(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113672925A(43)申请公布日2021.11.19(21)申请号202110991405.6(22)申请日2021.08.26(71)申请人安天科技集团股份有限公司地址150028黑龙江省哈尔滨市高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人高泽霖郑楠张慧云(74)专利代理机构北京科衡知识产权代理有限公司11928代理人王淑静(51)Int.Cl.G06F21/56(2013.01)G06F21/60(2013.01)G06F21/62(2013.01)权利要求书2页说明书9页附图3页(54)发明名称阻止勒索软件攻击的方法、装置、存储介质及电子设备(57)摘要本发明一个或多个实施例公开一种阻止勒索软件攻击的方法、装置、存储介质及电子设备。其中，阻止勒索软件攻击的方法包括：对系统中运行的进程进行监控；根据所述进程的运行情况，确定所述进程是否为可疑进程；若确定所述进程为可疑进程，取消所述进程的应用程序接口中的文件删除函数的文件删除功能。本发明实施例能够有效避免勒索软件删除源文件。CN113672925ACN113672925A权利要求书1/2页1.一种阻止勒索软件攻击的方法，其特征在于，包括：对系统中运行的进程进行监控；根据所述进程的运行情况，确定所述进程是否为可疑进程；若确定所述进程为可疑进程，取消所述进程的应用程序接口中的文件删除函数的文件删除功能。2.根据权利要求1所述的方法，其特征在于，根据所述进程的运行情况，确定所述进程是否为可疑进程，包括：判断所述进程在第一预设时间段内发生可疑行为的次数是否超过第一阈值；若确定所述进程发生可疑行为的次数，在所述第一预设时间段内超过所述第一阈值，则确定所述进程为可疑进程。3.根据权利要求2所述的方法，其特征在于，所述可疑行为至少包括以下一种：读取源文件内容并对所述源文件内容进行加密、创建新的具有可疑后缀的文件、将加密后的文件内容写入新创建的文件中、删除源文件。4.根据权利要求1所述的方法，其特征在于，若确定所述进程为可疑进程，取消所述进程的应用程序接口中的文件删除函数的文件删除功能，包括：若确定所述进程为可疑进程，则Hook所述可疑进程的应用程序接口中的文件删除函数，以取消所述文件删除函数的文件删除功能。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：在确定所述进程为可疑进程，取消所述进程的应用程序接口中的文件删除函数的文件删除功能之后，确定所述可疑进程所针对的文件夹中具有可疑后缀的文件的数量；若所述文件夹中具有可疑后缀的文件的数量超过第二阈值，则确定所述可疑进程是勒索软件的进程；或者，待所述可疑进程执行结束后，或所述可疑进程执行时长超第二预设时间段后，比较各文件夹中文件名相同且后缀名不同的文件数量，若各文件夹中文件名相同且后缀名不同的文件数量超过第三阈值，则确定所述可疑进程是勒索软件的进程。6.根据权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：在确定所述进程为可疑进程，取消所述进程的应用程序接口中的文件删除函数的文件删除功能之后，记录所述可疑进程调用所述文件删除函数指示删除的目标文件的信息；在确定所述可疑进程并非勒索软件的进程之后，根据所述目标文件的信息删除所述目标文件。7.一种阻止勒索软件攻击的装置，其特征在于，包括：监控模块，被配置为对系统中运行的进程进行监控；第一确定模块，被配置为根据所述进程的运行情况，确定所述进程是否为可疑进程；取消模块，被配置为若确定所述进程为可疑进程，取消所述进程的应用程序接口中的文件删除函数的文件删除功能。8.根据权利要求7所述的装置，其特征在于，所述第一确定模块具体被配置为：判断所述进程在第一预设时间段内发生可疑行为的次数是否超过第一阈值；若确定所述进程发生可疑行为的次数，在所述第一预设时间段内超过所述第一阈值，则确定所述进程为可疑进程。2CN113672925A权利要求书2/2页9.根据权利要求8所述的装置，其特征在于，所述可疑行为至少包括以下一种：读取源文件内容并对所述源文件内容进行加密、创建新的具有可疑后缀的文件、将加密后的文件内容写入新创建的文件中、删除源文件。10.根据权利要求7所述的装置，其特征在于，所述取消模块具体被配置为：若确定所述进程为可疑进程，则Hook所述可疑进程的应用程序接口中的文件删除函数，以取消所述文件删除函数的文件删除功能。11.根据权利要求7所述的装置，其特征在于，所述装置还包括：第二确定模块，被配置为在确定所述进程为可疑进程，取消所述进程的应用程序接口中的文件删除函数的文件删除功能之后，确定所述可疑进程所针对的文件夹中具有可疑后缀的文件的数量；若所述文件夹中具有可疑后缀的文件的数