1.一种勒索者病毒的检测方法,其特征在于,包括:
若存在修改文件的进程,则挂起进程并备份文件至可读区域,备份完成后放行该进程;
对比修改后的文件与备份的文件的熵值,判定当前进程是否对文件进行了加密操作;
若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值,若是则判定为疑似勒索者病毒。
2.如权利要求1所述的方法,其特征在于,在判定为疑似勒索者病毒之前,还包括:收集被加密的所有文件,并判断具备相同扩展名的文件所占比例是否超过预设值,若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串,若是则判定为疑似勒索者病毒;
将相同扩展名、文件名中的相同字符串部分存入特征库,用于后续分析。
3.如权利要求2所述的方法,其特征在于,在判定为疑似勒索者病毒之后,还包括:
若被加密的文件所在文件夹内存在html文件或者txt文件,则进一步判断所述html文件或者txt文件内是否存在URL链接,若存在则提取所述URL链接并存入特征库;
若被加密的文件所在文件夹内不存在html文件或者txt文件,则遍历非加密文件中是否存在URL链接,若存在则提取所述URL链接并存入特征库。
4.如权利要求3所述的方法,其特征在于,在判定为疑似勒索者病毒之后,还包括:删除被加密的文件并将备份的文件恢复到原来位置。
5.一种勒索者病毒的检测系统,其特征在于,包括:
文档备份模块,用于若存在修改文件的进程,则挂起进程并备份文件至可读区域,备份完成后放行该进程;
加密判定模块,用于对比修改后的文件与备份的文件的熵值,判定当前进程是否对文件进行了加密操作;
初次判定模块,用于若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值,若是则判定为疑似勒索者病毒。
6.如权利要求5所述的系统,其特征在于,还包括:二次判定模块,用于收集被加密的所有文件,并判断具备相同扩展名的文件所占比例是否超过预设值,若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串,若是则判定为疑似勒索者病毒;
将相同扩展名、文件名中的相同字符串部分存入特征库,用于后续分析。
7.如权利要求6所述的系统,其特征在于,还包括:恶意域名记录模块,用于若被加密的文件所在文件夹内存在html文件或者txt文件,则进一步判断所述html文件或者txt文件内是否存在URL链接,若存在则提取所述URL链接并存入特征库;
若被加密的文件所在文件夹内不存在html文件或者txt文件,则遍历非加密文件中是否存在URL链接,若存在则提取所述URL链接并存入特征库。
8.如权利要求7所述的系统,其特征在于,还包括:文档恢复模块,用于删除被加密的文件并将备份的文件恢复到原来位置。