(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114424194A(43)申请公布日2022.04.29(21)申请号202080030340.2(74)专利代理机构永新专利商标代理有限公司(22)申请日2020.03.2872002代理人李光颖(30)优先权数据16/391,5892019.04.23US(51)Int.Cl.G06F21/56(2006.01)(85)PCT国际申请进入国家阶段日2021.10.21(86)PCT国际申请的申请数据PCT/US2020/0255802020.03.28(87)PCT国际申请的公布数据WO2020/219217EN2020.10.29(71)申请人微软技术许可有限责任公司地址美国华盛顿州(72)发明人F·凯勒雷斯库S·J·贝利J·D·罗德古斯权利要求书2页说明书20页附图17页(54)发明名称自动恶意软件修复和文件恢复管理(57)摘要公开了用于提供基于自动服务的恶意软件修复的系统和方法。当计算设备被恶意软件(例如，勒索软件)攻击时，往往需要多个人工步骤才能够完全修复所述设备。通常需要用户遵循若干个步骤才能够移除勒索软件，并且用户有可能必须完成对受影响设备重做映像这种很困难的任务，而且对于时间点恢复而言可能必须完成对恢复点的选择。所公开的系统提供了一种机制，通过所述机制，基于云的服务管理针对用户的完全自动的修复和文件恢复过程。CN114424194ACN114424194A权利要求书1/2页1.一种自动修复和恢复系统，包括：处理器；以及包括指令的计算机可读介质，所述指令当由所述处理器运行时使所述处理器：在同步会话期间在远程云服务处通过通信网络接收来自第一客户端设备的针对第一文件的同步数据，所述同步数据指示第一客户端设备与被恶意软件感染的可能性相关联；在所述远程云服务处响应于接收到所述同步数据而确定所述第一客户端设备已经被恶意软件感染；响应于关于所述第一设备已经被感染的所述确定而自动地调用用于对所述第一客户端设备的修复的反病毒服务，所述第一设备向所述反病毒服务注册；在所述远程云服务处确认对所述第一客户端设备的所述修复已经成功地完成；基于对所述第一文件的同步历史的检查来确定当所述第一文件的受感染版本被初始提交以用于与所述远程云服务同步时的初始感染时间；并且通过在所述远程云服务处识别在所述初始感染时间之前被同步的所述第一文件的第一版本并且利用所述第一版本代替所述受感染版本而自动地恢复所述客户端设备上的所述第一文件。2.根据权利要求1所述的系统，其中，所述恶意软件是以下中的一种：勒索软件、间谍软件、广告软件、病毒或蠕虫。3.根据权利要求1所述的系统，其中，所述反病毒服务被本地安装在所述第一客户端设备上。4.根据权利要求1所述的系统，其中，所述指令还使所述处理器通过以下操作来自动地恢复远程云存储装置内的所述第一文件的副本：使被存储在所述远程云存储装置中的所述受感染版本复原至所述第一版本。5.根据权利要求1所述的系统，其中，所述第一客户端设备上的多个文件被恶意软件损害，并且其中，所述指令还使所述处理器通过以下操作来自动地恢复远程云存储装置内的所述多个文件中的每个文件的副本：使每个受损害文件的受感染版本复原至在所述初始感染时间之前被同步的所述文件的版本。6.根据权利要求1所述的系统，其中，所述第一版本对应于在比所述初始感染时间至少早预定缓冲时段而发生的同步会话期间被同步的所述第一文件的版本。7.根据权利要求1所述的系统，其中，所述指令还使所述处理器在所述远程云服务处接收来自与所述第一客户端设备相关联的用户账户的、关于启用自动修复的授权。8.根据权利要求1所述的系统，其中，所述指令还使所述处理器在所述远程云服务处接收来自与所述第一客户端设备相关联的用户账户的、关于启用对所述客户端设备上的文件的自动恢复的授权。9.根据权利要求8所述的系统，其中，所述授权是在接收到针对所述第一文件的所述同步数据之前获得的。10.根据权利要求1所述的系统，其中，所述授权是在确定所述第一客户端设备已经被恶意软件感染之后响应于来自所述远程云服务的请求而获得的。11.一种方法，包括：在同步会话期间在远程云服务处通过通信网络接收来自第一客户端设备的针对第一2CN114424194A权利要求书2/2页文件的同步数据，所述同步数据指示第一客户端设备与被恶意软件感染的可能性相关联；在所述远程云服务处响应于接收到所述同步数据而确定所述第一客户端设备已经被恶意软件感染；响应于关于所述第一设备已经被感染的所述确定而自动地调用用于对所述第一客户端设备的修复的反病毒服务，所述第一设备向所述反病毒服务注册；在所述远程云服务处确认对所述第一客户端设备的所述修复已经成功地完成；基于对所述第一文件的同步历史的检查来确