本發明實施例提供了一種防御病毒對文件進行操作的方法、裝置及存儲介質，用以解決現有防御技術無法防御勒索病毒對文檔的刪除和重命名操作的問題。該方法包括：確定一個操作進程不是系統文件，且所述操作進程沒有有效的數字簽名，且所述操作進程的路徑不在預設的授信路徑集合中；當所述操作進程的創建時間與系統當前時間之差小于第一預設時間，且所述操作進程在自其創建時間起第一預設時間段內對所述操作進程所在主機上的文檔進行刪除或者重命名的操作時，終止所述操作進程。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種防御病毒對文件進行操作的方法、裝置及存儲介質。

背景技術

近年勒索軟件形式愈演愈烈，尤其是 WannaCry （魔窟）讓人印象深刻。近期 BadRabbit（壞兔子）又肆虐歐洲。針對勒索軟件現有行為的分析判定，特別是文件刪除與重命名行為的判定方式過于簡單直接，因此無法對勒索軟件做到有效的防御。

現有勒索病毒進入用戶主機后立即運行，加密過程已經由傳統的加密修改本地文檔內容演變為讀取本地文檔內容并創建新的加密文檔和刪除或重命名原有文檔。而目前已有的防御技術只能對原有文檔進行備份，很難防御對文檔的刪除和重命名操作。

綜上所述，目前的防御技術無法防御勒索病毒對文檔的刪除和重命名操作。

發明內容

本發明實施例提供了一種防御病毒對文件進行操作的方法、裝置及存儲介質，用以解決現有防御技術無法防御勒索病毒對文檔的刪除和重命名操作的問題。

基于上述問題，本發明實施例提供的一種防御病毒對文件進行操作的方法，包括：

確定一個操作進程不是系統文件，且所述操作進程沒有有效的數字簽名，且所述操作進程的路徑不在預設的授信路徑集合中；

當所述操作進程的創建時間與系統當前時間之差小于第一預設時間，且所述操作進程在自其創建時間起第一預設時間段內對所述操作進程所在主機上的文檔進行刪除或者重命名的操作時，終止所述操作進程。

可選地，在終止所述操作進程后，所述方法還包括：

向上追溯被終止的操作進程的每一代父進程；

按照追溯到的父進程的創建時間從晚到早的順序，對各個父進程執行判定該父進程是否為系統文件，判定該父進程是否有有效的數字簽名，判定該父進程的路徑是否在預設的授信路徑集合中，判定該父進程的創建時間與系統當前時間之差是否小于第二預設時間，判定該父進程在自其創建時間起第二預設時間段內是否對所述主機上的文檔進行刪除或者重命名的操作的步驟，在一個父進程被終止后繼續對該父進程的父進程執行所述判定的步驟，直至出現一個父進程被放行。

進一步地，在出現以下任意一種情況時，所述操作進程被放行：

確定所述操作進程是系統文件；

確定所述操作進程不是系統文件，但所述操作進程有有效的數字簽名；

確定所述操作進程不是系統文件，且所述操作進程沒有有效的數字簽名，但所述操作進程的路徑在預設的授信路徑集合中；

確定所述操作進程不是系統文件，且所述操作進程沒有有效的數字簽名，且所述操作進程的路徑不在預設的授信路徑集合中，但所述操作進程的創建時間與系統當前時間之差不小于第一預設時間。

進一步地，在出現以下任意一種情況時，一個父進程被放行：

確定該父進程是系統文件；

確定該父進程不是系統文件，但該父進程有有效的數字簽名；

確定該父進程不是系統文件，且該父進程沒有有效的數字簽名，但該父進程的路徑在預設的授信路徑集合中；