(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109214183A(43)申请公布日2019.01.15(21)申请号201710534551.X(22)申请日2017.07.03(71)申请人阿里巴巴集团控股有限公司地址英属开曼群岛大开曼资本大厦一座四层847号邮箱(72)发明人董斌雁(74)专利代理机构北京博浩百睿知识产权代理有限责任公司11134代理人宋子良(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书16页附图5页(54)发明名称查杀勒索软件的方法、装置和设备、存储介质及处理器(57)摘要本申请公开了一种查杀勒索软件的方法、装置和设备、存储介质及处理器。其中，该查杀勒索软件的设备包括：存储器，包括至少一个存储区域，用于在任意一个存储区域预置至少一个格式文件，其中，格式文件位于存储区域的头部和/或尾部；处理器，用于如果监控到存储器中预置的格式文件发生变化，则确定存在勒索软件处理格式文件，获取勒索软件对应的进程，并查杀进程。本申请解决了现有的查杀勒索软件方案通过黑名单方式对勒索软件进行查杀存在滞后，导致查杀效率低的技术问题。CN109214183ACN109214183A权利要求书1/2页1.一种查杀勒索软件的设备，其特征在于，包括：存储器，包括至少一个存储区域，用于在任意一个存储区域预置至少一个格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；处理器，用于如果监控到所述存储器中预置的格式文件发生变化，则确定存在勒索软件处理所述格式文件，获取所述勒索软件对应的进程，并查杀所述进程。2.一种查杀勒索软件的方法，其特征在于，包括：监控存储区域中预置的格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；如果监控到所述格式文件发生变化，则确定存在勒索软件处理所述格式文件；获取所述勒索软件对应的进程，并查杀所述进程。3.根据权利要求2所述的方法，其特征在于，所述预置的格式文件包括至少一种类型的数据文件，并通过在所述格式文件的头部标记不同的字符串来使得所述格式文件位于所述存储区域的头部和/或尾部。4.根据权利要求3所述的方法，其特征在于，在所述头部标记为ASCII码中最小的字母的情况下，所述格式文件位于所述存储区域的尾部；在所述头部标记为ASCII码中最大的字母的情况下，所述格式文件位于所述存储区域的头部。5.根据权利要求2至4中任意一项所述的方法，其特征在于，如果监控到所述格式文件发生变化，则确定存在勒索软件处理所述格式文件，包括：如果监控到所述格式文件被修改，则确定所述格式文件发生变化，其中，通过判断所述格式文件的任意一个或多个位置的内容是否发生变化来确定所述格式文件是否被修改。6.根据权利要求5所述的方法，其特征在于，获取所述勒索软件对应的进程，并查杀所述进程，包括：根据文件读写表反查发生修改的格式文件所对应的进程，并查杀所述进程，该步骤包括：发送所述格式文件至驱动程序；所述驱动程序枚举读写文件记录，获取与所述格式文件对应的进程；如果在白名单内查询得到所述进程，则查杀所述进程，并隔离所述进程对应的文件。7.根据权利要求5所述的方法，其特征在于，判断所述格式文件的任意一个或多个位置的内容包括：判断所述格式文件的如下至少一个位置的HASH值。8.根据权利要求2所述的方法，其特征在于，在监控存储区域中预置的格式文件之前，所述方法还包括：在所述存储区域中创建至少一个处于隐藏状态下的文件夹，其中，在所述文件夹中预置所述格式文件；启动进程来遍历所述至少一个处于隐藏状态下的文件夹；如果在所述文件夹中遍历到所述预置的格式文件，则启动监控所述格式文件的步骤。9.一种查杀勒索软件的装置，其特征在于，包括：监控单元，用于监控存储区域中预置的格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；确定单元，用于如果监控到所述格式文件发生变化，则确定存在勒索软件处理所述格2CN109214183A权利要求书2/2页式文件；查杀单元，用于获取所述勒索软件对应的进程，并查杀所述进程。10.一种安全处理方法，其特征在于，包括：监控存储区域中预置的格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；如果监控到所述格式文件发生变化，则确定存在安全威胁；获取所述安全威胁对应的进程，并查杀所述进程。11.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行如下处理步骤：监控存储区域中预置的格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；如果监控到所述格式文件发生变化，则确定存在勒索软件处理所述格式文件；获取所述勒索软件对应的进程，并查杀所述进程。12.一种处理器，其特征在于，所述处理器用于运行程序，其中