一種勒索者病毒的檢測方法及系統(tǒng)技術(shù)方案

本發(fā)明專利技術(shù)公開了一種勒索者病毒的檢測方法及系統(tǒng)，包括：若存在修改文件的進(jìn)程，則掛起進(jìn)程并備份文件至可讀區(qū)域，備份完成后放行該進(jìn)程；對比修改后的文件與備份的文件的熵值，判定當(dāng)前進(jìn)程是否對文件進(jìn)行了加密操作；若存在加密操作則判斷該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。本發(fā)明專利技術(shù)所述技術(shù)方案不僅能夠有效識別勒索者病毒，降低誤報(bào)率而且不影響正常軟件操作文件。

Method and system for detecting extortion virus

The invention discloses a method and a system for detecting, a blackmailer viruses including: if there is to modify the file process, then hang up process and the backup file to read backup area, after the completion of the process of release; comparing the modified file backup and file entropy, determine whether the current process of the document encryption operation if there is a cryptographic operation; the judgment of the process within a preset time according to whether the number of operations file exceeds the preset threshold value, if it is judged as suspected of extortion virus. The technical proposal of the invention not only can effectively identify the virus of the user, but also can reduce the false alarm rate and does not affect the normal operation of the software.

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及信息安全
，尤其涉及一種勒索者病毒的檢測方法及系統(tǒng)。
技術(shù)介紹
勒索軟件是近兩年比較流行的病毒，尤其是在2016年我國勒索軟件成爆發(fā)式增長。勒索軟件一旦感染系統(tǒng)會加密電腦磁盤的文檔文件、圖片文件、文本文件等，加密成功后會通過網(wǎng)頁文件、TXT文件、屏幕保護(hù)圖片等方式來通知用戶在一定時(shí)間內(nèi)支付贖金后才會給予解密的方式。勒索軟件作者會使用非常復(fù)雜的隨機(jī)非對稱加密手段加密用戶數(shù)據(jù)，只有惡意代碼作者能對其解密。在某種程度上就算用戶支付贖金給惡意代碼作者，也可能無法解密數(shù)據(jù)，這對于擁有重要資源的企業(yè)和部門是一個災(zāi)難性的事件，比如：醫(yī)療部門、銀行、政府部門一旦遭受勒索軟件攻擊，就會使各業(yè)務(wù)系統(tǒng)癱瘓，損失不可估計(jì)。目前主流殺毒軟件都有文件防護(hù)功能，可以保證文件不被惡意篡改，但是這種做法可能同時(shí)影響正常軟件對于文件的操作，即使通過白名單機(jī)制可以保證放行一部分軟件的正常訪問，但是不能保證所有安全程序?qū)ξ募牟僮鳌Ｍ瑫r(shí)，白名單技術(shù)也不能保證文件不被惡意程序篡改，因此對于勒索者并不適用，因?yàn)槟壳昂芏嗬账髡卟《臼峭ㄟ^注入白名單進(jìn)程來釋放攻擊的，如explorer或svchost進(jìn)程。
技術(shù)實(shí)現(xiàn)思路
針對上述技術(shù)問題，本專利技術(shù)所述的技術(shù)方案通過感知文件的變化范圍和頻率來判定是否存在疑似勒索者病毒，進(jìn)而提升對勒索者病毒的檢出率，并同時(shí)降低誤報(bào)。本專利技術(shù)采用如下方法來實(shí)現(xiàn)，包括：若存在修改文件的進(jìn)程，則掛起進(jìn)程并備份文件至可讀區(qū)域，備份完成后放行該進(jìn)程；對比修改后的文件與備份的文件的熵值，判定當(dāng)前進(jìn)程是否對文件進(jìn)行了加密操作；若存在加密操作則判斷該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。進(jìn)一步地，在判定為疑似勒索者病毒之前，還包括：收集被加密的所有文件，并判斷具備相同擴(kuò)展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)判斷具備相同擴(kuò)展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；將相同擴(kuò)展名、文件名中的相同字符串部分存入特征庫，用于后續(xù)分析。更進(jìn)一步地，在判定為疑似勒索者病毒之后，還包括：若被加密的文件所在文件夾內(nèi)存在html文件或者txt文件，則進(jìn)一步判斷所述html文件或者txt文件內(nèi)是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；若被加密的文件所在文件夾內(nèi)不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。上述方法中，在判定為疑似勒索者病毒之后，還包括：刪除被加密的文件并將備份的文件恢復(fù)到原來位置。上述方法中，所述文件包括但不限于：文檔文件、文本文件或者圖片文件。本專利技術(shù)可以采用如下系統(tǒng)來實(shí)現(xiàn)，包括：文檔備份模塊，用于若存在修改文件的進(jìn)程，則掛起進(jìn)程并備份文件至可讀區(qū)域，備份完成后放行該進(jìn)程；加密判定模塊，用于對比修改后的文件與備份的文件的熵值，判定當(dāng)前進(jìn)程是否對文件進(jìn)行了加密操作；初次判定模塊，用于若存在加密操作則判斷該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。進(jìn)一步地，在所述初次判定模塊執(zhí)行之后還包括二次判定模塊，用于收集被加密的所有文件，并判斷具備相同擴(kuò)展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)判斷具備相同擴(kuò)展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；將相同擴(kuò)展名、文件名中的相同字符串部分存入特征庫，用于后續(xù)分析。更進(jìn)一步地，還包括：惡意域名記錄模塊，用于若被加密的文件所在文件夾內(nèi)存在html文件或者txt文件，則進(jìn)一步判斷所述html文件或者txt文件內(nèi)是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；若被加密的文件所在文件夾內(nèi)不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。上述系統(tǒng)中，還包括：文檔恢復(fù)模塊，用于刪除被加密的文件并將備份的文件恢復(fù)到原來位置。上述系統(tǒng)中，所述文件包括但不限于：文檔文件、文本文件或者圖片文件。綜上，本專利技術(shù)給出一種勒索者病毒的檢測方法及系統(tǒng)，本專利技術(shù)若發(fā)現(xiàn)存在修改文件的進(jìn)程，則首先判斷是否是針對文件的加密操作；若是則繼續(xù)判斷該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作總數(shù)是否超過設(shè)定閾值，若是，則認(rèn)為存在可疑進(jìn)程大批量的加密文件，因此初步判定為疑似勒索者病毒。有益效果為：本專利技術(shù)所述技術(shù)方案通過監(jiān)控文件被操作的范圍及頻率，進(jìn)而準(zhǔn)確判定是否是勒索者病毒。附圖說明為了更清楚地說明本專利技術(shù)的技術(shù)方案，下面將對實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本專利技術(shù)中記載的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本專利技術(shù)提供的一種勒索者病毒的檢測方法實(shí)施例流程圖；圖2為加密前的文件的字符情況；圖3為加密后的文件的字符情況；圖4為本專利技術(shù)提供的一種勒索者病毒的檢測系統(tǒng)實(shí)施例結(jié)構(gòu)圖。具體實(shí)施方式本專利技術(shù)給出了一種勒索者病毒的檢測方法及系統(tǒng)實(shí)施例，為了使本
的人員更好地理解本專利技術(shù)實(shí)施例中的技術(shù)方案，并使本專利技術(shù)的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對本專利技術(shù)中技術(shù)方案作進(jìn)一步詳細(xì)的說明：本專利技術(shù)首先提供了一種勒索者病毒的檢測方法實(shí)施例，如圖1所示，包括：S101：若存在修改文件的進(jìn)程，則掛起進(jìn)程并備份文件至可讀區(qū)域，備份完成后放行該進(jìn)程。目的是為后續(xù)文件的恢復(fù)操作做準(zhǔn)備。S102：對比修改后的文件與備份的文件的熵值，判定當(dāng)前進(jìn)程是否對文件進(jìn)行了加密操作；其中，經(jīng)過觀察加密數(shù)據(jù)中常見字符在加密前后的規(guī)律變化，發(fā)現(xiàn)熵值在加密前后將發(fā)生很大的變化，例如：未加密的文件中存在較多為0的字符串，如圖2所示；但是加密之后的文件中則基本不存在為0的字符串，如圖3所示；由此可知，通過將修改后的文件的熵值與備份的修改前的文件的熵值進(jìn)行對比，若差距較大，則判定當(dāng)前進(jìn)程對文件進(jìn)行了加密操作。更優(yōu)選地，由于壓縮文件或者電影文件的字符密度很高，可能會出現(xiàn)高熵值的情況，并且如果文件整體參與熵值計(jì)算將拖慢檢測速度，建議選擇文件的頭部預(yù)設(shè)數(shù)量的字節(jié)進(jìn)行熵值的計(jì)算和對比，進(jìn)而在保證準(zhǔn)確率的前提下，進(jìn)一步提升檢測效率。S103：若存在加密操作則判斷該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則繼續(xù)執(zhí)行S104，否則停止監(jiān)控；其中，當(dāng)判定存在進(jìn)程對文件進(jìn)行修改操作后，隨時(shí)備份其操作的文件，并繼續(xù)放行該進(jìn)程，當(dāng)操作停止后判定該進(jìn)程對所有文件進(jìn)行了多少次操作行為，包括：文件讀操作、文件寫操作或者文件刪除操作等；當(dāng)發(fā)現(xiàn)該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作次數(shù)超過設(shè)定閾值（例如：該進(jìn)程在一定時(shí)間內(nèi)同時(shí)讀了100次文件，寫了100次文件，刪了100個文件），則判定該進(jìn)程對文件進(jìn)行了高頻率的修改操作，進(jìn)而發(fā)出警報(bào)，或者進(jìn)一步判定。S104：收集被加密的所有文件，并判斷具備相同擴(kuò)展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)執(zhí)行S105，否則停止監(jiān)控；其中，勒索者病毒通常會批量修改文件，將其修改為系統(tǒng)無法識別的擴(kuò)展名，因此，若被加密的文件中存在一定比例的相同的擴(kuò)展名，則一定程度上說明這些文件是被勒索者惡意操作過的。S105：判斷具備相同擴(kuò)展名的文件的文件名是否長度一致本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種勒索者病毒的檢測方法，其特征在于，包括：若存在修改文件的進(jìn)程，則掛起進(jìn)程并備份文件至可讀區(qū)域，備份完成后放行該進(jìn)程；對比修改后的文件與備份的文件的熵值，判定當(dāng)前進(jìn)程是否對文件進(jìn)行了加密操作；若存在加密操作則判斷該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。

【技術(shù)特征摘要】
1.一種勒索者病毒的檢測方法，其特征在于，包括：若存在修改文件的進(jìn)程，則掛起進(jìn)程并備份文件至可讀區(qū)域，備份完成后放行該進(jìn)程；對比修改后的文件與備份的文件的熵值，判定當(dāng)前進(jìn)程是否對文件進(jìn)行了加密操作；若存在加密操作則判斷該進(jìn)程在預(yù)設(shè)時(shí)間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。2.如權(quán)利要求1所述的方法，其特征在于，在判定為疑似勒索者病毒之前，還包括：收集被加密的所有文件，并判斷具備相同擴(kuò)展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)判斷具備相同擴(kuò)展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；將相同擴(kuò)展名、文件名中的相同字符串部分存入特征庫，用于后續(xù)分析。3.如權(quán)利要求2所述的方法，其特征在于，在判定為疑似勒索者病毒之后，還包括：若被加密的文件所在文件夾內(nèi)存在html文件或者txt文件，則進(jìn)一步判斷所述html文件或者txt文件內(nèi)是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；若被加密的文件所在文件夾內(nèi)不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。4.如權(quán)利要求3所述的方法，其特征在于，在判定為疑似勒索者病毒之后，還包括：刪除被加密的文件并將備份的文件恢復(fù)到原來位置。5.一種勒索者...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：張慧云，
申請(專利權(quán))人：哈爾濱安天科技股份有限公司，
類型：發(fā)明
國別省市：黑龍江;23