(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110866248A(43)申请公布日2020.03.06(21)申请号201811438897.0(22)申请日2018.11.28(71)申请人北京安天网络安全技术有限公司地址100195北京市海淀区玉泉山闵庄路3号清华科技园玉泉慧谷1号楼(72)发明人孙洪伟徐翰隆王小丰肖新光(74)专利代理机构北京市广友专利事务所有限责任公司11237代理人祁献民(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书7页附图3页(54)发明名称一种勒索病毒识别方法、装置、电子设备及存储介质(57)摘要本发明的实施例公开一种勒索病毒挂载系统进程的识别方法，涉及计算机安全技术领域，能够快速准确地识别出勒索病毒。所述方法包括：判断挂载到系统进程的子模块是否为可疑子模块；记录所述可疑子模块的挂载信息；监测当前磁盘中的文件是否被修改；若监测到当前磁盘中的文件被修改，则判断在与被修改文件的同级目录中是否存在新创建的可疑文件；若在与被修改文件的同级目录中存在新创建的可疑文件，则监测当前磁盘中的文件是否再次被修改；若监测到当前磁盘中的文件再次被修改，则根据所述挂载信息，将挂载时间点距离当前时间点最近的可疑子模块，确定为勒索病毒。本发明适用于勒索病毒的识别。CN110866248ACN110866248A权利要求书1/2页1.一种勒索病毒识别方法，其特征在于，包括：判断挂载到系统进程的子模块是否为可疑子模块；若挂载到系统进程的子模块为可疑子模块，则记录所述可疑子模块的挂载信息；其中，所述挂载信息包括可疑子模块挂载到系统进程的时间点；监测当前磁盘中的文件是否被修改；若监测到当前磁盘中的文件被修改，则判断在与被修改文件的同级目录中是否存在新创建的可疑文件；若在与被修改文件的同级目录中存在新创建的可疑文件，则监测当前磁盘中的文件是否再次被修改；若监测到当前磁盘中的文件再次被修改，则根据所述挂载信息，将挂载时间点距离当前时间点最近的可疑子模块，确定为勒索病毒。2.根据权利要求1所述的勒索病毒识别方法，其特征在于，所述判断挂载到系统进程的子模块是否为可疑子模块，包括：根据预设的检查规则，判断已挂载到系统进程的子模块是否为可疑子模块。3.根据权利要求1所述的勒索病毒识别方法，其特征在于，所述判断挂载到系统进程的子模块是否为可疑子模块，包括：监测是否有新的子模块挂载到系统进程；若监测到有新的子模块挂载到系统进程，则根据预设的检查规则，判断新挂载到系统进程的子模块是否为可疑子模块。4.根据权利要求1所述的勒索病毒识别方法，其特征在于，在确定挂载到系统进程的子模块为可疑子模块之后，所述方法还包括：将可疑子模块加入到危险模块监控列表中。5.根据权利要求1所述的勒索病毒识别方法，其特征在于，所述若在与被修改文件的同级目录中存在新创建的可疑文件，则监测当前磁盘中的文件是否再次被修改，包括：若在与被修改文件的同级目录中存在新创建的可疑文件，则加载深度分析模块，通过所述深度分析模块，监测当前磁盘中的文件是否再次被修改。6.一种勒索病毒识别装置，其特征在于，包括：第一判断模块，用于判断挂载到系统进程的子模块是否为可疑子模块；记录模块，用于若挂载到系统进程的子模块为可疑子模块，则记录所述可疑子模块的挂载信息；其中，所述挂载信息包括可疑子模块挂载到系统进程的时间点；第一监测模块，用于监测当前磁盘中的文件是否被修改；第二判断模块，用于若监测到当前磁盘中的文件被修改，则判断在与被修改文件的同级目录中是否存在新创建的可疑文件；第二监测模块，用于若在与被修改文件的同级目录中存在新创建的可疑文件，则监测当前磁盘中的文件是否再次被修改；第三判断模块，用于若监测到当前磁盘中的文件再次被修改，则根据所述挂载信息，将挂载时间点距离当前时间点最近的可疑子模块，确定为勒索病毒。7.根据权利要求6所述的勒索病毒识别装置，其特征在于，所述第一判断模块，具体用于根据预设的检查规则，判断已挂载到系统进程的子模块是否为可疑子模块。2CN110866248A权利要求书2/2页8.根据权利要求6所述的勒索病毒识别装置，其特征在于，所述第一判断模块，包括：挂载监测子模块，用于监测是否有新的子模块挂载到系统进程；可疑判断子模块，用于若监测到有新的子模块挂载到系统进程，则根据预设的检查规则，判断新挂载到系统进程的子模块是否为可疑子模块。9.根据权利要求6所述的勒索病毒识别装置，其特征在于，还包括：危险模块监控列表模块。用于将可疑子模块加入到危险模块监控列表中。10.根据权利要求6所述的勒索病毒识别装置，其特征在于，所述第二监测模块，具体用于：若在与被修改文件的同级目录中存在新创建的可疑文件，则加载深度分析模块，以通过所述深度分析