TW202307703A

TW202307703A - 防資料綁架的方法及相關電腦程式

Info

Publication number: TW202307703A
Application number: TW110128727A
Authority: TW
Inventors: 林長毅
Original assignee: 林長毅
Priority date: 2021-08-04
Filing date: 2021-08-04
Publication date: 2023-02-16
Also published as: TWI769038B

Abstract

本發明揭露一種防資料綁架的方法及相關電腦程式，該方法包含步驟：a) 設定一受保護目錄及該受保護目錄中具有一指定副檔名的受保護檔案；b) 在該受保護目錄所在之根目錄或使用者目錄中，創建一標的目錄，該標的目錄的名稱之第一字元較所在之根目錄或使用者目錄中所有目錄的名稱之第一字元於Unicode字元列表中的排序為前；c) 在該標的目錄中創建至少100個具有該指定副檔名的標的檔案；d) 將該受保護目錄中的所有受保護檔案以一第一頻率循環製成映像檔，並儲存於一指定空間；e) 以一第二頻率檢查該標的目錄中特定標的檔案是否被修改或刪除；及f) 若步驟e)中受檢查的標的檔案被修改或刪除的總數達到一特定值時，停止製成映像檔，並將該些受保護檔案的控制代碼設定為限制寫入。

Description

防資料綁架的方法及相關電腦程式

本發明關於一種資訊運作方法與相關電腦程式產品，特別是一種防資料綁架的方法及相關電腦程式產品。

在資訊科技發達的今日，資訊安全是非常重要的。小至個人使用的電子產品，大到國家級別的公共工程，若是其使用的軟體或資料被”駭”，相對應的服務便有可能減低效能，甚至停擺。一種常見的駭客手法是藉由網路入侵電腦主機，使用惡意軟體透過作業系統的漏洞或特殊設定而將儲存設備（如硬碟、SSD）裡的資料加密，從而讓該電腦主機無法運作，這就是所謂的資料綁架。這些發動網路攻擊的駭客們可以對電腦主機的擁有者提出贖金要求，獲得贖金後才解密該些資料，讓系統恢復正常。

這些惡意軟體在入侵電腦主機後，會依照一定的規則對電腦儲存設備中的資料進行加密。由於在執行過程中電腦主機會展現與平時運作上不同的特徵，一些雲端防駭系統便能藉由監測這些特徵，提出相對的防護措施來對抗惡意軟體，以確保資訊安全。但另一方面來說，這些雲端防駭系統也有可能獲得甚至是竊取用戶的資料，反而成為了另一個資安隱憂。因此，為了解決這種矛盾的問題，最好是有單機版的應用程式來防止惡意軟體資料綁架，而這些應用程式只在使用者所允許的範圍內設定操作。本發明即為一種新穎的解決方案。

本段文字提取和編譯本發明的某些特點。其它特點將被揭露於後續段落中。其目的在涵蓋附加的申請專利範圍之精神和範圍中，各式的修改和類似的排列。

為了滿足前述需求，本發明揭露一種防資料綁架的方法，其包含步驟：a) 於一電腦的檔案系統中設定一受保護目錄及該受保護目錄中具有一指定副檔名的受保護檔案；b) 在該受保護目錄所在之根目錄或使用者目錄中，創建一標的目錄，該標的目錄的名稱之第一字元較所在之根目錄或使用者目錄中所有目錄的名稱之第一字元於Unicode字元列表中的排序為前；c) 在該標的目錄中創建至少100個具有該指定副檔名的標的檔案；d) 將該受保護目錄中的所有受保護檔案以一第一頻率循環製成映像檔，並儲存於一指定空間；e) 以一第二頻率檢查該標的目錄中，依檔名前A個與倒數B個被讀取的標的檔案是否被修改或刪除，其中A與B為正整數；及f) 若步驟e)中受檢查的標的檔案被修改或刪除的總數達到C個時，將該些受保護檔案的控制代碼設定為限制寫入，其中C為正整數不大於A且不大於B。

前述的防資料綁架的方法，可進一步於步驟d)後包含步驟：d1) 檢查受保護檔案中有無被修改或刪除者，若有，則於下一輪循環製成的映像檔中將該被修改或刪除的受保護檔案列於一待刪區內；及d2) 重複步驟d)，並於下下一輪製成映像檔前判斷該被修改或刪除之標的檔案是否恢復原狀：若否，則將該被修改或刪除之標的檔案自該待刪區內刪除，移回原位；若是，則將該被修改或刪除之標的檔案自該待刪區內刪除且依照當時所有的受保護檔案現狀製成映像檔。

若於所在之根目錄或使用者目錄中存在一特異名稱目錄的名稱之第一字元與該標的目錄的名稱之第一字元於Unicode字元列表中的排序相同，則該標的目錄的名稱之第二字元起將使用Unicode字元列表中排序最前的符號，直至該標的目錄的名稱之第二字元後的某字元較該特異名稱目錄同位置之字元於Unicode字元列表中排序為前。

最好，A為5，B為5，C為3；每一標的檔案的大小不小於64kB；該指定空間為該電腦不附屬的儲存設備或一雲端儲存平台；該第一頻率至少為每10分鐘一次；該第二頻率至少為100微秒一次。

本發明亦揭露一種電腦程式，包括可讀代碼，安裝於一電腦中，當前述可讀代碼於該電腦中運行時，該電腦的處理器執行前述的防資料綁架的方法。

最好，當前述可讀代碼於該電腦中運行時，該電腦的處理器顯示一操作介面於一螢幕上，該操作介面引導使用者設定該受保護目錄與該受保護檔案。

由於防資料綁架的方法是由運行於單機的電腦程式所執行，不會造成竊取用戶資料的情形。此外，本發明提供受保護檔案兩重保護，實為業界首創。

本發明將藉由參照下列的實施方式而更具體地描述。

請見圖1，該圖為依照本發明實施方式的一種防資料綁架的方法（以下簡稱本方法）的流程圖。實作上，本方法是藉由電腦程式安裝於一電腦中，當該電腦執行該電腦程式而進行。本方法的第一步驟為於一電腦的檔案系統中設定一受保護目錄及該受保護目錄中具有一指定副檔名的受保護檔案（S01）。為了對此有較佳的理解，請見圖2，該圖繪示本方法之應用場景。在圖2中，電腦1具有一硬碟2，硬碟2是儲存資料的物理裝置。透過電腦1的作業系統可將硬碟中的磁區有效管理，以便能儲存結構是0與1組合的資料（檔案），並能指向檔案存在的位置，以進行讀取與寫入。依照本發明，受保護的對象是指定的受保護目錄中的指定檔案，並非所有硬碟2中儲存的檔案。依照駭客的侵擾方式，若是使用綁架手段，一般都是針對特定附檔名的檔案，進行加密，從而讓該檔案無法被讀取，形成無用資料型態。常見會被綁架檔案的副檔名如doc、xls、bin、rft、pdf、dbf、jpg、dwg、cdr、psd、cd、mdb、png、lcd、zip、rar、csv、log等，這些都是步驟S01中的指定副檔名的態樣。使用該電腦程式的使用者，可以設定受保護目錄為何。在圖2中，電腦1的硬碟在邏輯上分為一系統槽21（C槽）與一檔案槽22（D槽），系統槽21與檔案槽22都是一個｢目錄｣（根目錄）。以檔案槽22為例，在本實施例中具有3個目錄，其名稱分別是”document”、”!!important”及”figure”。依照需求，需要保護的受保護檔案位於”document”目錄中，”document”目錄即所謂的受保護目錄。然而，在受保護目錄中也並非所有的檔案都受到保護，必須要有指定的副檔名之檔案才受到保護。在本實施例中，”document”目錄中有6個檔案，分別是abc.doc、friend.doc、mydata.log、time1937.log、time245.log與ffnuefne.bin。經設定，副檔名為”log”的3個檔案為受保護檔案。要注意的是，實施例中僅使用一個受保護目錄與一個指定副檔名的受保護檔案來說明，但實作上受保護目錄可以有複數個，指定副檔名也同時有多個。

本方法的第二步驟為在該受保護目錄所在之根目錄或使用者目錄中，創建一標的目錄，該標的目錄的名稱之第一字元較所在之根目錄或使用者目錄中所有目錄的名稱之第一字元於Unicode字元列表中的排序為前（S02）。依照步驟S02，電腦程式在檔案槽22（”document”目錄所在之根目錄）中創建了名稱為”!!!”的標的目錄221。標的目錄221的名稱之第一字元為”!”，其在Unicode字元列表中的排序較現有目錄名稱”document”與”figure”的第一字元來的為前。然而，”!!important”目錄名稱的第一字元不巧也是”!”。如果沒有”!!important”目錄存在，電腦程式創建的標的目錄221之名稱可以簡單地使用”!”。為了解決”!!important”目錄名稱存在的問題，也就是若於所在之根目錄中存在一特異名稱目錄（”!!important”目錄）的名稱之第一字元與標的目錄221的名稱之第一字元於Unicode字元列表中的排序相同，則標的目錄221的名稱之第二字元起將使用Unicode字元列表中排序最前的符號（不包含控制代碼與空格等排序更前的”非符號”），直至標的目錄221的名稱之第二字元後的某字元較該特異名稱目錄同位置之字元於Unicode字元列表中排序為前。由於”!!important”目錄名稱的前二個字元都是”!”，因此標的目錄221要延伸到第三字元皆為”!”，才能符合以上的要求。創建標的目錄221之目的在於創造一個最先被駭客綁架軟體攻擊的對象。一般來說，如果綁架軟體要對硬碟2中的檔案進行加密綁架，其優先順序也是要按照作業系統定義的讀取優先順序，也就是由目錄名稱之第一字元的Unicode字元列表中的排序前後來決定，排序較前的目錄中的檔案會最先被攻擊。要注意的是，特異名稱目錄也有可能是受保護目錄。此外，依照本發明，如果受保護目錄是在作業系統切分的邏輯槽，使用者目錄之下，也可在該使用者目錄中創建標的目錄。如果在作業系統運作下有兩個以上的使用者可以依其帳號操控電腦1，就會有兩個以上的使用者目錄，該二使用者目錄都可以是本方法第二步驟的應用對象。

接著，本方法的第三步驟為在標的目錄221中創建至少100個具有該指定副檔名的標的檔案（S03）。為了對本步驟有較佳的理解，請見圖3，該圖繪示標的目錄221中的標的檔案態樣。在本實施例中創建了1000個副檔名為log的標的檔案，!0000001.log、!0000002.log、…、!0001000.log。標的檔案的命名方式並不限定，因為這些標的檔案會由作業系統決定其全讀取時的優先順序，不必特別命名也可以分出那些檔案會先被讀取，那些會較後。依照綁架軟體攻擊的實務，較先讀取的檔案可能會較先被攻擊，也有可能較後讀取的檔案先被攻擊。要說明的是，本步驟創建眾多的標的檔案之目的是要引誘綁架軟體來攻擊（加密綁架），藉由監控該些標的檔案的狀況來決定電腦1是否受到綁架軟體攻擊。當遭受綁架軟體攻擊時，該些標的檔案的加密時間會延後綁架軟體攻擊受保護檔案的時點，進而可以對該些受保護檔案進行一些特別保護。策略上來說，是一種以｢時間換取空間｣的對抗方式。由於對檔案加密的時間會與檔案大小正相關，在不影響電腦1運作及佔據太多儲存空間下，標的檔案的大小最好有最小值的限制。依照本發明，每一標的檔案的大小最好不小於64kB。

本方法的第四步驟為將受保護目錄中的所有受保護檔案以一第一頻率循環製成映像檔，並儲存於一指定空間（S04）。為了對本步驟有較佳的理解，請見圖4，該圖繪示映像檔的態樣及其儲存方式。依照本發明，儲存受保護檔案的指定空間可以是電腦1不附屬的儲存設備（比如一台網路硬碟或抽取式隨身固態硬碟），也可以是一個雲端儲存平台（比如Google Drive），透過網路進行儲存。指定空間必須要不為綁架軟體所攻擊。本實施例中，指定空間是雲端儲存平台4，透過網路3與電腦1資訊連接。本發明對受保護檔案的第一重保護是將之以映像檔形式保留現況，且持續在一段時間後（第一頻率），針對該些受保護檔案再做一次映像檔，必要時回復。依照本發明，第一頻率至少為每10分鐘一次。但依照實際需求，也可以是每一小時一次，端視電腦1的工作量及被攻擊的可能性決定。

接著，本方法的第五步驟為以一第二頻率檢查該標的目錄中，依檔名前A個與倒數B個被讀取的標的檔案是否被修改或刪除，其中A與B為正整數（S05）。本步驟主要是在極短的時間內，持續觀察最容易先被綁架軟體攻擊的標的檔案是否遭受加密攻擊。實作上，第二頻率至少為100微秒一次。這是非常快的速度，因此在不影響電腦1效能的情況下，能夠監測的標的目錄數量不會太多。在本實施例中，取A為5及B為5，也就是每次觀察依檔名前5個與倒數5個被讀取的標的檔案（圖3中虛線框框示者）是否被修改或刪除。如果該些標的檔案被修改或刪除，表示可能被綁架軟體攻擊過了。值得注意的是，雖然本步驟是於製作映像檔後開始執行，但步驟S04是持續不斷地與本步驟同時進行，僅啟動時間上有差異。本步驟也是持續不斷地反覆進行。

本方法的最後一個步驟為若步驟S05中受檢查的標的檔案被修改或刪除的總數達到C個時，將該些受保護檔案的控制代碼（handle）設定為限制寫入，並停止製成映像檔，其中C為正整數不大於A且不大於B（S06）。在本實施例中，C取值為3（實作上並不限置於此，而是可隨著A與B變動）。也就是當電腦程式發現一次觀察中，依檔名前5個或倒數5個被讀取的標的檔案中有3個被修改或刪除，就認定了綁架軟體已經在攻擊。此時，由於綁架軟體在短時間內還得對標的目錄221中其它的標的檔案進行加密，還有時間為受保護檔案於電腦1中進行保護，電腦程式便會透過作業系統，取得保護檔案的控制代碼迅速鎖定為限制寫入。如此，之後綁架軟體便無法對該些保護檔案進行加密。這就是本發明對受保護檔案的第二重保護。停止製成映像檔的目的在於，如果綁架軟體的攻擊速度還是太快，造成一部分受保護檔案被加密了，且不巧此時又在進行映像檔製作，那麼最新的映像檔中就有可能包含了部分的被綁架的受保護檔案。為了防止此種情況發生，釜底抽薪的作法便是停止製成映像檔。待所有受攻擊的狀況清理後，本方法啟用，映像檔也就繼續循環地製作了。

依照本發明，若有保護檔案不小心被使用者誤刪、改寫或因儲存裝置磁區損壞而導致檔案遺失，映像檔中的儲存方式可以略做修改，以確定其成因並採取適當的處理措施。因此，本方法可進一步於步驟S04後包含步驟兩個步驟。首先，檢查受保護檔案中有無被修改或刪除者，若有，則於下一輪循環製成的映像檔中將該被修改或刪除的受保護檔案列於一待刪區4a內（S041）。關於本步驟的細節說明，請復見圖4。當於本輪映像檔製成時，包含mydata.log、time1937.log與time245.log3個檔案的映像檔，被儲存於雲端儲存平台4的第一儲存區41中（實體儲存區）。在下一輪映像檔製成前，電腦程式透過作業系統發現time1937.log被修改了，新的time1937.log便會於下一輪映像檔時，拉到待刪區4a中儲存，下一輪的映像檔則整體儲存於第二儲存區42中（邏輯上，下一輪的映像檔會將本輪的映像檔覆蓋）。接著，重複步驟S04，並於下下一輪製成映像檔前判斷該被修改或刪除之標的檔案是否恢復原狀：若否，則將該被修改或刪除之標的檔案自該待刪區4a內刪除，移回原位；若是，則將該被修改或刪除之標的檔案自該待刪區4a內刪除且依照當時所有的受保護檔案現狀製成映像檔（S042）。在”否”的情況下，也就是確認time1937.log因非駭客攻擊緣故而消失或修改，新的time1937.log檔案便由待刪區4a內刪除，移回原位於下下一輪製成的映像檔中（消失的情況則待刪區4a是空的，下下一輪製成的映像檔中原time1937.log檔案的位置也空了）。在”是”的情況下，也就是確認time1937.log消失或修改的原因不存在了，此時電腦程式便刪除待刪區4a內的新的time1937.log檔案，繼續依照步驟S04對受保護檔案進行映像檔的製作。如圖4所示，此時使用者多增加了一個受保護檔案time359.log，製成的映像檔整體儲存於第三儲存區43中（邏輯上，下下一輪的映像檔會將下一輪的映像檔覆蓋）。

值得注意的是步驟S041與S042可能發生於步驟S05之前、步驟S05與步驟S06之間，甚至是步驟S06後，並沒有固定發生的時點。

前述的電腦程式包括了可讀代碼，安裝於電腦1中，當可讀代碼於電腦1中運行時，電腦1的處理器可執行以上所述的防資料綁架的方法。最好，當前述可讀代碼於電腦1中運行時，電腦1的處理器還可顯示一操作介面於一螢幕（未繪示）上，該操作介面可引導使用者設定受保護目錄與受保護檔案。

雖然本發明已以實施方式揭露如上，然其並非用以限定本發明，任何所屬技術領域中具有通常知識者，在不脫離本發明之精神和範圍內，當可作些許之更動與潤飾，因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。

1:電腦 2:硬碟 21:系統槽 22:檔案槽 221:標的目錄 3:網路 4:雲端儲存平台 4a:待刪區 41:第一儲存區 42:第二儲存區 43:第三儲存區 S01~S06:步驟

圖1為依照本發明實施方式的一種防資料綁架的方法的流程圖。

圖2繪示該防資料綁架的方法之應用場景。

圖3繪示一標的目錄中的標的檔案態樣。

圖4繪示映像檔的態樣及其儲存方式。

S01~S06:步驟

Claims

一種防資料綁架的方法，包含步驟： a) 於一電腦的檔案系統中設定一受保護目錄及該受保護目錄中具有一指定副檔名的受保護檔案； b) 在該受保護目錄所在之根目錄或使用者目錄中，創建一標的目錄，該標的目錄的名稱之第一字元較所在之根目錄或使用者目錄中所有目錄的名稱之第一字元於Unicode字元列表中的排序為前； c) 在該標的目錄中創建至少100個具有該指定副檔名的標的檔案； d) 將該受保護目錄中的所有受保護檔案以一第一頻率循環製成映像檔，並儲存於一指定空間； e) 以一第二頻率檢查該標的目錄中，依檔名前A個與倒數B個被讀取的標的檔案是否被修改或刪除，其中A與B為正整數；及 f) 若步驟e)中受檢查的標的檔案被修改或刪除的總數達到C個時，將該些受保護檔案的控制代碼設定為限制寫入，並停止製成映像檔，其中C為正整數不大於A且不大於B。
如請求項1所述的防資料綁架的方法，進一步於步驟d)後包含步驟： d1) 檢查受保護檔案中有無被修改或刪除者，若有，則於下一輪循環製成的映像檔中將該被修改或刪除的受保護檔案列於一待刪區內；及 d2) 重複步驟d)，並於下下一輪製成映像檔前判斷該被修改或刪除之標的檔案是否恢復原狀：若否，則將該被修改或刪除之標的檔案自該待刪區內刪除，移回原位；若是，則將該被修改或刪除之標的檔案自該待刪區內刪除且依照當時所有的受保護檔案現狀製成映像檔。
如請求項1所述的防資料綁架的方法，若於所在之根目錄或使用者目錄中存在一特異名稱目錄的名稱之第一字元與該標的目錄的名稱之第一字元於Unicode字元列表中的排序相同，則該標的目錄的名稱之第二字元起將使用Unicode字元列表中排序最前的符號，直至該標的目錄的名稱之第二字元後的某字元較該特異名稱目錄同位置之字元於Unicode字元列表中排序為前。
如請求項1所述的防資料綁架的方法，其中A為5，B為5，C為3。
如請求項1所述的防資料綁架的方法，其中每一標的檔案的大小不小於64kB。
如請求項1所述的防資料綁架的方法，其中該指定空間為該電腦不附屬的儲存設備或一雲端儲存平台。
如請求項1所述的防資料綁架的方法，其中該第一頻率至少為每10分鐘一次。
如請求項1所述的防資料綁架的方法，其中該第二頻率至少為100微秒一次。
一種電腦程式，包括可讀代碼，安裝於一電腦中，當前述可讀代碼於該電腦中運行時，該電腦的處理器執行請求項1至8中的任意請求項中所述的防資料綁架的方法。
如請求項9所述的防資料綁架的方法，其中當前述可讀代碼於該電腦中運行時，該電腦的處理器顯示一操作介面於一螢幕上，該操作介面引導使用者設定該受保護目錄與該受保護檔案。