一种勒索病毒的检测方法、装置以及存储介质与流程

1.本技术涉及信息安全领域，特别是涉及一种勒索病毒的检测方法、装置以及存储介质。


背景技术：

2.当前，恶意软件攻击正向高级化和复杂化的趋势发展。勒索病毒作为其中的一种，通过操作系统漏洞、邮件投递、网页后门、恶意木马程序等方式进行传播，通过加密、锁屏等方式来劫持用户文件、破坏用户数据，以达到勒索钱财的目的。目前防范勒索病毒的方法是利用勒索病毒必然会遍历磁盘文件的特点，构造符合勒索病毒加密类型的诱饵文件，并插入到磁盘原有文件的序列中，若诱饵文件发生变化，产生报警信息。
3.此方法虽然能检测出勒索病毒，但是因为诱饵文件的放置位置直接关系到勒索病毒能不能被及时检测到，所以若诱饵文件放置的位置不符合勒索病毒攻击的规律，会导致系统无法及时检测到勒索病毒，从而让勒索病毒造成无法挽回的损失。
4.由此可见，如何实现及时检测到勒索病毒，是本领域技术人员亟待解决的问题。


技术实现要素：

5.本技术的目的是提供一种勒索病毒的检测方法、装置以及存储介质，便于及时检测到勒索病毒。
6.为解决上述技术问题，本技术提供一种勒索病毒的检测方法，包括：
7.在目标位置处创建诱饵文件，其中所述目标位置为计算机的桌面、计算机c盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，所述用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；
8.将所述诱饵文件的路径发送给内核；
9.控制所述内核监控针对计算机内的文件的操作事件；
10.若监控到发生所述操作事件，则判断与所述操作事件对应的所述文件与所述诱饵文件的路径是否匹配；
11.若是，则判定进行所述操作事件的主体是所述勒索病毒。
12.优选地，所述在目标位置处创建诱饵文件包括：
13.获取所述用户的设置指令；
14.若在预设时间内获取到所述设置指令，则在所述设置指令相对应的位置创建所述诱饵文件；
15.若在所述预设时间内未获取到所述设置指令，则在所述桌面和/或所述c盘的根目录中创建所述诱饵文件。
16.优选地，所述诱饵文件有三种，包括第一诱饵文件、第二诱饵文件、第三诱饵文件；
17.所述第一诱饵文件的文件名的unicode编码相对于计算机内所有的所述文件的文件名的unicode编码大；
18.所述第二诱饵文件的文件名的unicode编码相对于计算机内所有的所述文件的文件名的unicode编码小；
19.所述第三诱饵文件的文件名的unicode编码为随机大小。
20.优选地，所述判定进行所述操作事件的主体是所述勒索病毒之后，还包括：
21.将所述勒索病毒的pid及路径上报至应用层，以便于所述应用层终止所述勒索病毒对计算机的操作。
22.优选地，所述将所述勒索病毒的pid及路径上报至应用层之后，还包括：
23.将所述勒索病毒的路径上报至管理平台以便在所述管理平台标记所述勒索病毒。
24.优选地，所述将所述勒索病毒的pid及路径上报至应用层之后，还包括：
25.向与当前计算机处于同一网络的其他计算机发送警报信息以拒绝所述勒索病毒的操作。
26.优选地，还包括：
27.在管理平台设置开关，所述开关用于获取所述用户的开启命令和关闭命令；
28.若计算机中没有所述诱饵文件，则在检测到所述开关获取到所述开启命令之后进入所述在计算机的目标位置处创建诱饵文件的步骤；
29.若计算机中存在所述诱饵文件，则在检测到所述开关获取到所述关闭命令之后删除计算机中的所述诱饵文件并停止相关监控。
30.为解决上述技术问题，本技术还提供一种勒索病毒的检测装置，包括：
31.创建模块，用于在目标位置处创建诱饵文件，其中所述目标位置为计算机的桌面、计算机c盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，所述用户自定义的位置为所述用户根据不同勒索病毒的攻击特性确定出的位置；
32.第一发送模块，用于将所述诱饵文件的路径发送给内核；
33.控制模块，用于控制所述内核监控针对计算机内的文件的操作事件；
34.判断模块，用于若监控到发生所述操作事件，则判断与所述操作事件对应的所述文件与所述诱饵文件的路径是否匹配；若是，则判定进行所述操作事件的主体是所述勒索病毒。
35.优选地，勒索病毒的检测装置还包括：第一上报模块，用于将所述勒索病毒的pid及路径上报至应用层，以便于所述应用层终止所述勒索病毒对计算机的操作；
36.优选地，勒索病毒的检测装置还包括：第二上报模块，用于将所述勒索病毒的路径上报至管理平台以便在所述管理平台标记所述勒索病毒；
37.优选地，勒索病毒的检测装置还包括：第二发送模块，用于向与当前计算机处于同一网络的其他计算机发送警报信息以拒绝所述勒索病毒的操作；
38.优选地，勒索病毒的检测装置还包括：设置模块；用于在管理平台设置开关，所述开关用于获取所述用户的开启命令和关闭命令；
39.若计算机中没有所述诱饵文件，则在检测到所述开关获取到所述开启命令之后触发所述创建模块；
40.删除模块，若计算机中存在所述诱饵文件，则在检测到所述开关获取到所述关闭命令之后删除计算机中的所述诱饵文件并停止相关监控。
41.为解决上述技术问题，本技术还提供一种勒索病毒的检测装置，包括：存储器，用
于存储计算机程序；
42.处理器，用于执行计算机程序时实现上述勒索病毒的检测方法的步骤。
43.为解决上述技术问题，本技术还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述勒索病毒的检测方法的步骤。
44.本技术所提供的勒索病毒的检测方法包括在计算机的目标位置处创建诱饵文件，其中目标位置为计算机的桌面、计算机c盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；在创建好诱饵文件之后将其路径发送给内核并控制内核监控针对计算机内的文件的操作事件，若监控到上述操作事件的发生，则判断与操作事件对应的文件与诱饵文件的路径是否匹配；因为通常情况下只有勒索病毒会对诱饵文件进行操作，所以路径匹配成功表征是勒索病毒在进行上述操作事件。勒索病毒通常会先加密桌面上的文件，再按照c、d、e、f盘的顺序进行对盘中的文件进行加密，所以可以将诱饵文件放置在计算机的桌面和c盘的根目录中；但勒索病毒千变万化，对文件加密的顺序不尽相同，用户还可以设置自定义诱饵文件的位置，能适应勒索病毒对文件加密顺序的多样性与变化性。当有勒索病毒试图加密计算机上的文件时，就会首先命中创建好的诱饵文件，从而暴露其攻击行为，本技术所提供的勒索病毒的检测方法能及时检测出勒索病毒，避免勒索病毒造成无法挽回的损失。
45.本技术还提供了一种勒索病毒的检测装置和计算机可读存储介质，与上述方法对应，故具有与上述方法相同的有益效果。
附图说明
46.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1为本技术实施例提供的一种勒索病毒的检测方法的流程图；
48.图2为本技术实施例提供的一种检测和阻断勒索病毒的方法的流程图；
49.图3为本技术实施例提供的勒索病毒的检测装置的结构图；
50.图4为本技术另一实施例提供的勒索病毒的检测装置的结构图。
具体实施方式
51.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
52.本技术的核心是提供一种勒索病毒的检测方法、装置以及存储介质。
53.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
54.勒索病毒作为恶意软件的一种，会在计算机中进行传播并进行各种非法行为以达到勒索钱财的目的；在磁盘中插入符合勒索病毒加密类型的诱饵文件，当有勒索病毒试图
加密计算机上的文件时，就会首先命中设置的诱饵文件，从而暴露其攻击行为；即当并没有人为操作，诱饵文件却发生变化时，表明对诱饵文件进行操作的主体很可能是勒索病毒，利用这个原理检测出计算机中隐藏的勒索病毒。诱饵文件的放置位置直接关系到勒索病毒能不能被及时检测到，若诱饵文件防止位置不合适，则需要较长时间才能检测出勒索病毒，此时计算机中的重要文件可能已经被攻击，故需要提供一种方法将诱饵文件放置在合适的位置。图1为本技术实施例提供的一种勒索病毒的检测方法的流程图，如图1所示，该方法包括以下步骤：
55.s10：在目标位置处创建诱饵文件，其中目标位置为计算机的桌面、计算机c盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；
56.根据勒索病毒的特点，通常会先加密桌面上的文件，再按照c、d、e、f盘的顺序对盘中的文件进行加密。所以我们可以将诱饵文件放置在桌面以及c盘的根目录下，能检测出大部分的勒索病毒；但勒索病毒千变万化，对文件加密的顺序不尽相同，用户还可以根据实际情况自定义诱饵文件的位置以适应勒索病毒对文件加密顺序的多样性与变化性，例如不同勒索病毒的具有不同的攻击特性，可以根据这些攻击特性自定义诱饵文件的位置；还可以将诱饵文件放置在重要文件夹中以保护计算机中的重要文件。值得一提的是，这里并不对诱饵文件的数量和类型作限制，能有效检测勒索病毒即可，勒索病毒加密文件的类型包括.doc、.ppt、.pdf、.c、.mp4等一百多种类型的文件，可以根据实际情况设置一定数量的诱饵文件，这些诱饵文件可以是不同类型。另外，勒索病毒在攻击时会跳过空文件，不对空文件进行加密，所以在设置诱饵文件时可以在诱饵文件中填充一些内容，但对具体填充何种内容不做要求；并且还可以将诱饵文件的图标隐藏起来防止用户对诱饵文件进行误操作；用户还可以自定义诱饵文件的填充内容和文件名以预防不同类型勒索病毒的攻击。
57.s11：将诱饵文件的路径发送给内核；
58.诱饵文件在创建之后，需要将其路径发送至内核，因为步骤s10中所提供的诱饵文件可能不止一个，设置的位置也分布在计算机中的各个磁盘里面，所以实际发送至内核的路径应该是所有诱饵文件的路径。且一般情况下，是将诱饵文件的绝对路径下发给内核。
59.s12：控制内核监控针对计算机内的文件的操作事件；
60.通过对勒索病毒的行为分析，其对文件的一般操作方式为：对源文件直接进行加密，然后对源文件进行重命名；将源文件复制为一个新的文件，对新文件进行加密操作，再删除源文件。所以我们在内核层监控针对文件的操作事件，其中上述操作事件包括了写事件、删除事件及重命名事件。
61.s13：若监控到发生操作事件，则判断与操作事件对应的文件与诱饵文件的路径是否匹配；若是，则判定进行操作事件的主体是勒索病毒。
62.若内核监控到发生了针对文件的操作事件，即写事件、重命名事件、删除事件中的任意一项或多项，则将此时与操作事件对应的文件的路径与诱饵文件的路径进行匹配；若路径匹配成功，即与操作事件对应的文件的路径与诱饵文件的路径一致，则可以判定进行操作事件的主体是勒索病毒。由于诱饵文件可能有多个，所以进行匹配时应该将与操作事件对应的文件的路径与全部诱饵文件的路径进行匹配。另外，在判定进行操作事件的主体是勒索病毒，就可以拒绝勒索病毒继续对诱饵文件进行操作，还可以采取其他措施阻断勒
索病毒。
63.本技术实施例所提供的勒索病毒的检测方法包括在计算机的目标位置处创建诱饵文件，其中目标位置为计算机的桌面、计算机c盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；在创建好诱饵文件之后将其路径发送给内核并控制内核监控针对计算机内的文件的操作事件，若监控到上述操作事件的发生，则判断与操作事件对应的文件与诱饵文件的路径是否匹配；因为通常情况下只有勒索病毒会对诱饵文件进行操作，所以路径匹配成功表征是勒索病毒在进行上述操作事件。勒索病毒通常会先加密桌面上的文件，再按照c、d、e、f盘的顺序进行对盘中的文件进行加密，所以可以将诱饵文件放置在计算机的桌面和c盘的根目录中；但勒索病毒千变万化，对文件加密的顺序不尽相同，用户还可以设置自定义诱饵文件的位置，能适应勒索病毒对文件加密顺序的多样性与变化性。当有勒索病毒试图加密计算机上的文件时，就会首先命中创建好的诱饵文件，从而暴露其攻击行为，本技术所提供的勒索病毒的检测方法能及时检测出勒索病毒，避免勒索病毒造成无法挽回的损失。
64.在实际应用中，勒索病毒千变万化，对文件加密的顺序不尽相同，诱饵文件的实际设置位置有时需要适应勒索病毒对文件加密顺序的多样性与变化性，即需要用于根据实际情况自定义诱饵文件的位置；但通常情况下又只需要设置在最容易检测到勒索病毒的位置。为了适应不同的情况，在目标位置处创建诱饵文件包括：获取用户的设置指令；若在预设时间内获取到设置指令，则在设置指令相对应的位置创建诱饵文件；若在预设时间内未获取到设置指令，则在桌面和/或c盘的根目录中创建诱饵文件。
65.在创建诱饵文件之前，先判断用户是否需要自定义诱饵文件及其位置；即设置一个预设时间，在预设时间内等待获取用户的设置指令，若获取到设置指令则根据设置指令在相对应的位置处创建诱饵文件；若在预设时间内未获取到设置指令，则表征用户不需要自定义诱饵文件的位置，则按默认设置创建好诱饵文件即可，一般情况下，诱饵文件默认设置位置在桌面和/或c盘的根目录中。这里不对预设时间的长短作要求，能留给用户足够的时间发出设置指令即可。另外，本实施例还提供另外一种设置方案，可以直接在管理平台上获取用户的指令，若用户发出需要自定义诱饵文件位置的指令，则等待用户创建诱饵文件即可；若用户发出计算机默认设置诱饵文件位置的指令，则将诱饵文件设置在桌面和/或c盘的根目录中。
66.本实施例提供的诱饵文件的设置方案，用户可以根据实际需求设置诱饵文件的位置，又可以等待计算机进入默认设置；能满足用户的不同需求，提高了用户的体验感。
67.在具体实施中，如果只有单个诱饵文件或者只有一种类型的诱饵文件，那检测的效果可能不尽人意，故诱饵文件有三种，包括第一诱饵文件、第二诱饵文件、第三诱饵文件；第一诱饵文件的文件名的unicode编码相对于计算机内所有的文件的文件名的unicode编码大；第二诱饵文件的文件名的unicode编码相对于计算机内所有的文件的文件名的unicode编码小；第三诱饵文件的文件名的unicode编码为随机大小。
68.根据对勒索病毒特点的研究，其加密文件的顺序按照文件名的unicode编码从小到大或从大到小的顺序依次进行加密；为了预防勒索病毒按照文件名的unicode编码从大到小的顺序依次对文件进行加密，所以创建第一诱饵文件，第一诱饵文件的文件名的unicode编码相对于计算机内所有的文件的unicode编码的文件名大，勒索病毒如果按照文
件名的unicode编码从大到小的顺序依次对文件进行加密，就会首先命中第一诱饵文件，从而暴露其攻击行为；为了预防勒索病毒按照文件名的unicode编码从小到大的顺序依次对文件进行加密，所以创建第二诱饵文件，第二诱饵文件的文件名的unicode编码相对于计算机内所有的文件的文件名的unicode编码小，勒索病毒如果按照文件名的unicode编码从小到大的顺序依次对文件进行加密，就会首先命中第二诱饵文件，从而暴露其攻击行为；为了防止有些勒索病毒直接略过相对较小和相对较大的文件，所以创建第三诱饵文件，第三诱饵文件的文件名的unicode编码为随机大小。这三种诱饵文件可以是计算机默认创建在桌面和/或c盘的根目录中，具体分布以实际情况为准；也可以是用户自定义诱饵文件的位置时为用户提供的三种诱饵文件，用户可以自行选择三种诱饵文件的设置位置。这里不对三种诱饵文件的数量作限制，一般情况下，每种诱饵文件只需要创建一个即可，三个诱饵文件的命名方式可以为！xxx.doc、租xxx.doc、xxxx.doc，在三个诱饵文件中填充随机内容；其中
‘
！’的unicode编码相对小，
‘
租’的unicode编码相对大，xxxx表示随机文件名，不限定其大小。
69.本实施例提供了三种诱饵文件，包括第一诱饵文件、第二诱饵文件、第三诱饵文件；第一诱饵文件的文件名的unicode编码相对于计算机内所有的文件的unicode编码的文件名大，第二诱饵文件的文件名的unicode编码相对于计算机内所有的文件的文件名的unicode编码小，这两种诱饵文件能有效预防勒索病毒按照文件名的unicode编码从大到小和从小到大的顺序依次对文件进行加密，通常勒索病毒会首先命中这两种诱饵文件，从而暴露其攻击行为；第三诱饵文件的文件名为随机大小，可以防止更狡猾的勒索病毒略过相对较小和相对较大的文件，由此可见，这三种诱饵文件能提高检测勒索病毒的效率。
70.在判定进行操作事件的主体是勒索病毒之后，需要对该勒索病毒采取措施防止其继续攻击计算机中的文件，即在判定进行操作事件的主体是勒索病毒之后，将勒索病毒的pid及路径上报至应用层，以便于应用层终止勒索病毒对计算机的操作。将勒索病毒的pid及路径上报至应用层之后，还包括：将勒索病毒的路径上报至管理平台以便在管理平台标记勒索病毒。
71.将勒索病毒的pid及路径上报至应用层之后，应用层会终止勒索病毒对计算机的操作，防止勒索病毒继续攻击计算机内的其他文件；将勒索病毒的路径上报至管理平台之后，在管理平台将该勒索病毒标记为黑名单，可以防止此勒索病毒下次再运行并攻击计算机内的文件。
72.为了防止勒索病毒攻击与当前计算机处于同一网络的其他计算机，在将勒索病毒的pid及路径上报至应用层之后，还包括：向与当前计算机处于同一网络的其他计算机发送警报信息以拒绝勒索病毒的操作。
73.在实际应用中，通常有多个计算机处于同一个网络中，当其中一个计算机遭受到勒索病毒的攻击后，收到攻击的计算机可以向同一网络的其他计算机发送警报信息，其他计算机在接收到警报信息之后会拒绝勒索病毒的操作。本方案能有效防止勒索病毒在计算机网络中传播和攻击多个计算机设备，能避免勒索病毒带来不可挽回的损失。
74.在用户使用计算机时，可能不需要检测计算机的勒索病毒，故上述方法还包括：在管理平台设置开关，用于获取用户的开启命令和关闭命令；若计算机中没有诱饵文件，则在检测到开关获取到开启命令之后进入在计算机的目标位置处创建诱饵文件的步骤；若计算
机中存在诱饵文件，则在检测到开关获取到关闭命令之后删除计算机中的诱饵文件并停止相关监控。
75.在实际应用中，计算机并不需要持续性的检测勒索病毒，当用户想关闭检测功能的时候，可以发出关闭指令，在开关获取到关闭指令之后，删除计算机中的诱饵文件并停止相关监控，可以降低计算机的功耗。当用户需要开启检测功能的时候，可以发出开启指令，在开关获取到开启之后，会开始创建诱饵文件并进行相关的监控，防止病毒攻击计算机。
76.本实施例提供的方案能根据用户不同需求开闭计算机对于勒索病毒的检测功能，能降低计算机的功耗。
77.图2为本技术实施例提供的一种检测和阻断勒索病毒的方法的流程图，需要注意的是，图2只是本技术的其中一种实现方案，并不限制本技术的保护范围。如图2所示，检测和阻断勒索病毒的方法的步骤为：
78.s20：判断勒索病毒防护的开关是否开启，若是，则进入步骤s21，若否，则结束；
79.s21：判断用户是否自定义诱饵文件，若是，则进入步骤s22，若否，则进入步骤s23；
80.s22：创建诱饵文件并自定义诱饵文件的位置，填充相应类型的文件内容并隐藏；
81.s23：在c盘关键位置创建3个隐藏的诱饵文件，并填充相应类型的文件内容；
82.s24：将诱饵文件的路径下发给内核；
83.s25：控制内核监控操作事件；
84.s26：判断与操作事件对应的文件与诱饵文件的绝对路径是否匹配，若是，则进入步骤s27，若否，则结束；
85.s27：拒绝此次操作事件，并上报勒索病毒的pid及路径至应用层；
86.s28：终止此进程，并上报勒索病毒的路径至管理平台；
87.s29：管理平台将勒索病毒标记为黑名单并进行向同一网络内的计算机发出警报信息。
88.其中步骤s20、步骤s21、以及步骤s29在管理平台层进行；步骤s22、步骤s23、步骤s24、以及步骤s28在应用层进行；步骤s25、步骤s26、以及步骤s27在内核层进行。
89.在上述实施例中，对于勒索病毒的检测方法进行了详细描述，本技术还提供勒索病毒的检测装置对应的实施例。需要说明的是，本技术从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件的角度。
90.基于功能模块的角度，本实施例提供一种勒索病毒的检测装置，图3为本技术实施例提供的勒索病毒的检测装置的结构图，如图3所示，该装置包括：
91.创建模块10，用于在目标位置处创建诱饵文件，其中目标位置为计算机的桌面、计算机c盘的根目录、以及用户自定义的位置中的任意一项或任意组合，其中，用户自定义的位置为用户根据不同勒索病毒的攻击特性确定出的位置；
92.第一发送模块11，用于将诱饵文件的路径发送给内核；
93.控制模块12，用于控制内核监控针对计算机内的文件的操作事件；
94.判断模块13，用于若监控到发生操作事件，则判断与操作事件对应的文件与诱饵文件的路径是否匹配；若是，则判定进行操作事件的主体是勒索病毒。
95.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
96.作为优选的实施方式，勒索病毒的检测装置还包括：
97.第一上报模块，用于将勒索病毒的pid及路径上报至应用层，以便于应用层终止勒索病毒对计算机的操作；
98.第二上报模块，用于将勒索病毒的路径上报至管理平台以便在管理平台标记勒索病毒；
99.第二发送模块，用于向与当前计算机处于同一网络的其他计算机发送警报信息以拒绝勒索病毒的操作；
100.设置模块；用于在管理平台设置开关，开关用于获取用户的开启命令和关闭命令；
101.若计算机中没有诱饵文件，则在检测到开关获取到开启命令之后触发创建模块10；
102.删除模块，若计算机中存在诱饵文件，则在检测到开关获取到关闭命令之后删除计算机中的诱饵文件并停止相关监控。
103.本实施例提供的勒索病毒的检测装置，与上述方法对应，故具有与上述方法相同的有益效果。
104.基于硬件的角度，本实施例提供了另一种勒索病毒的检测装置，图4为本技术另一实施例提供的勒索病毒的检测装置的结构图，如图4所示，勒索病毒的检测装置包括：存储器20，用于存储计算机程序；
105.处理器21，用于执行计算机程序时实现如上述实施例中所提到的勒索病毒的检测方法的步骤。
106.本实施例提供的勒索病毒的检测装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
107.其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用dsp(digital signal processing，数字信号处理)、fpga(field－programmable gate array，现场可编程门阵列)、pla(programmable logic array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(central processing unit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有gpu(graphics processing unit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括ai(artificial intelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。
108.存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的勒索病毒的检测方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括windows、unix、linux等。数据203可以包括但不限于勒索病毒的检测方法涉及到的数据等。
109.在一些实施例中，勒索病毒的检测装置还可包括有显示屏22、输入输出接口23、通
信接口24、电源25以及通信总线26。
110.本领域技术人员可以理解，图4中示出的结构并不构成对勒索病毒的检测装置的限定，可以包括比图示更多或更少的组件。
111.本技术实施例提供的勒索病毒的检测装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：勒索病毒的检测方法。
112.本实施例提供的勒索病毒的检测装置，与上述方法对应，故具有与上述方法相同的有益效果。
113.最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
114.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例描述的方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
115.本实施例提供的计算机可读存储介质，与上述方法对应，故具有与上述方法相同的有益效果。
116.以上对本技术所提供的勒索病毒的检测方法、装置以及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
117.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。