[发明专利]诱捕勒索病毒的方法及系统

说明书

本发明提供了一种诱捕勒索病毒的方法及系统。该方法包括：释放诱饵文件到指定系统位置；利用MINIFILTER过滤驱动框架可以监视到对诱饵文件的访问动作；当监视到对诱饵文件的访问动作时，进行报警拦截。本发明提供的诱捕勒索病毒的方法及系统能够对勒索病毒进行诱捕。

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种诱捕勒索病毒的方法及系统。

发明内容

本发明要解决的技术问题是提供一种诱捕勒索病毒的方法及系统，能够对勒索病毒进行诱捕。

为解决上述技术问题，本发明提供了一种诱捕勒索病毒的方法，所述方法包括：释放诱饵文件到指定系统位置；利用MINIFILTER过滤驱动框架可以监视到对诱饵文件的访问动作；当监视到对诱饵文件的访问动作时，进行报警拦截。

在一些实施方式中，利用MINIFILTER过滤驱动框架可以监视到对诱饵文件的访问动作，包括：通过计算文件CRC匹配是否为设置的诱饵文件；匹配上并且访问诱饵文件的进程非系统和自身软件进程，就认定访问动作是对诱饵文件的访问动作。

在一些实施方式中，还包括：在内核中注册进程创建回调函数；当有进程创建时，进程过滤器计算当前创建进程的哈希值；利用当前创建进程的哈希值匹配黑名单程序中的哈希值；一旦匹配成功，触发拦截动作。

在一些实施方式中，黑名单是计算程序文件哈希值。

在一些实施方式中，哈希值保存在一个MAP容器中。

在一些实施方式中，还包括：开机启动时第三方程序的延时启动。

在一些实施方式中，开机启动时第三方程序的延时启动，包括：进程过滤回调函数中计算开机启动时间，在一个时间范围内认为是开机进入系统的空档期，这个期会有很多开机自启动程序启动，回调函数会拦截所有的进程，计算程序文件HASH值匹配是否为系统和自身进程，如果是就放过使之正常运行，如果是第三方进程，则会进入延时逻辑中。

此外，本发明还提供了一种诱捕勒索病毒的系统，所述系统包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现根据前文所述的诱捕勒索病毒的方法。

采用这样的设计后，本发明至少具有以下优点：

不做进程行为监视，只做了固定的诱饵文件的访问监视，保证系统运行性能。

附图说明

上述仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，以下结合附图与具体实施方式对本发明做进一步的详细说明。

图1是方法流程图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明实现了在windows系统下的勒索病毒诱捕，当病毒在扫描加密用户文件时，优先发现病毒扫描加密行为，并拦截病毒运行，防止病毒加密实际用户文件的诱捕手段，及防止磁盘引导区被感染的防御手段。

所有的监视和处理逻辑都是通过内核实现，以驱动方式提供。

1.防勒索软件释放诱饵文件到指定系统位置，这里的诱饵文件相当于鱼饵，形成针对勒索病毒的陷阱文件。诱饵文件使用随机名称，随机文件内容的无意义数据，此类文件对用户完全没有意义，所以用户正常情况下不会访问和打开这些诱饵文件。随机名称并非完全随机的名称，名称的定义是通过分析大量勒索病毒样本扫描文件方式后，设定的文件名称和文件类型，保证勒索病毒在扫描文件时，会优先扫描到诱饵文件，从而第一时间触发拦截动作，保证用户的实际文件不受影响。