(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107506645A(43)申请公布日2017.12.22(21)申请号201710764061.9(22)申请日2017.08.30(71)申请人北京明朝万达科技股份有限公司地址100097北京市海淀区蓝靛厂南路25号嘉友国际大厦北区2层(72)发明人曲恩纯喻波王志海彭洪涛安鹏(74)专利代理机构北京润泽恒知识产权代理有限公司11319代理人莎日娜(51)Int.Cl.G06F21/56(2013.01)G06F21/55(2013.01)权利要求书3页说明书7页附图3页(54)发明名称一种勒索病毒的检测方法和装置(57)摘要本发明提供了一种勒索病毒的检测方法和装置，该方法包括：若检测到进程执行操作，则判断所述操作是否与预设勒索病毒操作相匹配；若匹配，则中断所述进程所执行的所述操作；向用户发送预设消息，所述预设消息表示通知用户判断所述进程是否为合法进程；根据接收的所述预设消息的响应消息，判断所述进程是否为合法进程；若所述进程为非法进程，则结束所述进程的所述操作，并将所述进程加入至预设黑名单。本发明能够对未知勒索病毒进行有效检测。CN107506645ACN107506645A权利要求书1/3页1.一种勒索病毒的检测方法，其特征在于，包括：若检测到进程执行操作，则判断所述操作是否与预设勒索病毒操作相匹配；若匹配，则中断所述进程所执行的所述操作；向用户发送预设消息，所述预设消息表示通知用户判断所述进程是否为合法进程；根据接收的所述预设消息的响应消息，判断所述进程是否为合法进程；若所述进程为非法进程，则结束所述进程的所述操作，并将所述进程加入至预设黑名单。2.根据权利要求1所述的方法，其特征在于，所述若检测到进程执行操作，则判断所述操作是否与预设勒索病毒操作相匹配之前，所述方法还包括：若检测到进程的创建操作，则判断待创建的所述进程是否属于预设白名单或预设黑名单；若待创建的所述进程既不属于所述预设白名单又不属于所述预设黑名单，则将待创建的所述进程加入至预设灰名单；所述判断所述操作是否与预设勒索病毒操作相匹配之前，所述方法还包括：判断执行操作的所述进程是否属于所述预设灰名单；所述判断所述操作是否与预设勒索病毒操作相匹配，包括：若执行操作的所述进程属于所述预设灰名单，则判断所述操作是否与预设勒索病毒操作相匹配。3.根据权利要求2所述的方法，其特征在于，所述判断待创建的所述进程是否属于预设白名单或预设黑名单之前，所述方法还包括：判断待创建的所述进程是否具有数字签名；所述判断待创建的所述进程是否属于预设白名单或预设黑名单，包括：若待创建的所述进程不具有数字签名，则判断待创建的所述进程是否属于预设白名单或预设黑名单。4.根据权利要求2所述的方法，其特征在于，所述判断待创建的所述进程是否属于预设白名单或预设黑名单，包括：对待创建的所述进程提取特征码；将所述特征码与所述预设白名单中的合法进程的特征码进行匹配；将所述特征码与所述预设黑名单中的非法进程的特征码进行匹配；所述判断待创建的所述进程是否属于预设白名单或预设黑名单之后，所述方法还包括：若所述特征码与所述预设黑名单中的非法进程的特征码相匹配，则禁止所述进程启动；若所述特征码与所述预设白名单中的合法进程的特征码相匹配，则创建所述进程；所述若待创建的所述进程既不属于所述预设白名单又不属于所述预设黑名单，则将待创建的所述进程加入至预设灰名单，包括：若所述特征码与所述预设黑名单中的非法进程的特征码、所述预设白名单中的合法进程的特征码均不匹配，则将待创建的所述进程加入至预设灰名单。2CN107506645A权利要求书2/3页5.根据权利要求2所述的方法，其特征在于，所述根据所述响应消息判断所述进程是否为合法进程之后，所述方法还包括：若所述进程为合法进程，则将执行操作的所述进程加入至所述预设白名单。6.根据权利要求1所述的方法，其特征在于，所述预设勒索病毒操作包括以下至少之一：文件重命名操作、写文件操作、删除文件操作、增加注册表操作、删除注册表操作。7.一种勒索病毒的检测装置，其特征在于，包括：第一判断模块，用于若检测到进程执行操作，则判断所述操作是否与预设勒索病毒操作相匹配；中断模块，用于若所述第一判断模块判断所述操作与预设勒索病毒操作相匹配，则中断所述进程所执行的所述操作；发送模块，用于向用户发送预设消息，所述预设消息表示通知用户判断所述进程是否为合法进程；第二判断模块，用于根据接收的所述预设消息的响应消息，判断所述进程是否为合法进程；结束模块，用于若所述进程为非法进程，则结束所述进程的所述操作，并将所述进程加入至预设黑名单。8.根据权利要求7所述的装置，其特征在于，所述装置还包括：第三判断模块，用于若检测到进程的创建操作，