除。

图1是图示了一些实施例中的arc系统的总体处理的流程图。arc系统100持续监测文件更改并且采取对策来抑制被恶意更改的文件的传播。在框101中，arc系统监测对云存储系统或与云存储系统一起存储文件的客户端设备的文件的更改。在框102中，arc系统评估对一个或多个文件的更改是否是恶意的。该评估可以包括：将分类器应用到提取自文件的特征上并且请求用户确认疑似恶意更改是恶意的。在决策框103中，如果该评估指示更改是恶意的，则arc系统在框104处继续，否则arc系统循环到框101以继续监测更改。在框104中，该组件标识各种对策，这些对策可以包括抑制文件的同步。在框105中，该组件实施对策以压制被索取赎金的文件的传播。该组件然后循环到框101以继续监测更改。在一些实施例中，监测以及可能还有评估可以由客户端设备执行。在其它实施例中，监测、评估以及可能还有标识和实施可以由在云存储系统外部的系统执行。在其它实施例中，监测、评估、标识以及实施可以由在云存储系统内部的系统执行。

图2是图示了一些实施例中的arc系统内的信息流的框图。arc系统可以包括文件事件处理器201、实时勒索软件检测器201、勒索软件处理器203、对策处理器204、批量勒索软件检测器205以及勒索软件数据存储装置206。文件事件处理器可以接收文件事件和文件并提取与每个文件事件相关联的事件特征。文件事件处理器将事件特征提供给实时勒索软件检测器进行处理并且提供给勒索软件数据存储装置进行存储。实时勒索软件检测器将分类器应用到事件特征以将文件事件分类为合法的或可能是恶意的。如果文件事件可能是恶意的，则实时勒索软件检测器将勒索软件通知提供给勒索软件处理器进行处理并且提供给勒索软件数据存储装置进行存储。实时勒索软件检测器可以处理与例如发生在最后一分钟内的对仅单个文件的更改或对多个文件的更改有关的信息。勒索软件处理器接收勒索软件通知并标识用于压制勒索软件的对策，并向对策处理器提供用于实施对策的指令。对策处理器接收该指令并实施由该指令指示的对策。指令也可以被存储在勒索软件数据存储装置中作为已经被采取的对策的记录日志。批量勒索软件检测器可以周期性地执行以处理在检测窗口内已经发生的文件事件。例如，批量勒索软件检测器可以每小时执行以评估在检测窗口期间(诸如在过去的两个小时内)已经发生的更改(例如更改的频率)。

图3是图示了一些实施例中的arc系统的组件以及与arc系统进行接口连接的组件的示例布置的框图。客户端设备310、云存储系统320和arc系统330经由通信信道340通信。每个客户端设备可以包括防病毒软件311和arc代理组件312。防病毒软件可以扫描进入的通信和客户端设备的活动以确定客户端设备是否可能被勒索软件或者其它恶意软件感染。arc代理可以诸如通过向云存储系统或者arc系统发送文件事件通知来实施arc系统的客户端侧组件。云存储系统的文件事件生成器321标识由对云存储系统上的文件或者对客户端设备上所存储的文件的更改产生的文件事件，并且向arc系统发送文件事件通知。arc系统包括文件事件处理器组件331、实时勒索软件检测器组件332、批量勒索软件检测器组件333、勒索软件处理器组件334、对策处理器组件335和勒索软件数据存储装置337，这些组件执行如上面参照图2所描述的过程。arc系统还包括训练分类器组件336、训练数据存储装置338和分类器组件339。arc系统还可以包括用于存储在云存储系统上的账户的用户凭证(例如密码和用户名)以使arc系统可以代表客户端设备的用户指示需要采取的对策的存储装置(未被示出)。训练分类器组件从训练数据存储装置输入训练数据(其包括样本特征及其标签)并且训练实时分类器和批量分类器。对于实时分类器和批量分类器，分类器技术可以是不同的或者相同的。分类器组件被调用以通过使用由训练分类器组件所生成的参数来执行分类。

可以在其上实施arc系统的计算系统可以包括中央处理单元、输入设备、输出设备(例如显示设备和扬声器)、存储设备(例如存储器和磁盘驱动器)、网络接口、图形处理单元、加速计、蜂窝无线电链路接口、全球定位系统设备等。计算系统可以包括数据中心的服务器、大规模并行系统等。计算系统可以访问包括计算机可读存储介质和数据传输介质的计算机可读介质。计算机可读存储介质是不包括暂时的传播信号的有形存储部件。计算机可读存储介质的示例包括存储器(诸如主存储器、高速缓存存储器、以及次级存储器(例如dvd))和其它存储装置。计算机可读存储介质可能已经在其上记录了实施arc系统的计算机可执行指令或逻辑或者可能利用实施arc系统的计算机可执行指令或逻辑进行了编码。数据传输介质被用于经由有线或无线连接经由暂时的传播信号或载波(例如电磁相互作用)来传输数据。

可以在由一个或多个计算机、处理器、或其它设备执行的计算机可执行指令的一般上下文(诸如程序模块或组件)中描述arc系统。通常，程序模块或组件包括执行特定任务或实施特定数据类型的例程、程序、对象、数据结构等。典型地，可以在各种实施例中根据需要组合或分配程序模块的功能。可以通过使用例如专用集成电路(asic)在硬件中实施arc系统的各个方面。

图4是图示了在一些实施例中的arc系统的文件事件处理器组件的处理的流程图。文件事件处理器组件400被调用来处理文件事件。在框401中，组件检索可以由客户端设备或云存储系统生成的文件事件通知。在框402中，组件检索与文件事件通知相关联的一个或多个文件。在框403中，组件从文件提取特征。在框404中，组件将该特征发送至实时勒索软件检测器组件和勒索软件数据存储装置。组件然后完成。

图5是图示了在一些实施例中的arc系统的实时勒索软件检测器组件的处理的流程图。实时勒索软件检测组件500被调用来确定文件事件是否是恶意更改的结果。在框501中，组件检索针对文件事件的事件特征。在框502中，组件可以检索针对例如发生在最后一分钟内的文件事件的有关事件特征。如果勒索软件正在攻击客户端设备，则勒索软件可以对单个文件进行修改，arc系统可能未检测到该修改是由勒索软件导致的，但对文件的这种更改的频率可以指示更改是由勒索软件导致的。在框503中，组件将实时分类器应用于事件特征。在决策框504中，如果实时分类器指示文件事件可能已经由勒索软件导致，则组件在框505处继续，否则组件完成。在框505中，组件向勒索软件处理器组件发送勒索软件通知并且然后完成。

图6是图示了在一些实施例中的arc系统的勒索软件处理器组件的处理的流程图。勒索软件处理器组件600被调用来处理勒索软件通知。在框601中，组件检索勒索软件通知。在框602中，组件可以确定勒索软件的类型，诸如locky或cryptowall。在框603中，组件检索针对勒索软件的类型的对策指令。例如，不同类型的勒索软件可以指示应该采取不同类型的对策。然而，一些对策(诸如抑制文件的同步)对所有类型的勒索软件都是共用的。在框604中，组件将指令发送至对策处理器并且然后完成。

图7是图示了在一些实施例中的arc系统的对策处理器组件的处理的流程图。对策处理器组件700被调用来处理用于采取对策的指令。指令可以包括诸如禁用同步、指示客户端设备执行恶意软件扫描等指令。在决策框701至705中，组件确定已经提供了何种指令并指示处理以实施这些指令。在决策框701中，如果设置了指令的禁用同步标记，那么组件在框706处继续，否则组件在框702处继续。在框706中，组件禁用在客户端设备与云存储系统之间的文件的同步并且然后在框702处继续。相同用户的其它客户端设备的同步也可以被禁用。在决策框702中，如果设置了指令的通知用户标记，那么组件在框707处继续，否则组件在框703处继续。在框707中，组件调用通知用户组件以通知用户。在决策框708中，如果用户确认勒索软件(或更普遍地说，恶意更改或未授权更改)，那么组件在框703处继续，否则组件在框705处继续。在决策框703中，如果设置了指令的运行勒索软件扫描标记，那么组件在框709处继续，否则组件在框704处继续。在框709中，组件指示客户运行恶意软件扫描(例如，通过通知客户端侧组件(诸如在客户端设备上执行的arc代理))。在决策框710中，如果恶意软件扫描指示已经使勒索软件无效，那么组件在框704处继续，否则组件在框711处继续。在框711中，组件可以指示采取附加的对策并且然后完成。在决策框704中，如果设置了指令的恢复文件标记，那么组件在框712处继续，否则组件在框705处继续。在框712中，组件将文件恢复到先前版本并且然后在框705处继续。在框705中，如果设置了指令的启用同步标记，那么组件在框713处继续，否则组件完成。在框713中，组件启用文件的同步并且然后完成。

图8是图示了在一些实施例中的arc系统的通知用户组件的处理的流程图。通知用户组件800被调用来通知用户疑似勒索软件并且从用户获取关于对文件的更改是经过授权的还是未经过授权的确认。在框801中，组件向用户发送标识到文件并包括附加信息(诸如更改的特性描述、更改的时间等)的通知。在框802中，组件接收来自用户的响应。在决策框803中，如果用户已经确认更改是未经过授权的，那么组件在框804处继续，否则组件在框805处继续。在框804中，组件将勒索软件攻击记录成日志，作为训练数据的正面样本并完成，指示了勒索软件或恶意更改已经被确认。在框805中，组件将训练数据的负面样本记录成日志并完成，指示了勒索软件或恶意更改尚未被确认。

以下段落描述了arc系统的方面的各种实施例。arc系统的实施方式可以采用实施例的任何组合。下文所描述的处理可以由具有处理器的计算设备执行，该处理器执行被存储在实施arc系统的计算机可读存储介质上的计算机可执行指令。

在一些实施例中，提供了一种由计算设备执行的用于通过云服务检测对客户端设备的勒索软件攻击的方法。该方法监测对由云服务存储的客户端设备的文件的更改。该方法评估对文件的更改是否看似是恶意的，因为更改可能是由勒索软件导致的。当对文件的更改看似是恶意的时，该方法执行对策，以防止客户端设备的文件与其它客户端设备的同步以及与云服务的同步，来防止来自正在遭受勒索软件攻击的客户端设备的文件的传播。在一些实施例中，该方法执行将以下文件恢复到先前版本的对策：文件的更改看似是恶意的。在一些实施例中，文件是蜜罐文件。在一些实施例中，由在客户端设备上执行的组件来执行评估。在一些实施例中，由云提供商系统的组件来执行评估。在一些实施例中，由与云服务进行接口连接的勒索软件检测系统来执行评估。在一些实施例中，评估包括应用被训练用于检测恶意更改的分类器。在一些实施例中，该方法进一步在对文件的更改看似是恶意的时，请求用户确认更改是否是恶意的。在一些实施例中，该方法进一步将与更改有关的信息连同标签一起进行存储，以用于训练分类器，该标签指示如由用户确认的更改是否是恶意的。

在一些实施例中，提供了一种经由云存储系统辅助防止恶意更改过的文件的传播的勒索软件检测系统。该勒索软件检测系统包括：存储计算机可执行指令的一种或多种计算机可读存储介质、和执行被存储在计算机可读存储介质中的计算机可执行指令的一个或多个处理器。指令控制一个或多个处理器以：通过在接收到标识文件的文件事件通知时检索文件并提取与文件和文件事件通知有关的特征，来处理文件事件通知。指令控制一个或多个处理器以：通过将所提取的特征输入到指示更改是否看似是恶意的分类器，来检测所提取的特征是否指示更改看似是恶意的。指令控制一个或多个处理器以：当更改看似是恶意的时，处理更改以标识要采取的对策，该对策包括抑制文件与云存储系统的同步。在一些实施例中，指令控制一个或多个处理器以接收来自用户关于看似是恶意的更改是否已知是恶意的确认，基于该确认将所提取的特征标记为是恶意的或不是恶意的，并且使用标记的所提取的特征作为训练数据来训练分类器。在一些实施例中，控制一个或多个处理器检测所提取的特征是否指示更改看似是恶意的指令采用实时分类器和批量分类器，实时分类器用于指示对文件的更改在更改被检测到时是否看似是恶意的，并且批量分类器用于通过评估在更改时间窗口期间发生的对一个或多个文件的更改来指示对文件的更改是否看似是恶意的。在一些实施例中，实时分类器被提供有仅源自一个文件的当前版本和该一个文件的最近的先前版本的特征。在一些实施例中，勒索软件检测系统在云存储系统内部。在一些实施例中，指令控制一个或多个处理器来处理所标识到的对策以压制被更改的文件的传播。在一些实施例中，勒索软件检测系统在云存储系统外部。在一些实施例中，勒索软件检测系统与云存储系统进行接口连接，该云存储系统处理所标识到的对策以压制被更改的文件的传播。在一些实施例中，用于处理文件事件通知并检测所提取的特征是否指示更改看似是恶意的指令经由云存储系统由存储文件的客户端设备执行。

在一些实施例中，一种或多种计算机可读存储介质存储计算机可执行指令，该计算机可执行指令在由计算系统执行时控制计算系统以通过在接收到标识文件的文件事件通知时检索文件并提取与该文件和文件事件通知有关的特征来处理文件事件通知。指令进一步控制计算系统以检测所提取的特征是否指示更改被确定为是恶意的。指令进一步控制计算系统以：当更改被确定为是恶意的时，处理更改以标识要采取的对策，该对策包括抑制文件与云存储系统的同步。指令进一步控制计算系统来处理被标识到的对策以压制被更改的文件的传播。在一些实施例中，指令进一步控制计算系统以检测采用从包括熵变、试探法、用户行为变化以及蜜罐文件变化的组中选择的检测标准。在一些实施例中，指令进一步控制计算系统来将被更改的文件恢复到被更改的文件的在前版本。在一些实施例中，在更改被确定为是恶意的之后，自动执行该恢复。在一些实施例中，在更改被确定为是恶意的之后并且在用户被提示以批准该恢复之后，执行该恢复。

虽然已经以特定于结构特征和/或动作的语言描述了本主题内容，但要理解的是，所附权利要求书中所定义的主题内容并不一定局限于上述特定特征或动作。相反，上面所描述的特定特征和动作作为实施权利要求的示例形式而被公开。相应地，除了由所附权利要求书限定之外，本发明不受限制。