(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114139152A(43)申请公布日2022.03.04(21)申请号202111276824.8(22)申请日2021.10.29(71)申请人苏州浪潮智能科技有限公司地址215100江苏省苏州市吴中区吴中经济开发区郭巷街道官浦路1号9幢(72)发明人王勇(74)专利代理机构北京集佳知识产权代理有限公司11227代理人张艺(51)Int.Cl.G06F21/56(2013.01)G06F16/16(2019.01)权利要求书2页说明书9页附图3页(54)发明名称一种勒索病毒的检测方法、装置以及存储介质(57)摘要本申请公开了一种勒索病毒的检测方法、装置以及存储介质，应用于信息安全领域，该方法包括在计算机的目标位置处创建诱饵文件，其中目标位置为计算机的桌面、计算机C盘的根目录、以及用户自定义的位置中的任意一项或任意组合，用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；将诱饵文件路径发送给内核并控制内核监控针对计算机内的文件的操作事件，若监控到操作事件的发生，则判断与操作事件对应的文件与诱饵文件的路径是否匹配，若是则表征是勒索病毒在进行操作事件。当有勒索病毒试图加密计算机上的文件时，就会首先命中创建好的诱饵文件，该方法能及时检测出勒索病毒，避免勒索病毒造成无法挽回的损失。CN114139152ACN114139152A权利要求书1/2页1.一种勒索病毒的检测方法，其特征在于，包括：在目标位置处创建诱饵文件，其中所述目标位置为计算机的桌面、计算机C盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，所述用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；将所述诱饵文件的路径发送给内核；控制所述内核监控针对计算机内的文件的操作事件；若监控到发生所述操作事件，则判断与所述操作事件对应的所述文件与所述诱饵文件的路径是否匹配；若是，则判定进行所述操作事件的主体是所述勒索病毒。2.根据权利要求1所述的勒索病毒的检测方法，其特征在于，所述在目标位置处创建诱饵文件包括：获取所述用户的设置指令；若在预设时间内获取到所述设置指令，则在所述设置指令相对应的位置创建所述诱饵文件；若在所述预设时间内未获取到所述设置指令，则在所述桌面和/或所述C盘的根目录中创建所述诱饵文件。3.根据权利要求1所述的勒索病毒的检测方法，其特征在于，所述诱饵文件有三种，包括第一诱饵文件、第二诱饵文件、第三诱饵文件；所述第一诱饵文件的文件名的unicode编码相对于计算机内所有的所述文件的文件名的unicode编码大；所述第二诱饵文件的文件名的unicode编码相对于计算机内所有的所述文件的文件名的unicode编码小；所述第三诱饵文件的文件名的unicode编码为随机大小。4.根据权利要求1至3任意一项所述的勒索病毒的检测方法，其特征在于，所述判定进行所述操作事件的主体是所述勒索病毒之后，还包括：将所述勒索病毒的PID及路径上报至应用层，以便于所述应用层终止所述勒索病毒对计算机的操作。5.根据权利要求4所述的勒索病毒的检测方法，其特征在于，所述将所述勒索病毒的PID及路径上报至应用层之后，还包括：将所述勒索病毒的路径上报至管理平台以便在所述管理平台标记所述勒索病毒。6.根据权利要求4所述的勒索病毒的检测方法，其特征在于，所述将所述勒索病毒的PID及路径上报至应用层之后，还包括：向与当前计算机处于同一网络的其他计算机发送警报信息以拒绝所述勒索病毒的操作。7.根据权利要求1所述的勒索病毒的检测方法，其特征在于，还包括：在管理平台设置开关，所述开关用于获取所述用户的开启命令和关闭命令；若计算机中没有所述诱饵文件，则在检测到所述开关获取到所述开启命令之后进入所述在计算机的目标位置处创建诱饵文件的步骤；若计算机中存在所述诱饵文件，则在检测到所述开关获取到所述关闭命令之后删除计2CN114139152A权利要求书2/2页算机中的所述诱饵文件并停止相关监控。8.一种勒索病毒的检测装置，其特征在于，包括：创建模块，用于在目标位置处创建诱饵文件，其中所述目标位置为计算机的桌面、计算机C盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，所述用户自定义的位置为所述用户根据不同勒索病毒的攻击特性确定出的位置；第一发送模块，用于将所述诱饵文件的路径发送给内核；控制模块，用于控制所述内核监控针对计算机内的文件的操作事件；判断模块，用于若监控到发生所述操作事件，则判断与所述操作事件对应的所述文件与所述诱饵文件的路径是否匹配；若是，则判定进行所述操作事件的主体是所述勒索病毒。9.一种勒索病毒的检测装置，其特征在于，包括存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如