(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106951781A(43)申请公布日2017.07.14(21)申请号201710171967.X(22)申请日2017.03.22(71)申请人福建平实科技有限公司地址350015福建省福州市马尾区保税区综合大楼15层A区-1240（自贸试验区内）(72)发明人倪茂志(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书10页附图1页(54)发明名称勒索软件防御方法和装置(57)摘要本发明公开了一种勒索软件防御方法和装置。其中，该方法包括：在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹；确定陷阱文件夹是否发生变化，其中，变化包括如下至少之一：修改、删除、重命名陷阱文件夹以及向陷阱文件夹中添加新文件；在陷阱文件夹发生变化的情况下，禁止对磁盘执行预设操作。本发明解决了现有技术中现有的对勒索软件的防御方案不足以应对已知或未知的勒索软件的技术问题。CN106951781ACN106951781A权利要求书1/2页1.一种勒索软件防御方法，其特征在于，包括：在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹；确定所述陷阱文件夹是否发生变化，其中，所述变化包括如下至少之一：修改、删除、重命名所述陷阱文件夹以及向所述陷阱文件夹中添加新文件；在所述陷阱文件夹发生变化的情况下，禁止对所述磁盘执行预设操作。2.根据权利要求1所述的方法，其特征在于，在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹之前，所述方法还包括：使用如下至少之一的方式加载所述磁盘：磁盘过滤驱动、hook磁盘总线驱动hook磁盘微端口驱动和INOUT指令。3.根据权利要求1所述的方法，其特征在于，在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹之前，所述方法还包括：设置经过加密的白名单，其中，所述白名单记载了允许加载的驱动文件的哈希值。4.根据权利要求1所述的方法，其特征在于，在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹之前，所述方法还包括：在所述磁盘中设置备份空间；对所述磁盘中的文件进行备份。5.根据权利要求4所述的方法，其特征在于，在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹之后，所述方法还包括：计算所述备份空间的大小；其中，计算所述备份空间的大小包括：采用顺序遍历、逆序遍历以及混合遍历的方式分别遍历每个磁盘，计算每种方式遍历到所述陷阱文件夹的过程中遍历的属于预设备份类型的所有文件的总大小，选择所述所有文件的总大小中最大的数值乘以预设最大备份次数，得到第一数值，所述备份空间的大小为所述第一数值或所述第一数值与预设宽限值之和；或者采用顺序遍历、逆序遍历以及混合遍历的方式分别遍历每个磁盘，计算每种方式遍历到所述陷阱文件夹的过程中遍历的属于预设备份类型的所有文件的总大小，将采用顺序遍历的方式遍历所述每个磁盘得到的所述所有文件的总大小相加得到第二数值，将采用逆序遍历的方式遍历所述每个磁盘得到的所述所有文件的总大小相加得到第三数值，将采用混合遍历的方式遍历所述每个磁盘得到的所述所有文件的总大小相加得到第四数值，将所述第二数值、所述第三数值和所述第四数值进行大小排序，计算所述第二数值、所述第三数值和所述第四数值中的最大值与所述预设最大备份次数的乘积得到第五数值，所述备份空间的大小为所述第五数值或所述第五数值与所述预设宽限值之和。6.根据权利要求5所述的方法，其特征在于，计算所述备份空间的大小之后，所述方法还包括：在所述备份空间中备份的文件数目达到所述备份空间的大小后，随机删除所述备份空间中的文件。7.根据权利要求4-6中任意一项所述的方法，其特征在于，对所述磁盘中的文件进行备份，包括：对所述磁盘中符合预设备份类型且不超过预设第一阈值的文件进行备份，对符合所述2CN106951781A权利要求书2/2页预设备份类型且超过预设第二阈值的文件进行保护，并设置保护期限，其中所述预设第二阈值大于或等于所述预设第一阈值。8.根据权利要求1所述的方法，其特征在于，在所述陷阱文件夹发生变化的情况下，所述方法还包括执行如下至少之一的操作：触发关机操作、强制登出当前在线管理员账号以及根据预存的管理员的联系方式通过短信或邮件的方式通知管理员。9.根据权利要求1所述的方法，其特征在于，禁止对所述磁盘执行预设操作之后，所述方法还包括：记录日志，所述日志中包括所述磁盘的运行状态。10.根据权利要求1所述的方法，其特征在于，在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹之前，所述方法还包括：对所述磁盘中的部分或全部配置文件进行多重变异加密以及虚拟机加壳防护。11.根据权利要求1所述的方法，其特征在于，在磁盘中构建至少一个符合勒索软件加密类型的陷阱文件夹之前，所述方法还包括：