本發明涉及信息安全技術領域，尤其涉及一種勒索者病毒的檢測方法及系統。

背景技術：

勒索軟件是近兩年比較流行的病毒，尤其是在2016年我國勒索軟件成爆發式增長。勒索軟件一旦感染系統會加密電腦磁盤的文檔文件、圖片文件、文本文件等，加密成功后會通過網頁文件、TXT文件、屏幕保護圖片等方式來通知用戶在一定時間內支付贖金后才會給予解密的方式。勒索軟件作者會使用非常復雜的隨機非對稱加密手段加密用戶數據，只有惡意代碼作者能對其解密。在某種程度上就算用戶支付贖金給惡意代碼作者，也可能無法解密數據，這對于擁有重要資源的企業和部門是一個災難性的事件，比如：醫療部門、銀行、政府部門一旦遭受勒索軟件攻擊，就會使各業務系統癱瘓，損失不可估計。

目前主流殺毒軟件都有文件防護功能，可以保證文件不被惡意篡改，但是這種做法可能同時影響正常軟件對于文件的操作，即使通過白名單機制可以保證放行一部分軟件的正常訪問，但是不能保證所有安全程序對文件的操作。同時，白名單技術也不能保證文件不被惡意程序篡改，因此對于勒索者并不適用，因為目前很多勒索者病毒是通過注入白名單進程來釋放攻擊的，如explorer或svchost進程。

技術實現要素：

針對上述技術問題，本發明所述的技術方案通過感知文件的變化范圍和頻率來判定是否存在疑似勒索者病毒，進而提升對勒索者病毒的檢出率，并同時降低誤報。

本發明采用如下方法來實現，包括：

若存在修改文件的進程，則掛起進程并備份文件至可讀區域，備份完成后放行該進程；

對比修改后的文件與備份的文件的熵值，判定當前進程是否對文件進行了加密操作；

若存在加密操作則判斷該進程在預設時間內針對文件的操作次數是否超過設定閾值，若是則判定為疑似勒索者病毒。

進一步地，在判定為疑似勒索者病毒之前，還包括：收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預設值，若是則繼續判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

將相同擴展名、文件名中的相同字符串部分存入特征庫，用于后續分析。

更進一步地，在判定為疑似勒索者病毒之后，還包括：

若被加密的文件所在文件夾內存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

上述方法中，在判定為疑似勒索者病毒之后，還包括：刪除被加密的文件并將備份的文件恢復到原來位置。

上述方法中，所述文件包括但不限于：文檔文件、文本文件或者圖片文件。

本發明可以采用如下系統來實現，包括：

文檔備份模塊，用于若存在修改文件的進程，則掛起進程并備份文件至可讀區域，備份完成后放行該進程；

加密判定模塊，用于對比修改后的文件與備份的文件的熵值，判定當前進程是否對文件進行了加密操作；

初次判定模塊，用于若存在加密操作則判斷該進程在預設時間內針對文件的操作次數是否超過設定閾值，若是則判定為疑似勒索者病毒。

進一步地，在所述初次判定模塊執行之后還包括二次判定模塊，用于收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預設值，若是則繼續判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

將相同擴展名、文件名中的相同字符串部分存入特征庫，用于后續分析。

更進一步地，還包括：惡意域名記錄模塊，用于若被加密的文件所在文件夾內存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

上述系統中，還包括：文檔恢復模塊，用于刪除被加密的文件并將備份的文件恢復到原來位置。

上述系統中，所述文件包括但不限于：文檔文件、文本文件或者圖片文件。

綜上，本發明給出一種勒索者病毒的檢測方法及系統，本發明若發現存在修改文件的進程，則首先判斷是否是針對文件的加密操作；若是則繼續判斷該進程在預設時間內針對文件的操作總數是否超過設定閾值，若是，則認為存在可疑進程大批量的加密文件，因此初步判定為疑似勒索者病毒。

有益效果為：本發明所述技術方案通過監控文件被操作的范圍及頻率，進而準確判定是否是勒索者病毒。

附圖說明

為了更清楚地說明本發明的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明提供的一種勒索者病毒的檢測方法實施例流程圖；

圖2為加密前的文件的字符情況；

圖3為加密后的文件的字符情況；

圖4為本發明提供的一種勒索者病毒的檢測系統實施例結構圖。

具體實施方式

本發明給出了一種勒索者病毒的檢測方法及系統實施例，為了使本技術領域的人員更好地理解本發明實施例中的技術方案，并使本發明的上述目的、特征和優點能夠更加明顯易懂，下面結合附圖對本發明中技術方案作進一步詳細的說明：

本發明首先提供了一種勒索者病毒的檢測方法實施例，如圖1所示，包括：

S101：若存在修改文件的進程，則掛起進程并備份文件至可讀區域，備份完成后放行該進程。目的是為后續文件的恢復操作做準備。

S102：對比修改后的文件與備份的文件的熵值，判定當前進程是否對文件進行了加密操作；

其中，經過觀察加密數據中常見字符在加密前后的規律變化，發現熵值在加密前后將發生很大的變化，例如：未加密的文件中存在較多為0的字符串，如圖2所示；但是加密之后的文件中則基本不存在為0的字符串，如圖3所示；由此可知，通過將修改后的文件的熵值與備份的修改前的文件的熵值進行對比，若差距較大，則判定當前進程對文件進行了加密操作。

更優選地，由于壓縮文件或者電影文件的字符密度很高，可能會出現高熵值的情況，并且如果文件整體參與熵值計算將拖慢檢測速度，建議選擇文件的頭部預設數量的字節進行熵值的計算和對比，進而在保證準確率的前提下，進一步提升檢測效率。

S103：若存在加密操作則判斷該進程在預設時間內針對文件的操作次數是否超過設定閾值，若是則繼續執行S104，否則停止監控；

其中，當判定存在進程對文件進行修改操作后，隨時備份其操作的文件，并繼續放行該進程，當操作停止后判定該進程對所有文件進行了多少次操作行為，包括：文件讀操作、文件寫操作或者文件刪除操作等；當發現該進程在預設時間內針對文件的操作次數超過設定閾值（例如：該進程在一定時間內同時讀了100次文件，寫了100次文件，刪了100個文件），則判定該進程對文件進行了高頻率的修改操作，進而發出警報，或者進一步判定。

S104：收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預設值，若是則繼續執行S105，否則停止監控；

其中，勒索者病毒通常會批量修改文件，將其修改為系統無法識別的擴展名，因此，若被加密的文件中存在一定比例的相同的擴展名，則一定程度上說明這些文件是被勒索者惡意操作過的。

S105：判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

上述S101、S102、S103即可對勒索者進行初次判定，但是為了降低誤報，可以繼續執行S104。勒索者病毒在感染用戶文件后，會修改文件名并且修改擴展名，而正常軟件并不會出現該情況。因此通過監控文件的文件名和擴展名的形態變化來判定是否是勒索者所為。

其中，之所以計算具備相同擴展名的文件與當前文件夾中所有文件的占比值，并判斷其是否超過預設值，是因為勒索者會批量修改擴展名，但是也會在文件夾內添加其他擴展名的文件，例如：html文件或者txt文件。勒索者病毒作者會在文件夾內放置html、txt或者其他非加密形式的文件的目的是通知用戶文檔被加密，需要支付贖金來恢復文件，因此文件夾內通常會存在與其他文件擴展名不同的能夠被打開的文件。

S106：將相同擴展名、文件名中的相同字符串部分存入特征庫；目的用于后續進一步分析判定，并方便后續對該勒索者的檢測。

更優選地，若被加密的文件所在文件夾內存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

將上述相同擴展名、文件名中的相同字符串和收集到的URL鏈接存入特征庫，一旦其他人中了此類勒索者病毒，則可以通過入庫的特征碼即可檢出，將損失降至最低，為產品庫提供支撐。

S107：刪除被加密的文件并將備份的文件恢復到原來位置。該步驟的目的是降低用戶損失。

本發明其次提供了一種勒索者病毒的檢測系統實施例，如圖4所示，包括：

文檔備份模塊401，用于若存在修改文件的進程，則掛起進程并備份文件至可讀區域，備份完成后放行該進程；其中，將文件換個區域備份的目的是方便后續讀取，同時防止被勒索者繼續加密。

加密判定模塊402，用于對比修改后的文件與備份的文件的熵值，判定當前進程是否對文件進行了加密操作；其中，若判定存在加密操作，則發出加密警告，或者請求用戶協助判定是否需要攔截該進程，否則停止監控。

初次判定模塊403，用于若存在加密操作則判斷該進程在預設時間內針對文件的操作次數是否超過設定閾值，若是則判定為疑似勒索者病毒。其中，若該進程在預設時間內針對文件的操作次數沒有超過設定閾值，則停止監控。

優選地，在所述初次判定模塊403執行之后還包括二次判定模塊，用于收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預設值，若是則繼續判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

將相同擴展名、文件名中的相同字符串部分存入特征庫，用于后續分析。

更優選地，還包括：惡意域名記錄模塊，用于若被加密的文件所在文件夾內存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

上述系統實施例中，還包括：文檔恢復模塊，用于刪除被加密的文件并將備份的文件恢復到原來位置。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同或相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于系統實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。

如上所述，本發明提供了多個實施例，通過監控系統進程，當發現存在進程修改文件，則需要先掛起進程并備份文件，備份完成后則放行該進程，并判斷進程是否進行的是加密操作，若是則進一步統計進程針對文件的操作頻率，若頻率較高則告警，認為是疑似勒索者病毒，并進一步輔助文件的擴展名變化形態來最終判定是否是勒索者病毒。上述實施例較比現有技術能夠更加準確的識別勒索者病毒，并且不會影響正常軟件的操作行為，同時通過提取URL鏈接、擴展名等入庫，用于后續的勒索者病毒檢測。

以上實施例用以說明而非限制本發明的技術方案。不脫離本發明精神和范圍的任何修改或局部替換，均應涵蓋在本發明的權利要求范圍當中。