(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113672916A(43)申请公布日2021.11.19(21)申请号202110856449.8(22)申请日2021.07.28(71)申请人安天科技集团股份有限公司地址150028黑龙江省哈尔滨市高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人高泽霖张慧云(74)专利代理机构北京科衡知识产权代理有限公司11928代理人王淑静(51)Int.Cl.G06F21/56(2013.01)G06F21/55(2013.01)G06F21/60(2013.01)G06F21/62(2013.01)权利要求书3页说明书12页附图3页(54)发明名称一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备(57)摘要本申请的实施例公开了一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备，涉及防御技术领域，为有效提高用户数据的安全性而发明。所述方法，包括：确定疑似恶意勒索进程；其中，所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程；监控所述疑似恶意勒索进程是否对文件进行修改；当监控到所述疑似恶意勒索进程对文件进行修改，则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。本申请适用于对疑似恶意勒索软件进行防御。CN113672916ACN113672916A权利要求书1/3页1.一种阻止疑似恶意勒索软件攻击的方法，其特征在于，包括：确定疑似恶意勒索进程；其中，所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程；监控所述疑似恶意勒索进程是否对文件进行修改；当监控到所述疑似恶意勒索进程对文件进行修改，则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。2.根据权利要求1所述的方法，其特征在于，所述确定疑似恶意勒索进程，包括：监控目标进程在第一预定时间内对文件修改的次数；当所述目标进程在所述第一预定时间内对文件修改的次数大于预定阈值，则将所述目标进程确定为疑似恶意勒索进程。3.根据权利要求1所述的方法，其特征在于，所述当监控到所述疑似恶意勒索进程对文件进行修改，则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名，包括：当监控到所述疑似恶意勒索进程对第一文件进行修改，则按照所述预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名。4.根据权利要求3所述的方法，其特征在于，在按照预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名之后，所述方法，还包括：监控所述恶意进程是否打开第二文件目录；若监控到所述疑似恶意勒索进程打开所述第二文件目录，则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名，还原所述第一文件目录下的除所述第一文件外的各文件的后缀名；或者，若在第二预定时间内未监控到所述疑似恶意勒索进程打开所述第二文件目录，则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名，还原所述第一文件目录下的除所述第一文件外的各文件的后缀名。5.根据权利要求3所述的方法，其特征在于，所述方法，还包括：监控所述疑似恶意勒索进程是否打开第二文件目录；若监控到所述疑似恶意勒索进程打开所述第二文件目录，则按照所述预设规则修改所述第二文件目录中的所有文件的后缀名。6.根据权利要求1所述的方法，其特征在于，所述按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名，包括：根据未被所述疑似恶意勒索进程修改过的文件的后缀名和预设规则，生成新的后缀名；将所述新的后缀名与预设的标准后缀名数据库中的后缀名进行比较；当所述新的后缀名与预设的标准后缀名数据库中的后缀名不同，则使用所述新的后缀名替换未被所述疑似恶意勒索进程修改过的文件的后缀名。7.根据权利要求1所述的方法，其特征在于，所述方法，还包括：创建文件列表；其中，所述文件列表包括所述疑似恶意勒索进程对文件进行修改的信息；2CN113672916A权利要求书2/3页将所述疑似恶意勒索进程的信息及所述文件列表向用户发送。8.一种阻止疑似恶意勒索软件攻击的装置，其特征在于，包括：确定模块，用于确定疑似恶意勒索进程；其中，所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程；第一监控模块，用于监控所述疑似恶意勒索进程是否对文件进行修改；第一修改模块，用于当监控到所述疑似恶意勒索进程对文件进行修改，则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。9.根据权利要求8所述的装置，其特征在于，所述确定模块，具体用于：监控目标进程在第一预定时间内对文件修改的次数；当所述目标进程在所述第一预定时间内对文件修改的次数大于预定阈值，则将所述目标进程确定为疑似恶意勒索进程。10.根据权利要求8所述的装置，其