一种针对勒索软件的处理方法和系统技术方案

技术编号:14850679 阅读:122 留言:0更新日期:2017-03-18 13:16
本发明专利技术涉及一种针对勒索软件的处理方法和系统。其中方法包括:构建备份数据库,其中,备份数据库包括至少一个还原点以及与每个还原点对应的还原数据,还原数据包括注册表数据和磁盘文件数据;接收处理请求;根据处理请求从备份数据库中选择一个还原点,并调用与一个还原点对应的磁盘文件数据;遍历磁盘,根据与一个还原点对应的磁盘文件数据确定磁盘是否有新增的文件;在磁盘中有新增的文件的情况下,对新增的文件添加启动时锁定的属性,并根据与一个还原点对应的注册表数据对磁盘进行还原。本发明专利技术能够缩小勒索软件在所有文件中的判定范围,并有效的对勒索软件进行锁定,防止勒索软件的进一步侵害,同时能够对磁盘进行还原,使磁盘恢复正常。

【技术实现步骤摘要】

本专利技术涉及信息安全领域,尤其涉及一种针对勒索软件的处理方法和系统
技术介绍
勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。目前已知可导致清除勒索软件方法有以下几种:一、通过删除勒索软件文件的方式进行清除;二、通过windows还原系统还原来进行清除;三、通过磁盘过滤驱动原理实现的还原系统(例如还原精灵,还原卡等,还原卡相当于把磁盘过滤的原理以软硬件结合的方式来实现);四、全备份还原系统(例如诺顿的ghost的实现方法)。由于勒索软件威胁的特殊性,上述这些方法用在清除勒索软件方法都有各种各样的缺点。通过删除勒索软件文件的方式主要分两种:1、文件特征判断:通过收集已知勒索软件的文件特征,对符合该文件特征的文件判定为勒索软件,然后以删除该文件的方式来清除勒索软件。2、行为特征判断:收集勒索软件的行为特征,然后判定当前正在运行的程序中的行为,是否符合行为特征,是的话,判定为勒索软件,然后通过删除文件的方式进行清除。通过文件特征的方法只能判断出已知的了勒索软件而无法判断出未知的勒索软件,因此也就无法清除未知的勒索软件。通过行为特征判断勒索软件,理论上是可以判断出一部分已知或未知的勒索软件(由于勒索软件可以通过代替性行为来绕过行为判断,因此可以判断出一部分已知或未知的勒索软件),但在实际操作中,误判率太高。例如,所有勒索软件都必定有一个特征,即对磁盘文件进行遍历。但是不能拿这个特征作为完全判断勒索软件的充要条件,因为不仅勒索软件,有很多软件都有遍历磁盘文件的特点,例如杀毒软件,windows系统的文件搜索功能等。因此传统的想要通过删除文件来达到清除勒索软件的方法是需要有高精度的对已知和未知勒索软件的检测技术。哪怕有高精度的检测技术,通过删除文件来清除勒索软件还有如下两个缺点:1、所有恶意软件都会改动注册表数据,来实现自己的各种恶意操作(例如自启动等),如果只是单纯的删除文件,注册表中会留下勒索软件写入的垃圾数据;2、如果勒索软件已经运行(或者注入到一些关键系统进程来运行),强行删除勒索软件文件会产生需要读取原文件而导致的一些进程崩溃的情况,进而导致系统不稳定,甚至蓝屏。利用windows系统还原来清除勒索软件中,windows系统还原是在不需要重新安装操作系统,也不会破坏数据文件的前提下使系统回到工作状态。在WindowsMe就加入了“系统还原”的功能,并且一直在WindowsMe以上的操作系统中使用。“系统还原”可以恢复注册表、本地配置文件、COM+数据库、Windows文件保护(WFP)高速缓存(wfp.dll)、Windows管理工具(WMI)数据库、MicrosoftIIS元数据,以及实用程序默认复制到“还原”存档中的文件。在还原的时候不能指定要还原的内容:要么都还原,要么都不还原。若要存储还原点,则在每个已打开系统保护的硬盘上至少需要300兆字节(MB)的可用空间。系统还原可能会占用每个磁盘15%的空间。如果还原点占满了所有空间,系统还原将删除旧的还原点,为新还原点腾出空间。因此利用windows系统还原来清除勒索软件具有以下缺点:一、占用过多的磁盘空间。二、因为windows还原点多数是对可执行文件(dll或exe)进行备份,因此有些不是以这二者形式的存在的文件就会出现不清除的情况。三、创建还原点时算法复杂,运行慢。四、windows系统还原是一个接口,是对所有应用程序开放的。那么就会出现以下情况:勒索软件如果直到是通过windows接口的还原点来进行系统还原的话,完全可以在执行对全磁盘文件进行加密之前先把当前所有备份的还原点清除掉,这样就导致无法还原的情况发生。即使是使用还原点保护技术,只允许自己使用还原点,不允许其它程序使用还原点,但这么设计又会出现兼容性问题。因为此接口是开放的,如果只允许自己使用而拒绝其它应用程序使用的话,那么那些正常的需要使用还原点接口程序就会因此出现异常。通过磁盘过滤驱动原理实现的还原系统来清除勒索软件中,还原系统原理本质上是对磁盘进行增量备份,具体实施的方法是在磁盘上开辟一个备份存储空间,把当前对磁盘的进行的所有修改数据都写入到备份存储空间里,在需要还原的时候,直接把备份存储空间的数据清除掉即可,此时磁盘就回到了备份存储空间数据被清除之前的状态。通过磁盘过滤驱动原理实现的还原系统来清除勒索软件最大的缺点就是只支持一个还原点,不支持创建多次不同时间的还原点。这样会导致由于还原时清除掉的数据太多,许多有用的数据也因被清除而丢失掉并无法找回的问题。全备份还原系统(例如诺顿的ghost的实现方法)中还原系统原理本质上是对磁盘进行全备份,具体实施的方法是在对读取欲备份磁盘上的所有文件数据,并把它们组合压缩(也可以不压缩,压缩的话省磁盘空间,但是还原需要的时间长,不压缩的话暂占用的磁盘空间大,但是还原时间短)成一个备份文件,存在存储介质中,在需要还原的时候,只要把这个备份文件展开以后把数据再写回欲还原的盘中即可。与通过磁盘过滤驱动原理实现的还原系统来清除勒索软件的方式相比,全备份还原系统支持多点还原,但同时由于备份的数量太大,因此需要花费大量的时间,还原时同样需要花费大量的时间,并且由于备份数据量大,因此需要大量的存储空间支持。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足,提供一种针对勒索软件的处理方法和系统。本专利技术解决上述技术问题的技术方案如下:一种针对勒索软件的处理方法,包括:构建备份数据库,其中,所述备份数据库包括至少一个还原点以及与每个所述还原点对应的还原数据,所述还原数据包括注册表数据和磁盘文件数据;接收处理请求;根据所述处理请求从所述备份数据库中选择一个还原点,并调用与所述一个还原点对应的所述磁盘文件数据;遍历磁盘,根据与所述一个还原点对应的所述磁盘文件数据确定所述磁盘是否有新增的文件;在所述磁盘中有新增的文件的情况下,对所述新增的文件添加启动时锁定的属性,并根据与所述一个还原点对应的注册表数据对所述磁盘进行还原。本专利技术解决上述技术问题的另一种技术方案如下:一种针对勒索软件的处理方法和系统,包括:备份数据库构建模块,用于构建备份数据库,其中,所述备份数据库包括至少一个还原点以及与每个所述还原点对应的还原数据,所述还原数据包括注册表数据和磁盘文件数据;接收模块,用于接收处理请求;调用模块,用于根据所述处理请求从所述备份数据库中选择一个还原点,并调用与所述一个还原点对应的所述磁盘文件数据;差异比较模块,用于遍历磁盘,根据与所述一个还原点对应的所述磁盘文件数据确定所述磁盘是否有新增的文件;锁定模块,用于在所述磁盘中有新增的文件的情况下,对所述新增的文件添加启动时锁定的属性;注册表还原模块,用于在所述磁盘中有新增的文件的情况下,根据与所述一个还原点对应的注册表数据对所述磁盘进行还原。本专利技术的有益效果本文档来自技高网
...
一种针对勒索软件的处理方法和系统

【技术保护点】
一种针对勒索软件的处理方法,其特征在于,包括:构建备份数据库,其中,所述备份数据库包括至少一个还原点以及与每个所述还原点对应的还原数据,所述还原数据包括注册表数据和磁盘文件数据;接收处理请求;根据所述处理请求从所述备份数据库中选择一个还原点,并调用与所述一个还原点对应的所述磁盘文件数据;遍历磁盘,根据与所述一个还原点对应的所述磁盘文件数据确定所述磁盘是否有新增的文件;在所述磁盘中有新增的文件的情况下,对所述新增的文件添加启动时锁定的属性,并根据与所述一个还原点对应的注册表数据对所述磁盘进行还原。

【技术特征摘要】
1.一种针对勒索软件的处理方法,其特征在于,包括:构建备份数据库,其中,所述备份数据库包括至少一个还原点以及与每个所述还原点对应的还原数据,所述还原数据包括注册表数据和磁盘文件数据;接收处理请求;根据所述处理请求从所述备份数据库中选择一个还原点,并调用与所述一个还原点对应的所述磁盘文件数据;遍历磁盘,根据与所述一个还原点对应的所述磁盘文件数据确定所述磁盘是否有新增的文件;在所述磁盘中有新增的文件的情况下,对所述新增的文件添加启动时锁定的属性,并根据与所述一个还原点对应的注册表数据对所述磁盘进行还原。2.根据权利要求1所述的方法,其特征在于,所述磁盘文件数据包括所述磁盘中所有文件的文件路径的哈希值和文件内容的哈希值;所述根据与所述一个还原点对应的所述磁盘文件数据确定所述磁盘是否有新增的文件的步骤包括:计算所述磁盘中所有文件路径的哈希值和文件内容的哈希值;根据所述磁盘中所有文件路径的哈希值和文件内容的哈希值以及与所述一个还原点对应的所述磁盘文件数据,确定所述磁盘是否有新增的文件。3.根据权利要求1所述的方法,其特征在于,所述对所述新增的文件添加启动时锁定的属性的步骤之后,还包括:将所述新增的文件移入预设置的威胁文件夹中,并解除所述新增的文件上添加的启动时锁定的属性。4.根据权利要求3所述的方法,其特征在于,在预设置的清除日志中记录所述将所述新增的文件移入预设置的威胁文件夹中的操作。5.根据权利要求1所述的方法,其特征在于,所述磁盘文件数据包括所述磁盘中所有文件的文件路径的哈希值和文件内容的哈希值;执行所述遍历磁盘,根据与所述一个还原点对应的所述磁盘文件数据确定所述磁盘是否有新增的文件的步骤的同时还包括:遍历所述磁盘,根据与所述一个还原点对应的所述磁盘文件数据确定所述磁盘是否有超过预设数量的文件的文件内容的哈希值发生变化;在所述磁盘是否有超过预设数量的文件的文件内容的哈希值发生变化的情况下,确定所述磁盘受到感染型勒索软件或感染型病毒感染,连接服务器查找并下载能够清除所述感染型勒索软件或感染型病毒的程序。6.一种针对勒索软件的处理系统,其特征在于,包...

【专利技术属性】
技术研发人员:倪茂志
申请(专利权)人:福建平实科技有限公司
类型:发明
国别省市:福建;35

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1