(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112651023A(43)申请公布日2021.04.13(21)申请号202011587359.5(22)申请日2020.12.29(71)申请人南京联成科技发展股份有限公司地址210000江苏省南京市高新区南京软件园团结路99号孵鹰大厦A座14F(72)发明人不公告发明人(51)Int.Cl.G06F21/56(2013.01)权利要求书1页说明书4页附图1页(54)发明名称一种用于检测和阻止恶意勒索软件攻击的方法(57)摘要本发明公开了一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，包括监控模块、更改模块、策略模块和预防模块；所述方法，还包括步骤：监视注册表活动、检测到的恶意更改、更改的文件注册表值超过阈值、在攻击者加密文件内容的位置创建一个大型的虚拟文件、更改未被侵入的文件属性、创建被侵入的文件列表和安全的文件列表、验证安全的文件列表。通过本发明，能够减缓勒索软件的恶意攻击。CN112651023ACN112651023A权利要求书1/1页1.一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，包括监控模块、更改模块、策略模块和预防模块；所述方法，还包括如下步骤：步骤1、监视注册表活动；步骤2、检测到的恶意更改；步骤3、若否，则返回到步骤1；步骤4、若检测到恶意更改，则检查更改的文件注册表值是否超过阈值；步骤5、若没有超过阈值，则返回到步骤1；步骤6、若超过阈值，意味着发生了恶意的勒索攻击，则在攻击者加密文件内容的位置创建一个大型的虚拟文件；步骤7、更改未被侵入的文件属性；步骤8、创建被侵入的文件列表和安全的文件列表；步骤9、验证安全的文件列表；步骤10、若不安全，则返回到步骤1。2.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述监控模块，监视文件夹/目录，该模块检测目录内容注册表中的任何更改，使用了有效更改的阈值，如果试图更改任何文件的注册表值超过阈值，则会将其标识为可能的恶意活动。3.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述更改模块，生成被侵入的文件列表，该模块使用在监控模块中收集的信息来生成被侵入的文件列表，用户会被告知存在可疑活动，并向用户显示被侵入的文件列表。4.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述策略模块，生成大型的随机文件，一旦识别出攻击，则就会在攻击位置生成一个大型的虚拟文件，以减缓攻击和采取相应的措施来阻止对文件系统的进一步修改。5.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述预防模块，更改剩余的文件属性，当攻击者忙于加密/或修改大型虚拟文件时，该模块会更改其余的文件属性，使攻击者无法在系统中执行进一步的修改。2CN112651023A说明书1/4页一种用于检测和阻止恶意勒索软件攻击的方法技术领域[0001]本发明涉及计算机、网络安全、人工智能、网络管理和自动控制的技术领域，尤其涉及到一种用于检测和阻止恶意勒索软件攻击的方法。背景技术[0002]在这个数字世界里，安全是用户最关心的问题，因为他们担心未经授权而访问了他们的计算机系统。与此同时，勒索软件（一种网络犯罪分子在未经受害者许可或不知情的情况下对计算机文件系统内容进行加密的工具）正变得越来越普遍。一旦系统遭到破坏，即文件被加密，攻击者就会强迫用户支付赎金，通常是通过在线支付方式，以获得解密密钥。即使受害者支付了赎金，也不能保证解密密钥会被提供，或者恢复对他们计算机系统的访问。发明内容[0003]为了解决上述技术问题，本发明提供了一种用于检测和阻止恶意勒索软件攻击的方法，采用一种全新的方法来识别恶意勒索软件的攻击并能够采取相应的措施阻止它，以保护计算机的安全。[0004]一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，包括监控模块、更改模块、策略模块和预防模块；所述方法，还包括如下步骤：步骤1、监视注册表活动；步骤2、检测到的恶意更改；步骤3、若否，则返回到步骤1；步骤4、若检测到恶意更改，则检查更改的文件注册表值是否超过阈值；步骤5、若没有超过阈值，则返回到步骤1；步骤6、若超过阈值，意味着发生了恶意的勒索攻击，则在攻击者加密文件内容的位置创建一个大型的虚拟文件；步骤7、更改未被侵入的文件属性；步骤8、创建被侵入的文件列表和安全的文件列表；步骤9、验证安全的文件列表；步骤10、若不安全，则返回到步骤1。[0005]进一步地，所述监控模块，监视文件夹/目录，该模块检测目录内容注册表中的任何更改，使用了有效更改的阈值，如果试图更改任何文件的注册表值超过阈值，则会将其标识为可能的恶意活动。[0006]进一步地，所述更改模块，生