本發明提供一種基于訪問權限的檢測和防御勒索軟件的方法：在待監測系統中設置敏感文件夾，并為待監測系統設置防御腳本及白名單配置防御腳本實時監控文件遍歷所需的系統API，對所有調用文件遍歷系統API的進程進行攔截，并設置為關注進程，在白名單中查找關注進程對應的軟件；當在白名單中沒有關注進程對應的軟件時，判斷關注進程調用系統API進行遍歷的文件夾是否在敏感文件夾列表；當關注進程調用系統API進行遍歷的文件夾是敏感文件夾時，對關注進程進行進程注入，監控關注進程的所有文件操作系統API，并將關注進程的每個文件操作系統API進行的文件操作提供給用戶確認，再根據用戶的確認結果對關注進程的動作進行相應的操作。

技術領域

本發明屬于惡意軟件判定技術領域，具體涉及一種基于訪問權限的檢測和防御勒索軟件的方法。

背景技術

勒索軟件：勒索軟件(ransomware)是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。

近幾年來,勒索軟件增長迅猛,給全球的網絡安全帶來巨大威脅。從1989年第一個勒索軟件問世至今,其勒索目標越來越多樣、勒索產業鏈逐漸形成、勒索手段逐步走向高端、虛擬貨幣支付越來越普遍且影響范圍不斷擴大。勒索軟件得以爆發式增長與其高收益、低成本的特點,受害人防范意識和防御能力的缺乏以及相關監管和技術防控不足有關，盡管目前存儲設備的容量越來越大，但并非所有數據都是用戶或企業用戶的重要數據，而且一般重要文件和數據都具有被集中存放的特點。

目前勒索軟件呈現出數量持續增長且變種增多、攻擊目標針對性強、危害后果日益嚴重的發展趨勢。已經有很多方法被用于勒索軟件的防御與檢測。最初是通過靜態樣本分析和模式匹配的方式進行檢測，但由于勒索軟件變種繁多，且惡意進程與正常進程往往非常類似，難以區分，因此這種方式不再適用。目前主要的勒索軟件防御與檢測方法基于動態特征檢測和行為分析，從勒索軟件在運行時的行為特征著手進行分析和匹配，輔以文件系統監測等手段，使勒索軟件的行為能夠被盡早發現，將用戶損失控制在盡可能小的范圍內?，F有的勒索軟件檢測方法，在準確性與實時性方面都存在問題，缺點十分明顯。

此為現有技術的不足，因此，針對現有技術中的上述缺陷，提供一種基于訪問權限的檢測和防御勒索軟件的方法，是非常有必要的。

發明內容

針對現有技術的上述重要數據和文件被集中放置，而現有勒索軟件檢測方法準確性及實時性較差的缺陷，本發明提供一種基于訪問權限的檢測和防御勒索軟件的方法，以解決上述技術問題。

第一方面，本發明提供一種基于訪問權限的檢測和防御勒索軟件的方法，包括如下步驟：

S1.在待監測系統中設置敏感文件夾，生成敏感文件夾列表，并為待監測系統設置防御腳本及白名單；

S2.配置防御腳本實時監控文件遍歷所需的系統API，對所有調用文件遍歷系統API的進程進行攔截，并設置為關注進程，在白名單中查找關注進程對應的軟件；

S3.當在白名單中沒有關注進程對應的軟件時，配置防御腳本判斷關注進程調用系統API進行遍歷的文件夾是否在敏感文件夾列表；

S4.當關注進程調用系統API進行遍歷的文件夾在敏感文件夾列表時，配置防御腳本對關注進程進行進程注入，監控關注進程的所有文件操作系統API，并將關注進程的每個文件操作系統API進行的文件操作提供給用戶確認，再根據用戶的確認結果對關注進程的動作進行相應的操作。

進一步地，步驟S3中，當在白名單中存在關注進程對應的軟件時，配置防御腳本允許關注進程的操作。通過白名單策略將無需保護的確定進程排除在外，保護范圍較大。

進一步地，步驟S4具體步驟如下：