[发明专利]复合型勒索病毒的防御方法、装置、设备及存储介质

说明书

本发明涉及病毒检测技术领域，特别涉及一种复合型勒索病毒的防御方法、装置、设备及存储介质。方法包括：在目标主机的关键位置生成常用后缀的静态诱饵文件；针对每一个执行进程均执行：利用内核驱动对当前执行进程进行监控，对释放的每一个临时文件进行双引擎病毒查杀；对当前执行进程进行黑白名单证书库匹配和程序信任域判断后，利用内核驱动对目标主机的引导扇区、卷影和注册表关键信息进行监控；当前执行进程修改文件的数量达到设定量值时，增大当前执行进程的危险度；实时判断当前执行进程的危险度是否超过阈值，超过阈值时计算当前执行进程的父进程链中每一个进程的危险度，将超过阈值的进程拦截，以提高对复合型勒索病毒的检测准确率。

技术领域

本发明实施例涉及病毒检测技术领域，特别涉及一种复合型勒索病毒的防御方法、装置、设备及存储介质。

背景技术

勒索软件是一种恶意程序，黑客利用各种加密算法加密用户数据、更改系统配置等，使用户资产或资源无法正常使用，并以此为条件要求用户支付费用以获得解密密码或恢复系统正常运行。

随着勒索病毒的不断更新变异，勒索病毒攻击手段也更加丰富，越来越多的事件表明，勒索攻击正在由被动式攻击转为主动式攻击，病毒行为也不再是对文件直接的遍历和加密这种简单的行为，而是逐渐成为复合病毒，具有多种类型病毒属性，如自我复制、自主传播、链式执行等。

而传统勒索病毒防御方法的检测防御手段比较单一，随着复合型勒索病毒的产生，传统勒索病毒的防御方法的检测准确率已经达不到要求了。

因此，亟需一种复合型勒索病毒的防御方法。

发明内容

为了解决传统勒索病毒防御方法对复合型勒索病毒的检测准确率较低的问题，本发明实施例提供了一种复合型勒索病毒的防御方法、装置、设备及存储介质。

第一方面，本发明实施例提供了一种复合型勒索病毒的防御方法，方法包括：

对目标主机进行文件后缀遍历，确定所述目标主机的常用后缀，以在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件；

针对每一个执行进程，均执行：

利用内核驱动对当前执行进程进行监控，将当前执行进程释放的临时文件的信息存储于目标链表中，以对每一个所述临时文件进行双引擎病毒查杀；

对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，以利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度；

当当前执行进程修改文件的数量达到设定量值时，基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度；

实时判断当前执行进程的危险度是否超过阈值，当超过阈值时，计算当前执行进程的父进程链中每一个进程的危险度，以将超过所述阈值的进程拦截，并将被拦截的进程对应的文件和其释放的临时文件放入隔离区。

第二方面，本发明实施例还提供了一种复合型勒索病毒的防御装置，装置包括：

诱饵单元，用于对目标主机进行文件后缀遍历，确定所述目标主机的常用后缀，以在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件；

查杀单元，用于针对每一个执行进程，均执行：利用内核驱动对当前执行进程进行监控，将当前执行进程释放的临时文件的信息存储于目标链表中，以对每一个所述临时文件进行双引擎病毒查杀；

监控单元，用于对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，以利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度；

检测单元，用于当当前执行进程修改文件的数量达到设定量值时，基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度；