目前检测新的勒索软件主要采用动态检测的方法,而常用的动态检测方法是设置陷阱文件并实时检测其指纹变化或者实时监控文件系统操作。然而,上述方法不能很好的区分针对该文件的操作是勒索软件的操作还是其他正常操作。针对此问题,本文提出了一种基于文件特征的加密型勒索软件动态检测方法,通过提取自定义文件的信息熵、文件类型头标识等特征来进行检测,通过本文的方法定量计算出当前系统所受勒索软件的威胁程度,从而判断样本是否是勒索软件样本。

• 单位
  四川大学