[发明专利]复合型勒索病毒的防御方法、装置、设备及存储介质

权利要求书

1.一种复合型勒索病毒的防御方法，其特征在于，包括：

对目标主机进行文件后缀遍历，确定所述目标主机的常用后缀，以在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件；

针对每一个执行进程，均执行：

利用内核驱动对当前执行进程进行监控，将当前执行进程释放的临时文件的信息存储于目标链表中，以对每一个所述临时文件进行双引擎病毒查杀；

对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，以利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度；

当当前执行进程修改文件的数量达到设定量值时，基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度；

实时判断当前执行进程的危险度是否超过阈值，当超过阈值时，计算当前执行进程的父进程链中每一个进程的危险度，以将超过所述阈值的进程拦截，并将被拦截的进程对应的文件和其释放的临时文件放入隔离区。

2.根据权利要求1所述的方法，其特征在于，所述对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，包括：

获取当前执行进程的证书；

若获取到证书，则判断所述证书是否在微软的黑白名单证书库中，当在黑名单证书库时，直接拦截当前执行进程；当在白名单证书库时，确定当前执行进程是信任进程；

若未获取到证书或所述证书不在所述黑白名单证书库中时，判断当前执行进程是否位于预先添加的程序信任域中，当不在程序信任域时，确定当前执行进程是非信任进程，当在程序信任域时，确定当前执行进程是信任进程。

3.根据权利要求1所述的方法，其特征在于，所述利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度，包括：

利用内核驱动分别对所述目标主机的引导扇区、卷影和注册表关键信息进行监控；

针对当前执行进程每一次对所述目标主机的引导扇区、卷影或注册表关键信息进行信息删除或修改，均执行：

向用户发出询问通知；

若该次用户选择阻止，则直接拦截当前执行进程；

若该次用户选择允许，则基于当前执行进程是信任进程还是非信任进程、当前执行进程所针对的信息类型，增加当前执行进程的危险度影响因子的数值，以增加当前执行进程的危险度；其中，所述危险度影响因子至少包括潜在危险值、可能性和后果值。

4.根据权利要求1所述的方法，其特征在于，在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件之后，还包括：

当当前执行进程扫描所述目标主机中除所述关键位置之外的目录时，在所扫描的目录动态生成若干个常用后缀的第二诱饵文件。

5.根据权利要求4所述的方法，其特征在于，所述基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度，包括：

在被修改文件中，当前执行进程每加密一个所述第一诱饵文件和所述第二诱饵文件，则基于当前执行进程是信任进程还是非信任进程，增加一次当前执行进程的危险度影响因子的数值，以增加当前执行进程的危险度；其中，所述危险度影响因子至少包括潜在危险值、可能性和后果值；

分析每一个被修改文件的修改内容，若一定量的被修改文件被写入密文，则基于当前执行进程是信任进程还是非信任进程，增加当前执行进程的危险度影响因子的数值，以增加当前执行进程的危险度。

6.根据权利要求1-5中任一项所述的方法，其特征在于，所述计算当前执行进程的父进程链中每一个进程的危险度，包括：

S1，确定当前执行进程的父进程链中每一个进程的父子关系；

S2，将当前执行进程作为目标子进程；

S3，基于所述目标子进程的危险度、所述目标子进程的父进程的初始危险度，确定所述目标子进程的父进程的危险度；

S4，将当前父进程作为新的目标子进程，跳转执行步骤S3，直至计算出当前执行进程的父进程链中每一个进程的危险度。