[发明专利]一种勒索病毒的检测方法、装置以及存储介质

说明书

本申请公开了一种勒索病毒的检测方法、装置以及存储介质，应用于信息安全领域，该方法包括在计算机的目标位置处创建诱饵文件，其中目标位置为计算机的桌面、计算机C盘的根目录、以及用户自定义的位置中的任意一项或任意组合，用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；将诱饵文件路径发送给内核并控制内核监控针对计算机内的文件的操作事件，若监控到操作事件的发生，则判断与操作事件对应的文件与诱饵文件的路径是否匹配，若是则表征是勒索病毒在进行操作事件。当有勒索病毒试图加密计算机上的文件时，就会首先命中创建好的诱饵文件，该方法能及时检测出勒索病毒，避免勒索病毒造成无法挽回的损失。

技术领域

本申请涉及信息安全领域，特别是涉及一种勒索病毒的检测方法、装置以及存储介质。

背景技术

当前，恶意软件攻击正向高级化和复杂化的趋势发展。勒索病毒作为其中的一种，通过操作系统漏洞、邮件投递、网页后门、恶意木马程序等方式进行传播，通过加密、锁屏等方式来劫持用户文件、破坏用户数据，以达到勒索钱财的目的。目前防范勒索病毒的方法是利用勒索病毒必然会遍历磁盘文件的特点，构造符合勒索病毒加密类型的诱饵文件，并插入到磁盘原有文件的序列中，若诱饵文件发生变化，产生报警信息。

此方法虽然能检测出勒索病毒，但是因为诱饵文件的放置位置直接关系到勒索病毒能不能被及时检测到，所以若诱饵文件放置的位置不符合勒索病毒攻击的规律，会导致系统无法及时检测到勒索病毒，从而让勒索病毒造成无法挽回的损失。

由此可见，如何实现及时检测到勒索病毒，是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种勒索病毒的检测方法、装置以及存储介质，便于及时检测到勒索病毒。

为解决上述技术问题，本申请提供一种勒索病毒的检测方法，包括：

在目标位置处创建诱饵文件，其中所述目标位置为计算机的桌面、计算机C盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，所述用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；

将所述诱饵文件的路径发送给内核；

控制所述内核监控针对计算机内的文件的操作事件；

若监控到发生所述操作事件，则判断与所述操作事件对应的所述文件与所述诱饵文件的路径是否匹配；

若是，则判定进行所述操作事件的主体是所述勒索病毒。

优选地，所述在目标位置处创建诱饵文件包括：

获取所述用户的设置指令；

若在预设时间内获取到所述设置指令，则在所述设置指令相对应的位置创建所述诱饵文件；

若在所述预设时间内未获取到所述设置指令，则在所述桌面和/或所述C盘的根目录中创建所述诱饵文件。

优选地，所述诱饵文件有三种，包括第一诱饵文件、第二诱饵文件、第三诱饵文件；

所述第一诱饵文件的文件名的unicode编码相对于计算机内所有的所述文件的文件名的unicode编码大；

所述第二诱饵文件的文件名的unicode编码相对于计算机内所有的所述文件的文件名的unicode编码小；

所述第三诱饵文件的文件名的unicode编码为随机大小。

优选地，所述判定进行所述操作事件的主体是所述勒索病毒之后，还包括：

将所述勒索病毒的PID及路径上报至应用层，以便于所述应用层终止所述勒索病毒对计算机的操作。

优选地，所述将所述勒索病毒的PID及路径上报至应用层之后，还包括：