[发明专利]一种勒索软件攻击的防护方法及装置

说明书

本发明的实施例公开一种勒索软件攻击的防护方法及装置，涉及网络安全技术领域，能够通过对用户设备文件进行哈希DPH处理以及备份和恢复的方式，降低勒索软件对用户设备文件攻击所造成的损失。该方法包括：确定应用程序访问当前用户设备文件；应用程序包括不可信应用程序；当前用户设备文件为标识用户设备文件；其中，标识用户设备文件的关键信息经过哈希DPH处理；关键信息包括文件头和修改时间；确认当前用户设备文件的文件头的格式未被损坏，且修改时间与DPH列表中存储当前用户设备文件的修改时间不一致时，对当前用户设备文件进行备份；确认当前用户设备文件文件头的格式被损坏时，对当前用户设备文件根据备份列表中备份的当前用户设备文件进行恢复。本发明实施例应用于网络系统。

技术领域

本发明的实施例涉及网络安全技术领域，尤其涉及一种勒索软件攻击的防护方法及装置。

背景技术

勒索软件是指通常会将用户系统上的文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用；或者通过修改系统配置文件、干扰用户正常使用系统的方法，从而使系统的可用性降低。然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

现有技术中，针对勒索软件攻击用户系统文件一个典型的解决方案是基于勒索软件二进制码的样本库。杀毒软件厂商尽可能多地收集的勒索软件和其变种文件，并提取这些恶意软件的样本。这个方案的缺点是任何新的勒索软件可以轻松绕过样本库的检测；另一种解决方案是基于勒索软件通常使用的敏感系统API(Application ProgrammingInterface，应用程序编程接口)，通过挂钩子(Hook)截获对这些API的使用，诸如加密/解密相关API。一旦这些API被调用，防御解决方案才开始监视和检测其后续行为。但是，这种解决方案非常容易产生误报信息；并且如果勒索软件不调用系统加密API，而使用自己的加密算法，这种方法就会失效。

发明内容

本发明的实施例提供一种勒索软件攻击的防护方法及装置，能够通过对用户设备文件进行哈希DPH处理以及备份和恢复的方式，降低勒索软件对用户设备文件攻击所造成的损失。

第一方面，提供一种勒索软件攻击的防护方法，确定应用程序访问当前用户设备文件；应用程序包括不可信应用程序；当前用户设备文件为标识用户设备文件；其中，标识用户设备文件的关键信息经过哈希DPH处理；关键信息包括文件头和修改时间；确认当前用户设备文件的文件头的格式未被损坏，且修改时间与DPH列表中存储当前用户设备文件的修改时间不一致时，对当前用户设备文件进行备份；确认当前用户设备文件文件头的格式被损坏时，对当前用户设备文件根据备份列表中备份的当前用户设备文件进行恢复；若对当前用户设备文件备份失败，则进行告警或记录日志，且允许应用程序访问当前用户设备文件；若对当前用户设备文件恢复失败，则拒绝应用程序访问用户设备中当前用户设备文件以外的其他标识用户设备文件；若对当前用户设备文件备份成功或对当前用户设备文件恢复成功，则允许应用程序访问当前用户设备文件。

在上述勒索软件攻击的防护方法中，首先确认应用程序访问当前用户设备文件时；当应用程序为不可信应用程序；当前用户设备文件为标识用户设备文件时；其中，标识用户设备文件的关键信息经过哈希DPH处理；关键信息包括文件头和修改时间。判断当前用户设备文件的文件头的格式是否被损坏。若未损坏，且修改时间与DPH列表中存储当前用户设备文件的修改时间不一致时，对当前用户设备文件进行备份；否则对当前用户设备文件根据备份列表中备份的当前用户设备文件进行恢复。最后根据对当前用户设备文件备份的成功或失败，决定是否进行告警或记录日志后，允许应用程序访问当前用户设备文件。根据对当前用户设备文件恢复的成功或失败，决定是允许应用程序访问当前用户设备文件，还是拒绝应用程序访问用户设备中当前用户设备文件以外的其他标识用户设备文件。因此，本申请能够通过对用户设备文件进行哈希DPH处理以及备份和恢复的方式，降低勒索软件对用户设备文件进一步的攻击所造成的损失。