[发明专利]一种勒索软件的防护方法、装置、电子设备及存储介质

权利要求书

1.一种勒索软件的防护方法，其特征在于，应用于电子设备，该方法包括：

如果监控到系统中的进程对文件进行修改操作，将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中，并在所述修改操作文件中保存所述信息的记录时间；

根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程；

如果是，阻断所述进程对文件进行修改操作；

所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中包括：

根据所述修改操作的类型，将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中；

所述根据所述修改操作文件中所述记录时间之前的设定时间长度内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程包括：

判断所述进程的第一目标修改操作的信息是否满足以下至少一个条件，如果是，确定所述进程为勒索软件进程；其中所述至少一个条件包括：所述进程对至少两个不同格式的文件，进行了对文件后缀名的重命名操作和写操作；或

所述进程对至少两个不同格式的文件进行写操作，且对所述至少两个不同格式的文件包含的全部内容或固定长度的内容进行写操作；或

所述进程对同一目录下的至少两个不同格式的文件进行删除操作，且在所述目录下创建了不符合预设格式的文件。

2.如权利要求1所述的方法，其特征在于，在所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前，所述方法还包括：

判断所述进程的信息是否保存在勒索软件进程黑名单中；

如果是，阻断所述进程对文件进行修改操作；

如果否，进行后续步骤。

3.如权利要求1所述的方法，其特征在于，所述根据所述修改操作的类型，将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中包括：

如果所述修改操作的类型为写操作，则记录所述进程的标识信息、所述文件的标识信息、所述文件中被修改的内容的起始位置的信息、被修改的内容的长度的信息及所述长度对应的被修改的内容的信息；

如果所述修改操作的类型为重命名操作，则记录所述进程的标识信息、修改前的文件名及修改后的文件名，其中所述重命名操作包括对文件主名的重命名和对文件后缀名的重命名；

如果所述修改操作的类型为创建操作，则记录所述进程的标识信息及创建的所述文件的文件名；

如果所述修改操作的类型为删除操作，则记录所述进程的标识信息、所述文件的标识信息及所述文件中被删除的内容。

4.如权利要求1所述的方法，其特征在于，所述阻断所述进程对文件进行修改操作后，所述方法还包括：

根据所述进程对应的每条第一目标修改操作的信息，对所述进程对应的每条第一目标修改操作进行回滚，将对应的每个文件恢复为修改前的文件。

5.如权利要求1所述的方法，其特征在于，监控到系统中的进程对文件进行修改操作后，在将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前，所述方法还包括：

识别所述进程进行修改操作的文件是否为修改操作文件；

如果否，则允许所述进程对所述文件进行修改操作，进行后续步骤；

如果是，当所述进程不存在修改权限时，阻断所述进程对所述修改操作文件进行修改操作。

6.如权利要求1所述的方法，其特征在于，如果所述进程非勒索软件进程，则所述方法还包括：

允许所述进程对文件进行修改操作；

根据所述进程对应的每条第二目标修改操作的信息，将记录时长超过设定的第二记录时长的第二目标修改操作的信息进行删除。