(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108932428A(43)申请公布日2018.12.04(21)申请号201710380338.8(22)申请日2017.05.25(71)申请人腾讯科技（深圳）有限公司地址518057广东省深圳市南山区高新区科技中一路腾讯大厦35层(72)发明人马立伟王月强李志豪张刚王朝飞(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285代理人王仲凯(51)Int.Cl.G06F21/52(2013.01)G06F21/56(2013.01)权利要求书2页说明书14页附图4页(54)发明名称一种勒索软件的处理方法、装置、设备及可读存储介质(57)摘要本申请公开了一种勒索软件的处理方法，包括：通过文件过滤驱动程序监控源程序对文件的操作，并形成源程序对文件的操作文件日志；根据文件操作类型，从操作文件日志中过滤出与疑似加密操作对应的目标日志，文件操作类型包括疑似加密操作；当在监测周期中目标日志的数量超过第一数量阈值时，则确定源程序为勒索软件；对勒索软件进行处理。本申请实施例提供的勒索软件的处理方法，通过监控源程序对计算机设备中各文件的操作，及时发现勒索软件，并对勒索软件进行处理，从而降低了计算机设备被勒索病毒侵害的风险，提高了计算机设备的安全性。CN108932428ACN108932428A权利要求书1/2页1.一种勒索软件的处理方法，其特征在于，包括：通过文件过滤驱动程序监控源程序对文件的操作，并形成所述源程序对所述文件的操作文件日志；根据文件操作类型，从所述操作文件日志中过滤出与疑似加密操作对应的目标日志，所述文件操作类型包括疑似加密操作；当在监测周期中所述目标日志的数量超过第一数量阈值时，则确定所述源程序为勒索软件；对所述勒索软件进行处理。2.根据权利要求1所述的处理方法，其特征在于，所述处理方法还包括：当在所述监测周期中所述目标日志的数量超过第二数量阈值，且未超过所述第一数量阈值，则分析所述源程序对所述文件的操作行为，所述第二数量阈值小于所述第一数量阈值；根据所述操作行为在目标位置建立傀儡文件，所述目标位置为所述源程序在操作完当前文件后要访问的下一个位置，所述傀儡文件用于所述源文件优先加密。3.根据权利要求2所述的处理方法，其特征在于，所述根据所述操作行为在目标位置建立傀儡文件，包括：根据所述操作行为确定傀儡文件生成规则，所述傀儡文件生成规则包括生成傀儡文件的位置、数量和格式；根据所述傀儡文件生成规则，在所述目标位置按照所述格式生成相应数量的傀儡文件。4.根据权利要求1-3任一所述的处理方法，其特征在于，所述对所述勒索软件进行处理，包括：输出第一报警提示信息，并触发结束所述源程序。5.根据权利要求1-3任一所述的处理方法，其特征在于，所述确定所述源程序为勒索软件之前，所述处理方法还包括：当监测到所述源程序操作所述文件中的重要文件，则输出第二报警提示信息，所述重要文件为不允许被所述源程序加密的文件。6.根据权利要求1-3任一所述的处理方法，其特征在于，所述确定所述源程序为勒索软件之前，所述处理方法还包括：检查所述源程序是否在白名单中；当所述源程序在所述白名单中，则确定所述源程序不是勒索软件。7.一种勒索软件的处理装置，其特征在于，包括：监控程序模块，用于通过文件过滤驱动程序监控源程序对文件的操作，并形成所述源程序对所述文件的操作文件日志；过滤程序模块，用于根据文件操作类型，从所述监控程序模块监控得到的操作文件日志中过滤出与疑似加密操作对应的目标日志，所述文件操作类型包括疑似加密操作；确定程序模块，用于当在监测周期中所述过滤程序模块过滤得到的所述目标日志的数量超过第一数量阈值时，则确定所述源程序为勒索软件；处理程序模块，用于对所述确定程序模块确定的所述勒索软件进行处理。2CN108932428A权利要求书2/2页8.根据权利要求7所述的处理装置，其特征在于，所述处理装置还包括：建立程序模块，所述确定程序模块，还用于当在所述监测周期中所述目标日志的数量超过第二数量阈值，且未超过所述第一数量阈值，则分析所述源程序对所述文件的操作行为，所述第二数量阈值小于所述第一数量阈值；所述建立程序模块，用于根据所述确定程序模块分析的操作行为在目标位置建立傀儡文件，所述目标位置为所述源程序在操作完当前文件后要访问的下一个位置，所述傀儡文件用于所述源文件优先加密。9.根据权利要求8所述的处理装置，其特征在于，所述建立程序模块用于：根据所述操作行为确定傀儡文件生成规则，所述傀儡文件生成规则包括生成傀儡文件的位置、数量和格式；根据所述傀儡文件生成规则，在所述目标位置按照所述格式生成相应数量的傀儡文件。10.一种计算机设备，其特征在于，包括：输入/输出(I/O)接口、处