本發明提出了一種對勒索軟件進行自動分析的方法及系統，包括三個方面，第一個方面為自動化分析，將勒索者樣本投入到自動化分析系統中進行全面的分析；第二個方面通過自動化分析的結果搜索資源庫，查看是否有類似行為的家族、背景資料等；第三方面將自動化分析結果和資源庫搜索結果整理為一份可查看和輸出的分析報告，如有解密方法，可在報告中直接獲取。本發明可快速的判斷樣本家族、流行趨勢、危害程度，同時，大大減少人力成本的投入，加大產出，加快分析進程，有效保障分析的準確性。隨著報告的生成，分析結果直觀簡潔，如果曾經產出過解密工具，則可快速的解決被加密問題。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種對勒索軟件進行自動分析的方法及系統。

背景技術

勒索軟件（ransomware）是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。

現今對勒索軟件的解決方案多為單點處理，即出現一個解決一個。分析方法也多為手工分析，判斷其算法和行為，這樣處理保證了判斷的準確性，但過于被動，伴隨著大量的時間、人力的消耗和重復性工作。勒索軟件即服務（RaaS）爆發式的發展，使得勒索活動不需要太多資金或技術專業知識就能啟動，單靠人工分析，耗時耗力。但因為這些勒索軟件具有極大地相似性，如果能夠通過信息集成判斷來源和家族，則可以極大地減少分析的難度和時間。實際勒索軟件的主要行為即是數據加密，自動化分析能夠快速的判斷其加密算法，使得分析事半功倍。現在流行的勒索軟件通常具有自我復制、注入系統進程、加入啟動項和修改mbr等行為，還會產生勒索桌面和勒索信，加密的途徑通常為釣魚攻擊和漏洞利用。

發明內容

針對上述現有技術中存在的問題，本發明提出了一種對勒索軟件進行自動分析的方法及系統，包括三個方面，第一個方面為自動化分析，將勒索者樣本投入到自動化分析系統中進行全面的分析；第二個方面通過自動化分析的結果搜索資源庫，查看是否有類似行為的家族、背景資料等；第三方面將自動化分析結果和資源庫搜索結果整理為一份可查看和輸出的分析報告，如有解密方法，可在報告中直接獲取。

具體發明內容包括：

一種對勒索軟件進行自動分析的方法，包括：

將勒索軟件樣本投入到自動分析環境中，判斷樣本是否可運行，若是，則對樣本進行動靜態分析；否則對樣本進行靜態分析；

將分析結果與病毒數據庫中的信息進行對比，判斷樣本是否屬于已知病毒家族，若是，則與已知病毒家族的信息進行匹配分析；否則對樣本進行深度分析；

輸出分析報告。

進一步地，所述對樣本進行動靜態分析、對樣本進行靜態分析，其分析結果包括：靜態向量、簽名信息、加密算法、衍生文本、注入行為、系統文件修改信息。

進一步地，還包括：通過深度分析得到解密方法，和/或通過所述分析報告得出解密思路。

一種對勒索軟件進行自動分析的系統，包括：

自動分析模塊，用于將勒索軟件樣本投入到自動分析環境中，判斷樣本是否可運行，若是，則對樣本進行動靜態分析；否則對樣本進行靜態分析；

橫向匹配與深度分析模塊，用于將分析結果與病毒數據庫中的信息進行對比，判斷樣本是否屬于已知病毒家族，若是，則與已知病毒家族的信息進行匹配分析；否則對樣本進行深度分析；

報告生成模塊，用于根據橫相匹配與深度分析模塊的分析結果輸出分析報告。

進一步地，所述對樣本進行動靜態分析、對樣本進行靜態分析，其分析結果包括：靜態向量、簽名信息、加密算法、衍生文本、注入行為、系統文件修改信息。