掌桥专利:专业的专利平台
掌桥专利
首页

勒索软件识别方法、装置、电子装置和存储介质

文献发布时间:2024-04-18 19:58:21


勒索软件识别方法、装置、电子装置和存储介质

技术领域

本申请涉及计算机领域,特别是涉及勒索软件识别方法、装置、电子装置和存储介质。

背景技术

勒索软件是一种恶意软件,通过加密用户数据或阻止用户访问其系统等,要求用户输入特定信息来解密数据或恢复系统访问权限,勒索软件家族在过去几年中不断发展和演变、推出新的变种和运行方式,对个人及企业的计算机安全造成极大威胁,对于勒索软件的预防和保护已经成为网络安全中的重要问题。对于一些类型的勒索软件,用户在受到其攻击时,可以通过解密工具对用户数据进行解密,通过识别勒索软件所属的勒索软件家族可初步判断该勒索软件运行中加密的用户数据是否自助解密等信息,因此,识别勒索软件所属的勒索家族,能为进一步处理提供重要信息。

现有的勒索软件识别方法中,往往通过人工制作特征的方式进行勒索软件家族的识别,较费人力,且可能跟踪不及时,造成勒索软件识别准确度低的问题。

针对相关技术中存在勒索软件识别准确度低的问题,目前还没有提出有效的解决方案。

发明内容

在本实施例中提供了一种勒索软件识别方法、装置、电子装置和存储介质,以解决相关技术中勒索软件识别准确度低的问题。

第一个方面,在本实施例中提供了一种勒索软件识别方法,包括:

根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库;

基于监测到的勒索软件的最新运行事件和最新分析报告更新所述参考数据库中的参考数据;

在虚拟执行环境中执行待分析的目标勒索软件,得到所述目标勒索软件的目标行为事件;

从所述目标行为事件中摘取所述目标勒索软件的运行关键信息;

基于所述运行关键信息,在所述参考数据库中查询与所述目标勒索软件对应的目标勒索软件家族的标签,并基于查询结果,确定所述目标勒索软件所属的所述目标勒索软件家族,以及确定所述目标勒索软件家族是否可被解密。

在其中的一些实施例中,所述根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库,包括:

基于预设的勒索软件家族的名称列表,收集所述已识别的勒索软件的历史运行事件和历史分析报告;

从所述历史运行事件和所述历史分析报告中提取参考文本信息;

基于所述勒索软件家族的名称列表,识别所述参考文本信息对应的勒索软件家族,并为所述参考文本信息赋予对应的勒索软件家族的标签;

基于语义分析识别所述参考文本信息对应的勒索软件家族是否可被解密,得到第一判断结果;

将所述参考文本信息、所述参考文本信息对应的勒索软件家族的标签以及所述第一判断结果录入数据库,形成所述参考数据库。

在其中的一些实施例中,所述基于监测到的勒索软件的最新运行事件和最新分析报告更新所述参考数据库中的参考数据,包括:

基于所述监测到的勒索软件的最新运行事件和最新分析报告,生成最新参考文本信息;

基于预设的勒索软件家族的名称列表,识别所述最新参考文本信息对应的勒索软件家族,并为所述最新参考文本信息赋予对应的勒索软件家族的标签;

基于语义分析识别所述最新参考文本信息对应的勒索软件家族是否可被解密,得到第二判断结果;

将所述最新参考文本信息、所述最新参考文本信息对应的勒索软件家族的标签以及所述第二判断结果录入所述参考数据库。

在其中的一些实施例中,所述基于预设的勒索软件家族的名称列表,识别所述最新参考文本信息对应的勒索软件家族,并为所述最新参考文本信息赋予对应的勒索软件家族的标签,包括:

当所述最新参考文本信息对应的勒索软件家族不属于所述勒索软件家族的名称列表时,将所述最新参考文本信息对应的勒索软件家族的名称加入所述勒索软件家族的名称列表。

在其中的一些实施例中,所述运行关键信息,包括:加密后缀、信件文件、运行留存的邮箱地址、运行留存的网站地址等。

在其中的一些实施例中,所述基于所述运行关键信息,在所述参考数据库中查询与所述目标勒索软件对应的目标勒索软件家族的标签,并基于查询结果,确定所述目标勒索软件所属的所述目标勒索软件家族,以及确定所述目标勒索软件家族是否可被解密,包括:

基于所述运行关键信息,在所述参考数据库中查询与所述运行关键信息相关的候选参考文本信息,得到所述候选参考文本信息对应的候选勒索软件家族的标签;

根据不同的所述候选参考文本信息与所述运行关键信息之间的相关性,对所述候选勒索软件家族的标签进行排序;

将与所述运行关键信息相关性最高的所述候选参考文本信息对应的所述候选勒索软件家族的标签作为所述目标勒索软件家族的标签;

确定所述目标勒索软件所属的目标勒索软件家族以及所述目标勒索软件家族是否可被解密。

第二个方面,在本实施例中提供了一种勒索软件识别装置,包括:建立模块、更新模块、虚拟执行模块、摘取模块以及查询模块;其中:

所述建立模块,用于根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库;

所述更新模块,用于基于监测到的勒索软件的最新运行事件和最新分析报告更新所述参考数据库中的参考数据;

所述虚拟执行模块,用于在虚拟执行环境中执行待分析的目标勒索软件,得到所述目标勒索软件的目标行为事件;

所述摘取模块,用于从所述目标行为事件中摘取所述目标勒索软件的运行关键信息;

所述查询模块,用于基于所述运行关键信息,在所述参考数据库中查询与所述目标勒索软件对应的目标勒索软件家族的标签,并基于查询结果,确定所述目标勒索软件所属的所述目标勒索软件家族,以及确定所述目标勒索软件家族是否可被解密。

第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的勒索软件识别方法。

第四个方面,在本实施例中提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行上述第一个方面所述的勒索软件识别方法。

第五个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的勒索软件识别方法。

与相关技术相比,在本实施例中提供的勒索软件识别方法,通过基于监测到的勒索软件的最新运行事件和最新分析报告更新参考数据库中的参考数据,在虚拟执行环境中执行待分析的目标勒索软件,得到目标勒索软件的目标行为事件,从目标行为事件中摘取目标勒索软件的运行关键信息,基于运行关键信息,在参考数据库中查询与目标勒索软件对应的勒索软件家族的标签,并基于查询结果,确定目标勒索软件所属的目标勒索软件家族,以及目标勒索软件家族是否可被解密。解决了相关技术中勒索软件识别准确度低的问题,提高了识别勒索软件的准确度。

本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:

图1是本实施例的勒索软件识别方法的终端硬件结构框图。

图2是本实施例的勒索软件识别方法的流程图。

图3是本优选实施例的勒索软件识别方法的流程图。

图4是本实施例的勒索软件识别装置的结构框图。

具体实施方式

为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。

除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。

在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的勒索软件识别方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。

存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的勒索软件识别方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种勒索软件识别方法,图2是本实施例的勒索软件识别方法的流程图,如图2所示,该流程包括如下步骤:

步骤S201,根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库。

具体地,本实施例利用网络爬虫技术,并结合人工梳理,基于预设的勒索软件家族的名称列表,在互联网上收集已识别的勒索软件的历史运行事件和历史分析报告,其中,上述勒索软件家族的名称列表中可以包括各勒索软件家族的名称以及各勒索软件家族的别名,上述已识别的勒索软件属于该名称列表中的软件家族。对收集到的历史运行事件或历史分析报告进行处理,具体可以包括识别历史分析报告内容中的图片,并将图片中的文字内容转换为文本等;去除文本中的无用数据或干扰数据,如html等特定网页内容,最终得到词汇清晰的文本,作为参考文本信息。基于勒索软件家族的名称列表,识别参考文本信息对应的勒索软件家族,并为参考文本信息赋予对应的勒索软件家族的标签;将该参考文本信息及其对应的勒索软件家族的标签录入数据库,形成参考数据库。进一步地,还可以增加辅助信息,基于语义分析识别参考文本信息对应的勒索软件家族。

步骤S202,基于监测到的勒索软件的最新运行事件和最新分析报告更新参考数据库中的参考数据。

具体地,基于监测到的勒索软件的最新运行事件和最新分析报告,生成最新参考文本信息;基于预设的勒索软件家族的名称列表,识别最新参考文本信息对应的勒索软件家族,并为最新参考文本信息赋予对应的勒索软件家族的标签;将最新参考文本信息及其对应的勒索软件家族的标签录入参考数据库。

其中,当最新参考文本信息对应的勒索软件家族不属于勒索软件家族的名称列表时,通过人工校正,摘取出最新参考文本信息对应的勒索软件家族的名称,并将该新的勒索软件家族名称加入勒索软件家族的名称列表。

步骤S203,在虚拟执行环境中执行待分析的目标勒索软件,得到目标勒索软件的目标行为事件。

具体地,在虚拟环境中执行待分析的目标勒索软件,并监测目标勒索软件的行为事件,如大量修改文件、大量释放文件、加密文件内容、修改文件后缀、释放信件文件等,作为该目标勒索软件的目标行为事件。

步骤S204,从目标行为事件中摘取与目标勒索软件的运行关键信息。

具体地,从通过虚拟执行目标勒索软件而产生的目标行为事件中,摘取加密后缀、信件文件、运行留存的邮箱地址、运行留存的网站地址等与勒索软件运行相关的信息,作为该目标勒索软件的运行关键信息。

步骤S205,基于运行关键信息,在参考数据库中查询与目标勒索软件对应的目标勒索软件家族的标签,并基于查询结果,确定目标勒索软件所属的目标勒索软件家族,以及确定目标勒索软件家族是否可以解密。

具体地,同一勒索软件家族的勒索软件在运行时产生的运行信息应当是类似的因此,因此当参考数据库中的特定参考文本信息与目标勒索软件的运行关键信息相关性较高时,可认为目标勒索软件与该参考文本信息所属于同一勒索软件家族,故基于目标勒索软件的运行关键信息,在参考数据库中查询与该运行关键信息相关的参考文本信息,选取其中与上述运行关键信息相关性最高的参考文本信息的标签作为该目标勒索软件的勒索软件家族的标签,由于标签的内容即为该参考文本信息对应的勒索软件家族的名称,通过标签可以确定该目标勒索软件所属的勒索软件家族。

进一步地,确定目标勒索软件所属的勒索软件家族后,可以判断该目标勒索软件是否可被解密。勒索软件的解密是指通过特定的解密工具,对被勒索软件加密的用户数据或用户系统访问权限进行解锁,以消除勒索软件运行对用户造成的影响。解密不同类型的勒索软件所需的解密工具是不同的,因此特定勒索软件是否可被解密,取决于针对该类型勒索软件的解密工具是否已被开发。因此,通过识别勒索软件所属的勒索软件家族,并基于该勒索软件家族的名称,通过互联网、软件商店等渠道查询该勒索软件家族是否存在对应的解密工具,可以判断该勒索软件是否可被解密。

通过上述步骤S201至S205,根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库;基于监测到的勒索软件的最新运行事件和最新分析报告更新参考数据库中的参考数据;在虚拟执行环境中执行待分析的目标勒索软件,得到目标勒索软件的目标行为事件;从目标行为事件中摘取目标勒索软件的运行关键信息;基于运行关键信息,在参考数据库中查询与目标勒索软件对应的目标勒索软件家族的标签,并基于查询结果,确定目标勒索软件所属的目标勒索软件家族,以及确定目标勒索软件家族是否可被解密。本实施例通过贴标签的手段将与已识别的勒索软件运行相关的信息数据归类并标识其所属的勒索软件家族,作为参考数据存入参考数据库,当对勒索软件进行识别时,在虚拟执行环境中预先执行待分析的目标勒索软件并基于执行结果摘取运行关键信息,由于该运行关键信息可能在实时更新的参考数据库中出现,因此可通过在参考数据库中查询相关内容,并从中选出与运行关键信息相关性最高的标签,从而精准识别目标勒索软件所属的勒索软件家族。基于此,解决的相关技术中勒索软件识别准确度低的问题,提高了勒索软件识别的准确度。

在其中的一些实施例中,根据上述步骤S201,根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库,具体可以包括:

基于预设的勒索软件家族的名称列表,收集已识别的勒索软件的历史运行事件和历史分析报告;从历史运行事件和历史分析报告中提取参考文本信息;基于勒索软件家族的名称列表,识别参考文本信息对应的勒索软件家族,并为参考文本信息赋予对应的勒索软件家族的标签;基于语义分析识别参考文本信息对应的勒索软件家族是否可以解密,得到第一判断结果;将参考文本信息、参考文本信息对应的勒索软件家族的标签以及第一判断结果录入数据库,形成参考数据库。

其中,上述参考数据库录入了已识别的勒索软件运行时产生的文本信息,此外,本实施例为上述文本信息赋予标签,以标识文本信息对应的勒索软件所属的勒索软件家族,同时,可以结合辅助信息,如通过互联网查询到的勒索软件解密工具信息等,判断文本信息对应的勒索软件所属的勒索软件家族是否可以解密,将该判断结果作为第一判断结果,上述文本信息及其对应的勒索软件家族的标签以及上述第一判断结果一同录入参考数据库。基于此,当用户在该参考数据库中根据与目标勒索软件运行相关的运行关键信息进行查询时,即可通过查询结果所带的标签得知该目标勒索软件所属的勒索软件家族,以及该勒索软件家族是否可以被解密。

进一步地,在一些实施例中,根据上述步骤S202,基于监测到的勒索软件的最新运行事件和最新分析报告更新参考数据库中的参考数据,具体可以包括:

基于监测到的勒索软件的最新运行事件和最新分析报告,生成最新参考文本信息;基于预设的勒索软件家族的名称列表,识别最新参考文本信息对应的勒索软件家族,并为最新参考文本信息赋予对应的勒索软件家族的标签;基于语义分析识别最新参考文本信息对应的勒索软件家族是否可被解密,得到第二判断结果;将最新参考文本信息、最新参考文本信息对应的勒索软件家族的标签以及第二判断结果录入参考数据库。

其中,参考数据库新增了基于监测到的勒索软件的最新运行事件和最新分析报告生成的最近文本信息,此外,本实施例为上述最新文本信息赋予标签,以标识文本信息对应的勒索软件属于哪一勒索软件家族,同时,可以结合辅助信息,判断最新文本信息对应的勒索软件所属的勒索软件家族是否可以解密,将该判断结果作为第二判断结果,上述文本信息及其对应的勒索软件家族的标签以及上述第二判断结果一同录入参考数据库。本申请中的参考数据库是实时更新的,基于此,在基于标签查询进行勒索软件识别时,可以提高查询的准确度,从而提高了勒索软件家族识别的准确度。

此外,在一些实施例中,当上述最新参考文本信息对应的勒索软件家族不属于勒索软件家族的名称列表时,将最新参考文本信息对应的勒索软件家族的名称加入勒索软件家族的名称列表。

具体地,当识别出最新参考文本信息对应的勒索软件家族不为预设的勒索软件家族的名称列表,即最新参考文本信息对应的勒索软件家族为一种未知的新勒索软件家族时,可以结合人工校正,从上述最新参考文本信息中提取软件家族名称,作为该最新参考文本信息对应的勒索软件家族的名称,并将该名称加入上述勒索软件家族的名称列表。通过这一步骤,完成了对勒索软件家族的名称列表以及参考数据库的扩充更新,能够为新增的勒索软件家族生成对应的标签。

进一步地,在一些实施例中,根据上述步骤S204,本申请中的运行关键信息可以包括:加密后缀、信件文件、运行留存的邮箱地址、运行留存的网站地址等。

具体地,可以将上述信息中的每一种作为一项运行关键信息,在不同家族的勒索软件运行所产生行为事件中摘取各项运行关键信息,由于属于不同勒索软件家族的勒索软件运行时生成的运行关键信息是不同的,因此,基于目标勒索软件的运行关键信息,可识别该目标勒索软件所属的勒索软件家族,从而也可以判断其所属的勒索软件家族是否可被解密。

进一步地,在一些实施例中,根据上述步骤S205,基于运行关键信息,在参考数据库中查询与目标勒索软件对应的目标勒索软件家族的标签,并基于查询结果,确定目标勒索软件所属的目标勒索软件家族,以及确定目标勒索软件家族是否可被解密,具体可以包括:

基于运行关键信息,在参考数据库中查询与运行关键信息相关的候选参考文本信息,并得到候选参考文本信息对应的候选勒索软件家族的标签;根据不同的候选参考文本信息与运行关键信息之间的相关性,对各候选勒索软件家族的标签进行排序;将与运行关键信息相关性最高的候选参考文本信息对应的候选勒索软件家族的标签作为目标勒索软件家族的标签;确定目标勒索软件所属的目标勒索软件家族,以及确定该目标勒索软件家族是否可被解密。

具体地,可以基于每项运行关键信息在参考数据库中查询,得到与该运行关键信息相关的参考文本信息,作为候选参考文本信息,同时得到上述候选候选参考文本信息对应的勒索软件家族的标签,即候选勒索软件家族的标签。根据不同的候选参考文本信息与运行关键信息之间的相关性,对候选勒索软件家族的标签进行排序,取其中与运行关键信息相关性最高的候选参考文本信息对应的候选勒索软件家族的标签作为目标勒索软件家族的标签,根据该目标勒索软件家族的标签确定目标软件所属的目标勒索软件家族,以及确定该目标勒索软件家族是否可被解密。

优选地,在一些实施例中,在比较候选参考文本信息与目标勒索软件的运行关键信息时,还可以将不同项运行关键信息的优先级纳入考量,先为各项运行关键信息设置优先级,结合运行关键信息的优先级,对候选勒索软件家族的标签进行排序,取其中与运行关键信息相关性最高的候选参考文本信息对应的候选勒索软件家族的标签作为目标勒索软件家族的标签,根据该目标勒索软件家族的标签确定目标软件所属的目标勒索软件家族,以及确定该目标勒索软件家族是否可被解密。

下面通过优选实施例对本实施例进行描述和说明。

图3是本优选实施例的勒索软件识别方法的流程图。如图3所示,该勒索软件识别方法包括以下步骤:

S301,根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库;

S302,基于监测到的勒索软件的最新运行事件和最新分析报告更新参考数据库中的参考数据;

S303,在虚拟执行环境中执行待分析的目标勒索软件,得到目标勒索软件的目标行为事件;

S304,从目标行为事件中摘取目标勒索软件的运行关键信息;

S305,基于多项不同的运行关键信息,在参考数据库中分别查询与该运行关键信息相关的候选参考文本信息对应的候选勒索软件家族的标签;

S306,统计每一候选勒索软件家族的标签分别可以基于多少项运行关键信息查询得到;判断是否存在可基于最多数量的运行关键信息查询得到的候选勒索软件家族的标签,若是,则执行步骤S307,否则,执行步骤S308;

S307,将可基于最多数量的运行关键信息查询得到的候选勒索软件家族的标签作为目标勒索软件的目标勒索软件家族的标签,确定目标勒索软件所属的目标勒索软件家族,以及目标勒索软件家族是否可被解密;

S308,为不同项运行关键信息设置优先级,将基于优先级最高的运行关键信息查询到的候选勒索软件家族的标签作为目标勒索软件的目标勒索软件家族的标签,确定目标勒索软件所属的目标勒索软件家族,以及目标勒索软件家族是否可被解密。

在本实施例中还提供了一种勒索软件识别装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。

图4是本实施例的勒索软件识别装置的结构框图,如图4所示,该装置包括:建立模块41、更新模块42、虚拟执行模块43、摘取模块44以及查询模块45,其中:

建立模块41,用于根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库;

更新模块42,用于基于监测到的勒索软件的最新运行事件和最新分析报告更新参考数据库中的参考数据;

虚拟执行模块43,用于在虚拟执行环境中执行待分析的目标勒索软件,得到目标勒索软件的目标行为事件;

摘取模块44,用于从目标行为事件中摘取目标勒索软件的运行关键信息;

查询模块45,用于基于运行关键信息,在参考数据库中查询与目标勒索软件对应的目标勒索软件家族的标签,并基于查询结果,确定目标勒索软件所属的目标勒索软件家族,以及确定目标勒索软件家族是否可被解密。

需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。

在本实施例中还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器被设置为执行上述任一方法实施例中的步骤。

可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:

S1,根据已识别的勒索软件的历史运行事件和历史分析报告,建立参考数据库;

S2,基于监测到的勒索软件的最新运行事件和最新分析报告更新参考数据库中的参考数据;

S3,在虚拟执行环境中执行待分析的目标勒索软件,得到目标勒索软件的目标行为事件;

S4,从目标行为事件中摘取目标勒索软件的运行关键信息;

S5,基于运行关键信息,在参考数据库中查询与目标勒索软件对应的勒索软件家族的标签,并基于查询结果,确定目标勒索软件所属的目标勒索软件家族,以及目标勒索软件家族是否可被解密。

需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。

此外,结合上述实施例中提供的勒索软件识别方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种勒索软件识别方法。

应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。

显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。

“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。

以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

相关技术
  • 物品识别方法、装置及设备、存储介质、电子装置
  • 对象关系识别方法和装置、存储介质及电子装置
  • 目标对象的识别方法和装置、存储介质、电子装置
  • 查杀勒索软件的方法、装置和设备、存储介质及处理器
  • 一种漆面识别方法、装置、存储介质及电子设备
  • 一种勒索软件识别方法、装置、电子设备及存储介质
  • 勒索软件防御方法、系统、电子装置和存储介质
技术分类

06120116479147