知財求人 - 知財ポータルサイト「IP Force」
特許6689992潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6689992
(24)【登録日】2020年4月10日
(45)【発行日】2020年4月28日
(54)【発明の名称】潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
(51)【国際特許分類】
G06F 21/56 20130101AFI20200421BHJP
【FI】
G06F21/56
【請求項の数】15
【全頁数】23
(21)【出願番号】特願2018-537460(P2018-537460)
(86)(22)【出願日】2016年12月28日
(65)【公表番号】特表2019-505919(P2019-505919A)
(43)【公表日】2019年2月28日
(86)【国際出願番号】US2016069021
(87)【国際公開番号】WO2017136073
(87)【国際公開日】20170810
【審査請求日】2018年7月17日
(31)【優先権主張番号】15/011,695
(32)【優先日】2016年2月1日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】501113353
【氏名又は名称】ノートンライフロック インコーポレイテッド
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】100134119
【弁理士】
【氏名又は名称】奥町 哲行
(72)【発明者】
【氏名】グー・レイ
(72)【発明者】
【氏名】ソコロフ・イリヤ
【審査官】
田名網 忠雄
(56)【参考文献】
【文献】
特開2009−116773(JP,A)
【文献】
米国特許出願公開第2011/0082838(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/12−21/16
G06F 21/50−21/57
(57)【特許請求の範囲】
【請求項1】
潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのコンピュータ実施方法であって、前記方法の少なくとも一部が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって行われ、前記方法が、
ファイルバックアッププロセス中に、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を前記コンピューティングデバイスによって検出することと、
ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、前記コンピューティングデバイスによって、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、
ランサムウェアが前記コンピューティングデバイス上にあることを前記コンピューティングデバイスによって確認することと、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することに応答して前記コンピューティングデバイスによってバックアップポリシーを調節することと、
前記調節されたバックアップポリシーに基づいて前記コンピューティングデバイスによって前記バックアップコピーを管理することと、を含む、方法。
ファイルバックアッププロセス中に、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を前記コンピューティングデバイスによって検出することと、
ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、前記コンピューティングデバイスによって、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、
ランサムウェアが前記コンピューティングデバイス上にあることを前記コンピューティングデバイスによって確認することと、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することに応答して前記コンピューティングデバイスによってバックアップポリシーを調節することと、
前記調節されたバックアップポリシーに基づいて前記コンピューティングデバイスによって前記バックアップコピーを管理することと、を含む、方法。
【請求項2】
前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である前記異常を検出することが、
前記ファイルバックアッププロセスにおいて少なくとも1つのファイルの内容が異常であることを判別することと、
前記コンピューティングデバイス上で異常なファイル変更プロセスを検出することと、のうちの少なくとも1つを含む、請求項1に記載の方法。
前記ファイルバックアッププロセスにおいて少なくとも1つのファイルの内容が異常であることを判別することと、
前記コンピューティングデバイス上で異常なファイル変更プロセスを検出することと、のうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項3】
前記ファイルの内容が異常であることを判別することが、
前記ファイルの内容が前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのヘッダーが前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのエントロピーが予期したよりも高いことを判別することと、のうちの少なくとも1つを含む、請求項2に記載の方法。
前記ファイルの内容が前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのヘッダーが前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのエントロピーが予期したよりも高いことを判別することと、のうちの少なくとも1つを含む、請求項2に記載の方法。
【請求項4】
前記異常なファイル変更プロセスを検出することが、
前記ファイル変更プロセスによるリソースの使用量が既定の閾値を超えていることを判別することと、
前記ファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することと、のうちの少なくとも1つを含む、請求項2又は3に記載の方法。
前記ファイル変更プロセスによるリソースの使用量が既定の閾値を超えていることを判別することと、
前記ファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することと、のうちの少なくとも1つを含む、請求項2又は3に記載の方法。
【請求項5】
前記バックアップコピーを前記別の場所に格納することが、前記バックアップコピーが前記他のバックアップコピー内の既存のバックアップコピーを置換することを阻止することを含む、請求項1乃至4のいずれか一項に記載の方法。
【請求項6】
ランサムウェアが前記コンピューティングデバイス上にあることを確認することが、
前記コンピューティングデバイス上のランサムウェアを識別することと、
前記コンピューティングデバイスにインストールされたアンチウイルスソフトウェアからランサムウェアの確認を受信することと、
前記コンピューティングデバイスのユーザーから前記ランサムウェアの確認を受信することと、
前記コンピューティングデバイスに関連する少なくとも1つの他のコンピューティングデバイスでランサムウェア攻撃を検出することと、のうちの少なくとも1つを含む、請求項1乃至5のいずれか一項に記載の方法。
前記コンピューティングデバイス上のランサムウェアを識別することと、
前記コンピューティングデバイスにインストールされたアンチウイルスソフトウェアからランサムウェアの確認を受信することと、
前記コンピューティングデバイスのユーザーから前記ランサムウェアの確認を受信することと、
前記コンピューティングデバイスに関連する少なくとも1つの他のコンピューティングデバイスでランサムウェア攻撃を検出することと、のうちの少なくとも1つを含む、請求項1乃至5のいずれか一項に記載の方法。
【請求項7】
前記コンピューティングデバイスへの前記関連が、
前記コンピューティングデバイスに対する物理的な近接と、
前記コンピューティングデバイスと前記他のコンピューティングデバイスとの論理グループと、のうちの少なくとも1つを含む、請求項6に記載の方法。
前記コンピューティングデバイスに対する物理的な近接と、
前記コンピューティングデバイスと前記他のコンピューティングデバイスとの論理グループと、のうちの少なくとも1つを含む、請求項6に記載の方法。
【請求項8】
前記バックアップポリシーを調節することが、
前記ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫することと、
前記ファイルバックアッププロセスを終了することと、
前記ファイルバックアッププロセスの頻度を調節することと、
保持するバックアップコピーの数を調節することと、
バックアップするファイルのリストを調節することと、のうちの少なくとも1つを含む、請求項1乃至7のいずれか一項に記載の方法。
前記ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫することと、
前記ファイルバックアッププロセスを終了することと、
前記ファイルバックアッププロセスの頻度を調節することと、
保持するバックアップコピーの数を調節することと、
バックアップするファイルのリストを調節することと、のうちの少なくとも1つを含む、請求項1乃至7のいずれか一項に記載の方法。
【請求項9】
前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理することが、
前記バックアップコピーを廃棄することと、
前記他のバックアップコピーにおける安全なバックアップコピーを保持することと、
前記ファイルバックアッププロセスにおいて前記バックアップコピーを前記安全なバックアップコピーに置換して、前記置換されたバックアップコピーを前記他のバックアップコピーと共に格納することと、を含む、請求項1乃至8のいずれか一項に記載の方法。
前記バックアップコピーを廃棄することと、
前記他のバックアップコピーにおける安全なバックアップコピーを保持することと、
前記ファイルバックアッププロセスにおいて前記バックアップコピーを前記安全なバックアップコピーに置換して、前記置換されたバックアップコピーを前記他のバックアップコピーと共に格納することと、を含む、請求項1乃至8のいずれか一項に記載の方法。
【請求項10】
ランサムウェアが前記コンピューティングデバイス上にあることに反証することと、
前記バックアップコピーを前記他のバックアップコピーとマージすることと、を更に含む、請求項1乃至9のいずれか一項に記載の方法。
前記バックアップコピーを前記他のバックアップコピーとマージすることと、を更に含む、請求項1乃至9のいずれか一項に記載の方法。
【請求項11】
潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのシステムであって、
ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出するための手段と、
ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納するための手段と、
ランサムウェアが前記コンピューティングデバイス上にあることを確認するための手段と、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することに応答してバックアップポリシーを調節するための手段と、
前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理するための手段と、
前記検出するための手段と、前記格納するための手段と、前記確認するための手段と、前記調節するための手段と、前記管理するための手段と、を実行する少なくとも1つのプロセッサと、を含む、システム。
ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出するための手段と、
ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納するための手段と、
ランサムウェアが前記コンピューティングデバイス上にあることを確認するための手段と、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することに応答してバックアップポリシーを調節するための手段と、
前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理するための手段と、
前記検出するための手段と、前記格納するための手段と、前記確認するための手段と、前記調節するための手段と、前記管理するための手段と、を実行する少なくとも1つのプロセッサと、を含む、システム。
【請求項12】
前記検出するための手段が、
前記ファイルバックアッププロセスにおいて少なくとも1つのファイルの内容が異常であることを判別することと、
前記コンピューティングデバイス上で異常なファイル変更プロセスを検出することと、のうちの少なくとも1つによって、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である前記異常を検出する、請求項11に記載のシステム。
前記ファイルバックアッププロセスにおいて少なくとも1つのファイルの内容が異常であることを判別することと、
前記コンピューティングデバイス上で異常なファイル変更プロセスを検出することと、のうちの少なくとも1つによって、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である前記異常を検出する、請求項11に記載のシステム。
【請求項13】
前記ファイルの内容が異常であることを判別することが、
前記ファイルの内容が前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのヘッダーが前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのエントロピーが予期したよりも高いことを判別することと、のうちの少なくとも1つを含む、請求項12に記載のシステム。
前記ファイルの内容が前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのヘッダーが前記ファイルのタイプと一致しないことを判別することと、
前記ファイルのエントロピーが予期したよりも高いことを判別することと、のうちの少なくとも1つを含む、請求項12に記載のシステム。
【請求項14】
前記異常なファイル変更プロセスを検出することが、
前記ファイル変更プロセスによるリソースの使用量が既定の閾値を超えていることを判別することと、
前記ファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することと、のうちの少なくとも1つを含む、請求項12又は13に記載のシステム。
前記ファイル変更プロセスによるリソースの使用量が既定の閾値を超えていることを判別することと、
前記ファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することと、のうちの少なくとも1つを含む、請求項12又は13に記載のシステム。
【請求項15】
コンピュータ可読媒体であって、1つ以上のコンピュータ実行可能命令を含み、前記1つ以上のコンピュータ実行可能命令はコンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
ファイルバックアッププロセス中に、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、
ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することと、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することに応答してバックアップポリシーを調節することと、
前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理することと、を実行させる、コンピュータ可読媒体。
ファイルバックアッププロセス中に、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、
ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することと、
ランサムウェアが前記コンピューティングデバイス上にあることを確認することに応答してバックアップポリシーを調節することと、
前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理することと、を実行させる、コンピュータ可読媒体。
【発明の詳細な説明】
【背景技術】
【0001】
ランサムウェアは、ユーザーがマルウェアを除去するために支払いをしない限り、デバイスへのアクセスを阻止するか、ないしは別の方法でデバイスの正常な機能を妨げることによって、コンピューティングデバイスを人質に取り得る、特定の形態のマルウェアである。例えば、クリプトウイルスの脅迫(cryptoviral extrotion)は、ユーザーのファイルを暗号化し(例えば、セッションキーを使用する)、ユーザーのファイルを復号化し、それらのファイルへのユーザーのアクセスを復元する前に支払いを要求することによって、これを成し遂げ得る。
【0002】
セキュリティソフトウェアは従来、マルウェアがデバイスに感染した後にマルウェアを除去することを試みる、及び/又は感染中に生じる損傷を最小限に抑えることを試みる。しかしながら、クリプトウイルスの脅迫の暗号化プロセスに使用されるサイズのキーが大きいため、攻撃後に攻撃で使用された暗号化キーを所有せずにこの形態のランサムウェアを克服することは不可能に近い場合がある。このため、一部のセキュリティソリューションは、ファイルのバックアップコピーを作製し(例えば、デバイス上の既存のファイルをミラーリングする)、攻撃に備えてそれらのコピーを別の場所に格納し得る。しかしながら、ランサムウェアが適時に検出されないと、これらのバックアップコピーは、単に暗号化ファイルをミラーリングするだけで、ユーザーはリカバリオプションなしで取り残される場合がある。したがって、本開示は、クリプトウイルスの脅迫並びに他の形態のランサムウェア攻撃によるファイル及びデータの完全な損失を防止するため、ランサムウェアを検出し、ファイルを管理するための改善された付加的なシステムの必要性を識別し、これに取り組む。
【発明の概要】
【0003】
以下により詳細に説明されるように、本開示は、一般に、危険性のあるバックアップコピーを分離し、特別な事例を処理するようにファイルバックアップポリシーを変更することにより、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法に関する。例えば、開示されるシステムは、まず、ファイルバックアップ中に検出された異常なファイル及びプロセスに基づいて、潜在的なランサムウェア攻撃を検出し得る。開示されるシステムは、次いで、潜在的に暗号化されたバックアップコピーを隔離し、そのコピーが既存のファイルバックアップを上書きすること阻止するように、ファイルバックアップポリシーを調節し得る。疑わしいランサムウェア攻撃の無効性が確認された場合、これらのシステムは通常のバックアップ動作に戻り得る。
【0004】
一実施例では、上述のタスクを達成するためのコンピュータ実施方法は、(1)ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、(2)ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、(3)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することと、(4)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節することと、(5)調節されたバックアップポリシーに基づいてバックアップコピーを管理することと、を含み得る。
【0005】
いくつかの実施例では、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することは、ファイルバックアッププロセスにおける少なくとも1つのファイルの内容が異常であることを判別することを含み得る。これらの実施例では、ファイルの内容が異常であることを判別することは、ファイルの内容がファイルのタイプに一致しないことを判別すること、ファイルのヘッダーがファイルのタイプに一致しないことを判別すること、及び/又はファイルのエントロピーが予期したよりも高いことを判別することを含み得る。追加的に又は代替的に、他の実施例では、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することは、コンピューティングデバイス上の異常なファイル変更プロセスを検出することを含み得る。これらの例では、異常なファイル変更プロセスを検出することは、ファイル変更プロセスによるリソースの使用量が、既定の閾値を超えていることを判別すること、及び/又はファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することを含み得る。
【0006】
一実施例では、バックアップコピーを別の場所に格納することは、バックアップコピーが他のバックアップコピー内の既存のバックアップコピーを置換することを阻止することを含み得る。一実施例では、異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することは、コンピューティングデバイス上のランサムウェアを識別すること、コンピューティングデバイスにインストールされたアンチウイルスソフトウェアからランサムウェアの確認を受信すること、コンピューティングデバイスのユーザーからランサムウェアの確認を受信すること、及び/又はコンピューティングデバイスに近接する別のコンピューティングデバイス上でランサムウェア攻撃を検出することを含み得る。この実施例では、コンピューティングデバイスの近接は、コンピューティングデバイスに対する物理的な近接、及び/又はそのコンピューティングデバイスと他のコンピューティングデバイスとの論理グループを含み得る。
【0007】
いくつかの実施形態では、バックアップポリシーを調節することは、ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫することを含み得る。追加的に又は代替的に、バックアップポリシーを調節することは、ファイルバックアッププロセスを終了することを含み得る。更に、バックアップポリシーを調節することは、ファイルバックアッププロセスの頻度を調節すること、保持するバックアップコピーの数を調節すること、及び/又はバックアップするファイルのリストを調節することを含み得る。
【0008】
いくつかの実施例では、調節されたバックアップポリシーに基づいてバックアップコピーを管理することは、バックアップコピーを廃棄し、安全なバックアップコピーを保持することを含み得る。これらの実施例では、バックアップコピーを管理することはまた、バックアップコピーを安全なバックアップコピーに置換することを含み得る。
【0009】
一実施例では、コンピュータ実施方法は、異常がコンピューティングデバイス上のランサムウェアの徴候であることに反証することを更に含み得る。この実施例は、追加的に、バックアップコピーを他のバックアップコピーとマージすることを含み得る。
【0010】
一実施形態では、上述の方法を実施するためのシステムは、(1)ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出する、メモリに格納された検出モジュールと、(2)ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納する、メモリに格納された記憶モジュールと、(3)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認する、メモリに格納された確認モジュールと、(4)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節する、メモリに格納された調節モジュールと、(5)調節したバックアップポリシーに基づいてバックアップコピーを管理する、メモリに格納された管理モジュールと、を含んでもよい。更に、システムは、検出モジュール、記憶モジュール、確認モジュール、調節モジュール、及び管理モジュールを実行する少なくとも1つの物理プロセッサを含んでもよい。
【0011】
いくつかの実施例では、上述の方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されたときに、コンピューティングデバイスに、(1)ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、(2)ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、(3)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することと、(4)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節することと、(5)調節されたバックアップポリシーに基づいてバックアップコピーを管理することと、を実行させ得る、1つ以上のコンピュータ実行可能命令を含み得る。
【0012】
上述の実施形態のいずれかによる特徴は、本明細書に記載される一般原理に従って、互いに組み合わせて使用されてもよい。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
【図面の簡単な説明】
【0013】
添付の図面は、いくつかの例示的な実施形態を図示するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。【図1】潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的なシステムのブロック図である。
【図2】潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための追加の例示的なシステムのブロック図である。
【図3】潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的な方法のフロー図である。
【図4】ファイルバックアッププロセス中に検出された例示的な異常の例示的な検出のブロック図である。
【図5】バックアップコピーを管理するための例示的なバックアップポリシーの例示的な調節のブロック図である。
【図6】本明細書で説明及び/又は図示される実施形態のうちの1つ以上を実施できる例示的なコンピューティングシステムのブロック図である。
【図7】本明細書で説明及び/又は図示される実施形態のうちの1つ以上を実施できる例示的なコンピューティングネットワークのブロック図である。 図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
【発明を実施するための形態】
【0014】
本開示は、全般的に、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法を対象とする。より詳細に後述するように、潜在的に感染したファイルを隔離することによって、本明細書に開示されるシステム及び方法は、ランサムウェアによるデータの損失を回避するためのバックアップコピーのより良好な管理を提供し得る。例えば、ファイルバックアッププロセス中に異常を検出することにより、開示されるシステム及び方法は、それらのファイルを危険にさらし得る潜在的なランサムウェアを識別し得る。開示されるシステム及び方法は、次いで、潜在的な脅威に適応して、感染したバックアップコピーが暗号化されていないバックアップコピーを置換することを阻止するよう、バックアップポリシーを変更し得る。
【0015】
以下は、図1〜図2を参照して、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実施方法の詳細な説明も図3に関連して提供される。加えて、ファイルバックアッププロセス中に検出された例示的な異常の例示的な検出についての詳細な説明が、図4に関連して提供される。更に、バックアップコピーを管理する例示的なバックアップポリシーの例示的な調節についての詳細な説明が、図5に関連して提供される。最後に、本明細書に記載された実施形態のうちの1つ以上を実施できる例示的なコンピューティングシステム及びネットワークアーキテクチャについての詳細な説明が、それぞれ、図6及び図7と関連して提供される。
【0016】
図1は、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的なシステム100のブロック図である。本明細書で使用されるとき、用語「ランサムウェア」は、一般に、コンピュータファイル又は構成要素へのアクセスを制限して、アクセスを復元するための身代金を要求するように設計されたマルウェア、すなわち悪意のあるソフトウェアを指す。ランサムウェアの例としては、非限定的に、クリプトウイルスの脅迫、暗号化プログラム、スケアウェアのトロイの木馬、又はマルウェアによって作成された制限を除去するためにユーザーからの支払いを要求する、他の何らかの形態のマルウェアが挙げられ得る。
【0017】
図1に図示されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、より詳細に後述するように、例示的システム100は、ファイルバックアッププロセス中に、コンピューティングシステム上のランサムウェアの潜在的な徴候であり得る異常を検出し得る、検出モジュール104を含んでもよい。例示的なシステム100はまた、ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーから別の場所にバックアップコピーを格納し得る、記憶モジュール106を含んでもよい。例示的なシステム100は、異常がコンピューティングデバイス上のランサムウェアの徴候であり得ることを確認し得る、確認モジュール108を追加的に含んでもよい。更に、例示的なシステム100は、異常がコンピューティングデバイス上のランサムウェアの徴候であり得ることを確認することに応答してバックアップポリシーを調節し得る、調節モジュール110を含んでもよい。本明細書で使用するとき、用語「バックアップポリシー」は、一般に、ファイルバックアッププロセスとファイルのバックアップコピーの記憶域とを管理するための一組の規則を指す。
【0018】
最後に、例示的なシステム100は、調節されたバックアップポリシーに基づいてバックアップコピーを管理し得る、管理モジュール112を含んでもよい。別々の要素として図示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
【0019】
特定の実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、より詳細に後述するように、モジュール102のうちの1つ以上は、図2に示されるデバイス(例えば、コンピューティングデバイス202及び/若しくはサーバ206)、図6のコンピューティングシステム610、並びに/又は図7の例示的なネットワークアーキテクチャ700の部分など、1つ以上のコンピューティングデバイスに格納され、その上で動くように構成された、ソフトウェアモジュールを表してもよい。図1のモジュール102のうち1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の専用コンピュータの全て又は一部を表し得る。
【0020】
図1に示すように、例示的なシステム100はまた、データベース120などの1つ以上のデータベースを含んでもよい。一実施例では、データベース120は、バックアップコピー122及び/又は他のバックアップコピー124を格納するように構成されてよく、他のバックアップコピー124は、コンピューティングデバイス202)上のファイルのコピーを含む既存のバックアップコピー126を含んでもよい。データベース120はまた、ファイルバックアッププロセスを管理し得る、バックアップポリシー214などのバックアップポリシーを格納するように構成されてもよい。
【0021】
データベース120は、単一のデータベース若しくはコンピューティングデバイスの部分、又は複数のデータベース若しくはコンピューティングデバイスの部分を表してもよい。例えば、データベース120は、図2のサーバ206の一部分、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分を表してもよい。あるいは、図1のデータベース120は、図2のサーバ206、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分など、コンピューティングデバイスによってアクセスすることができる、1つ以上の物理的に別個のデバイスを表してもよい。
【0022】
図1の例示的なシステム100は、様々な方法で実装され得る。例えば、例示的なシステム100の全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信するコンピューティングデバイス202を含んでもよい。一実施例では、コンピューティングデバイス202は、モジュール102のうち1つ以上を用いてプログラムされてもよく、かつ/又はデータベース120内のデータの全て若しくは一部分を記憶することができる。加えて、又は代替的に、サーバ206は、モジュール102のうちの1つ以上を用いてプログラムされてもよく、及び/又はデータベース120のデータの全て若しくは一部を記憶してもよい。同様に、サーバ206及びコンピューティングデバイス202の両方は、単一のマシン又はコンピューティングデバイスにマージされてもよい。
【0023】
一実施形態では、図1にあるモジュール102のうちの1つ以上は、コンピューティングデバイス202及び/又はサーバ206のプロセッサのうちの少なくとも1つにより実行されると、コンピューティングデバイス202及び/又はサーバ206が、ランサムウェアがファイルバックアップコピーに影響を与えることを阻止することを可能にし得る。例えば、より詳細に後述するように、検出モジュール104は、ファイルバックアッププロセス中に、コンピューティングデバイス202上のランサムウェアの潜在的な徴候である異常208を検出し得る。これに応答して、記憶モジュール106は、バックアップコピー122を他のバックアップコピー124とは別の場所に格納し得る。確認モジュール108は、次いで、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認し得る。調節モジュール110は、次いで、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認することに応答してバックアップポリシー214を調節し得る。最後に、管理モジュール112は、調節されたバックアップポリシー214に基づいてバックアップコピー122を管理し得る。
【0024】
図2の例では、及びより詳細に後述されるように、コンピューティングデバイス202は、最初に異常208を検出し、ネットワーク204を介して、バックアップコピー122を他のバックアップコピー124とは別にサーバ206上に格納して、既存のバックアップコピー126が上書きされることを阻止してよい。コンピューティングデバイス202は次いで、アンチウイルスソフトウェア210からランサムウェアの確認212を受信し得る。次に、コンピューティングデバイス202は、ランサムウェアの確認212に基づいて、バックアップポリシー214を調節し得る。最後に、コンピューティングデバイス202は、新たに調節されたバックアップポリシー214に基づいてバックアップコピー122を管理するよう、サーバ206に命令し得る。
【0025】
コンピューティングデバイス202は、一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、非限定的に、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらの1つ以上の組み合わせ、図6の例示的なコンピューティングシステム610、あるいは他の任意の好適なコンピューティングデバイスが挙げられる。
【0026】
サーバ206は、一般に、ファイルのバックアップコピーを格納及び/又は管理することができる任意のタイプ又は形態のコンピューティングデバイスを表す。サーバ206の例としては、限定することなく、様々なデータベースサービスを提供するように、かつ/又はある特定のソフトウェアアプリケーションを作動させるように構成されたアプリケーションサーバ及びデータベースサーバが挙げられる。
【0027】
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、非限定的に、イントラネット、広域ネットワーク(Wide Area Network)(WAN)、ローカルエリアネットワーク(Local Area Network)(LAN)、パーソナルエリアネットワーク(Personal Area Network)(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications(GSM(登録商標))ネットワーク)、図7の例示的なネットワークアーキテクチャ700などが挙げられる。ネットワーク204は、無線接続又は有線接続を使用して、通信又はデータ転送を容易にしてもよい。一実施形態では、ネットワーク204は、コンピューティングデバイス202とサーバ206との間の通信を容易にしてもよい。
【0028】
図3は、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための、例示的なコンピュータ実施方法300のフロー図である。図3に示されるステップは、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施されてもよい。いくつかの実施形態では、図3に示すステップは、図1のシステム100、図2のシステム200、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分の構成要素のうち1つ以上によって実行されてもよい。
【0029】
図3に例証されるように、ステップ302では、本明細書に記載されるシステムのうちの1つ以上は、ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出し得る。例えば、検出モジュール104は、図2のコンピューティングデバイス202の一部として、ファイルバックアッププロセス中に、コンピューティングデバイス202上のランサムウェアの潜在的な徴候である異常208を検出し得る。
【0030】
検出モジュール104は、様々な方法で、異常208を検出し得る。いくつかの実施例では、検出モジュール104は、ファイルバックアッププロセス内の少なくとも1つのファイルの内容が異常であることを判別することにより、異常208を検出し得る。これらの実施例では、ファイルの内容が異常であることを判別することは、ファイルの内容がファイルのタイプに一致しないことを判別すること、ファイルのヘッダーがファイルのタイプに一致しないことを判別すること、及び/又はファイルのエントロピーが予期したよりも高いことを判別することを含み得る。本明細書で使用するとき、用語「ファイルエントロピー」は、一般に、ファイル内のデータ値の不規則性の尺度を指す。とりわけ、暗号化されたファイルは、より不規則に見え、暗号化されていないバージョンのファイルよりも高いファイルエントロピー値を有し得る。
【0031】
例えば、図4に示されているように、検出モジュール104は、ファイルバックアッププロセス中に、ファイル400(1)、ファイル400(2)、及びファイル400(3)の情報を検出し得る。この実施例では、ファイル400(2)は、ファイルのタイプ(例えば「画像」)と一致しないファイルヘッダー(例えば「テキストヘッダー」を有し得る。加えて、ファイル400(2)は、高いファイルエントロピー値を有し得る。このように、検出モジュール104は、ファイル400(2)の異常な内容に基づいて、異常208を検出し得る。
【0032】
他の実施例では、検出モジュール104は、コンピューティングデバイス202上の異常なファイル変更プロセスを検出することによって、異常208を検出し得る。これらの例では、異常なファイル変更プロセスを検出することは、ファイル変更プロセスによるリソースの使用量が、既定の閾値を超えていることを判別すること、及び/又はファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することを含み得る。例えば、検出モジュール104は、ランサムウェア攻撃の影響を受けやすい特定のタイプのファイルを開くときに使用される処理電力の異常に高い消費を検出し得る。別の実施例では、短期間に変更された多数のファイルもランサムウェア攻撃を示している場合がある。異常なリソースの使用量又は異常なファイルのアクセスは、標準閾値、又は正常な使用量とランサムウェア攻撃の既知の事例とに基づいて学習された値によって判別され得る。
【0033】
図3に戻り、ステップ304では、本明細書に記載されるシステムのうちの1つ以上は、ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納し得る。例えば、記憶モジュール106は、図2のコンピューティングデバイス202の一部として、異常208の検出に応答し、他のバックアップコピー124とは別の場所にバックアップコピー122を格納し得る。
【0034】
記憶モジュール106は、多様な方法でバックアップコピー122を格納し得る。一実施形態では、記憶モジュール106は、バックアップコピー122が他のバックアップコピー124内の既存のバックアップコピー126を置換することを阻止することによって、バックアップコピー122を別の場所に格納し得る。図2の実施例では、バックアップコピー122は、サーバ206上に別個に格納された、既存のバックアップコピー126と同じファイルの追加コピーであってもよい。別の場所としては、別のクラウド記憶域の場所、パーティション化された記憶域、又は別のサーバが挙げられ得る。また、バックアップコピー122は、コンピューティングデバイス202又は他の接続された記憶デバイス上に一時的に格納されてもよい。
【0035】
図3に戻り、ステップ306では、本明細書に記載されたシステムのうちの1つ以上は、コンピューティング上のランサムウェアの徴候であることを確認し得る。例えば、確認モジュール108は、図2のコンピューティングデバイス202の一部として、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認し得る。
【0036】
確認モジュール108は、異常208がランサムウェアの徴候であることを多様な方法で確認し得る。いくつかの実施例では、確認モジュール108は、コンピューティングデバイス202上のランサムウェアを識別し得る。図2の実施例では、確認モジュール108は、コンピューティングデバイス202にインストールされたアンチウイルスソフトウェア210からランサムウェア212の確認を受信し得る。この実施例では、アンチウイルスソフトウェア210は、コンピューティングデバイス202上のランサムウェアを識別し、確認モジュール108にランサムウェアの情報を送信し得る。他の実施例では、確認モジュール108は、コンピューティングデバイス202のユーザーからランサムウェア212の確認を受信し得る。
【0037】
追加の実施例では、確認モジュール108は、コンピューティングデバイス202に近接する別のコンピューティングデバイス上のランサムウェア攻撃を検出し得る。これらの実施例では、コンピューティングデバイス202の近接は、コンピューティングデバイス202に対する物理的な近接及び/又はコンピューティングデバイス202と他のコンピューティングデバイスとの論理グループを含み得る。例えば、他のコンピューティングデバイスは、コンピューティングデバイス202と同じ建物内に配置されているか、又はネットワーク204などの同じネットワークに接続されていてもよい。別の実施例では、他のコンピューティングデバイスは、コンピューティングデバイス202と同じ組織の一部であってもよい。これらの実施例では、他のコンピューティングデバイス上で確認されたランサムウェア攻撃は、コンピューティングデバイス202におけるランサムウェアに対する脆弱性を示し得る。確認モジュール108は、次いで、他のコンピューティングデバイス上のランサムウェアの確認を受信して、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを判別し得る。
【0038】
図3に戻り、ステップ308では、本明細書に記載されたシステムのうちの1つ以上は、異常がコンピューティング上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節し得る。例えば、調節モジュール110は、図2のコンピューティングデバイス202の一部として、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認することに応答してバックアップポリシー214を調節し得る。
【0039】
調節モジュール110は、多様な方法でバックアップポリシー214を調節し得る。一実施形態では、調節モジュール110は、ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫し、ファイルバックアッププロセスを終了し、ファイルバックアッププロセスの頻度を調節し、保持するバックアップコピーの数を調節し、及び/又はバックアップするファイルのリストを調節し得る。この実施形態では、バックアッププロセスは、続けて、コンピューティングデバイス202上の疑わしいランサムウェアのために、暗号化されていないコピーをより頻繁にバックアップする、又は他のコンピューティングデバイス上のランサムウェアを確認してよい。ファイルバックアッププロセスの頻度は、また、バックアッププロセスが完了する速度及び/又は疑わしいランサムウェアが解決するまでの完全停止を含み得る。追加的に、例えば、調節モジュール110は、疑わしいランサムウェアがターゲットとするファイルのタイプ、又は危険な状態であり得る特定のファイルを除外するように、バックアップポリシー214内のファイルのリストを調節し得る。
【0040】
例えば、図5に示されているように、バックアップポリシー214(1)は、保持するコピーの数(例えば、1)と、保持する特定のバックアップコピー(例えば、バックアップコピー122)とを指定し得る。調節モジュール110は、次いで、保持するコピーの数(例えば、2)と保持するバックアップコピー(例えば、バックアップコピー122、安全なコピー500)とを変更するバックアップポリシー214(2)を作製するように、バックアップポリシー214(1)を調節し得る。更に、図4に示されているように、調節モジュール110は、異常208を含むファイル400(2)を検疫し得る。
【0041】
図3に戻り、ステップ310では、本明細書で記載されるシステムのうちの1つ以上は、調節されたバックアップポリシーに基づいてバックアップコピーを管理し得る。例えば、管理モジュール112は、図2のコンピューティングデバイス202の一部として、調節されたバックアップポリシー214に基づいてバックアップコピー122を管理し得る。
【0042】
管理モジュール112は、多様な方法でバックアップコピー122を管理し得る。いくつかの実施例では、管理モジュール112は、バックアップコピー122を廃棄し、安全なバックアップコピーを保持し、及び/又はバックアップコピー122を安全なバックアップコピーで置換し得る。図5の実施例では、調節されたバックアップポリシー214(2)は、バックアップコピー122及び安全なコピー500の両方を保持し得る。他の実施例では、調節されたバックアップポリシー214は、図2のランサムウェア212の確認に基づいて、バックアップコピー122を廃棄し得る。安全なコピー500は、既存のバックアップコピー126など、ランサムウェアの影響を受けていない以前のバックアップコピーを含んでもよい。コンピューティングデバイス202は、図4のファイル400(2)など、暗号化されたファイルを回復するために安全なコピー500を追加的に使用してもよい。
【0043】
いくつかの実施形態では、本明細書に記載されたシステムのうちの1つ以上は、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることに反証し、バックアップコピー122と他のバックアップコピー124とをマージし得る。これらの実施形態では、ファイルバックアッププロセスは、引き続き通常どおり、バックアップコピー122を他のバックアップコピー124と一緒に格納し得る。バックアップコピー122は次いで、既存のバックアップコピー126又は同じファイルの代替バックアップコピーを安全に置換し得る。追加的に、バックアップポリシー214は、その元のバージョンに戻り、引き続きファイルバックアッププロセスを管理してもよい。更に、異常を検出するときに使用される規定の閾値は、ランサムウェアの確認又はランサムウェアの反証に基づいて調節されてもよい。
【0044】
図3の方法300に関連して上で説明したように、開示されるシステム及び方法は、ファイルバックアッププロセス中に潜在的なランサムウェア攻撃を示し得る異常を検出することによって、ランサムウェアの影響を受ける暗号化されたバックアップコピーが暗号化されていないバックアップコピーを置換することを阻止し得る。具体的には、開示されるシステム及び方法は、まず、バックアッププロセスでファイルを分析して、異常な内容を検出し得る。例えば、ファイルエントロピー値の高いファイルは、ランサムウェアによる潜在的な暗号化を示している場合がある。開示されるシステム及び方法は、次いで、潜在的に暗号化されたファイルが、攻撃の確認の保留中にバックアップされることを防止し得る。開示されるシステム及び方法は、次いで、以前のバックアップコピーとは別にバックアップコピーを格納し、追加の記憶域を考慮するようにバックアップポリシーを変更し得る。ランサムウェアの確認時に、本明細書に記載されたシステム及び方法は、影響を受けたバックアップコピーを廃棄し、以前の安全なバックアップコピーを戻し得る。このように、開示されるシステム及び方法は、ユーザーが、暗号化されていないバックアップコピーを使用して、暗号化されたファイルを回復させることを可能にし得る。
【0045】
上に詳述したように、ファイルバックアップ中にファイルを評価することによって、開示されるシステム及び方法は、ランサムウェア攻撃を示す異常を検出し得る。加えて、ランサムウェアの疑いに基づいてバックアップポリシーを調節することにより、開示されるシステム及び方法は、暗号化されたファイルのバックアップコピーが回復時に使用され得る以前の暗号化されていないバージョンのファイルを上書きすることを防止でき得る。このように、本明細書に記載されたシステム及び方法は、ランサムウェア攻撃から回復させるためのバックアップコピーのより良い管理を提供し得る。
【0046】
図6は、本明細書に記載及び/又は図示される実施形態のうち1つ以上を実装できる例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610の全て又は一部は、単独で又は他の要素と組み合わせのいずれかで、(図3に示されるステップのうち1つ以上などの)本明細書に記載されるステップのうち1つ以上を実施してもよく、及び/又はそれを実施するための手段であってもよい。コンピューティングシステム610の全て又は一部は、また、本明細書に記載及び/又は図示される他の任意のステップ、方法、若しくは処理を実施し、及び/又はそれを実施するための手段となり得る。
【0047】
コンピューティングシステム610は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム610の例としては、非限定的に、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614及びシステムメモリ616を含んでもよい。
【0048】
プロセッサ614は、データの処理又は命令の解釈及び実行が可能な任意のタイプ若しくは形式の物理的処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を、一般に表す。特定の実施形態では、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信してもよい。これらの命令は、プロセッサ614に、本明細書において記載及び/又は図示される例示的な実施形態のうちの1つ以上の機能を実施させてもよい。
【0049】
システムメモリ616は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の揮発性又は不揮発性記憶デバイスを表す。システムメモリ616の例としては、非限定的に、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は他の任意の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態では、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス632など)の両方を含み得る。一実施例では、図1のモジュール102のうち1つ以上がシステムメモリ616にロードされ得る。
【0050】
特定の実施形態では、例示的なコンピューティングシステム610は、また、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、図6に示されるように、コンピューティングシステム610は、メモリコントローラ618、入力/出力(I/O)コントローラ620、及び通信インターフェース622を含んでもよいが、それらはそれぞれ通信基盤612を介して相互接続されてもよい。通信基盤612は、一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ又は形態の基盤を表す。通信基盤612の例としては、非限定的に、通信バス(産業標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
【0051】
メモリコントローラ618は、一般に、メモリ若しくはデータを扱うこと、又はコンピューティングシステム610の1つ以上の構成要素間の通信を制御することが可能な、任意のタイプ又は形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御してもよい。
【0052】
I/Oコントローラ620は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することが可能な、任意のタイプ又は形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インターフェース622、ディスプレイアダプタ626、入力インターフェース630、及び記憶インターフェース634など、コンピューティングシステム610の1つ以上の要素間におけるデータの転送を制御し、又はそれを容易にし得る。
【0053】
通信インターフェース622は、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ又は形態の通信デバイス又はアダプタを幅広く表す。例えば、特定の実施形態では、通信インターフェース622は、コンピューティングシステム610と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にし得る。通信インターフェース622の例としては、非限定的に、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース622は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供し得る。通信インターフェース622はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、リモートサーバへの接続を間接的に提供し得る。
【0054】
特定の実施形態では、通信インターフェース622はまた、外部バス又は通信チャネルを介して、コンピューティングシステム610と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタを表し得る。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース622はまた、コンピューティングシステム610が分散型又はリモートコンピューティングに関与することを可能にし得る。例えば、通信インターフェース622は、実行のためにリモートデバイスから命令を受信、又はリモートデバイスに命令を送信し得る。
【0055】
図6に示すように、コンピューティングシステム610はまた、ディスプレイアダプタ626を介して通信基盤612に連結される少なくとも1つのディスプレイデバイス624を含み得る。ディスプレイデバイス624は、ディスプレイアダプタ626によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを、一般に表す。同様に、ディスプレイアダプタ626は、ディスプレイデバイス624に表示するために、通信基盤612から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ若しくは形態のデバイスを、一般に表す。
【0056】
図6に示すように、例示的なコンピューティングシステム610はまた、入力インターフェース630を介して通信基盤612に連結される少なくとも1つの入力デバイス628を含み得る。入力デバイス628は、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム610に提供することができる、任意のタイプ若しくは形態の入力デバイスを、一般に表す。入力デバイス628の例としては、非限定的に、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられる。
【0057】
図6に示すように、例示的なコンピューティングシステム610はまた、記憶インターフェース634を介して通信基盤612に連結される、一次記憶デバイス632及びバックアップ記憶デバイス633を含み得る。記憶デバイス632及び633は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インターフェース634は、一般に、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するための、任意のタイプ若しくは形態のインターフェース又はデバイスを表す。一実施例では、図1のデータベース120は、一次記憶デバイス632内に格納され得る。
【0058】
特定の実施形態では、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を格納するように構成された取外し可能な記憶ユニットから読み取る、及び/又はそれに書き込むように構成され得る。好適な取外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム610にロードされることを可能にする、他の同様の構造体又はデバイスを含み得る。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み取るように、及びこれを書き込むように構成され得る。記憶デバイス632及び633はまた、コンピューティングシステム610の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別個のデバイスであってもよい。
【0059】
他の多くのデバイス又はサブシステムが、コンピューティングシステム610に接続され得る。反対に、図6に示す構成要素及びデバイスの全てが、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、図6に示されるのとは異なる方法で相互接続され得る。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用い得る。例えば、本明細書で開示する例示的な実施形態の1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。本明細書で使用するとき、「コンピュータ可読媒体」という句は一般に、コンピュータ可読命令を記憶又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY(登録商標))ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられる。
【0060】
コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム610にロードされ得る。コンピュータ可読媒体に格納されたコンピュータプログラムの全て又は一部は、次に、システムメモリ616に、及び/又は記憶デバイス632及び633の様々な部分に格納され得る。プロセッサ614によって実行されると、コンピューティングシステム610にロードされたコンピュータプログラムは、プロセッサ614に、本明細書に記載及び/又は図示される例示的な実施形態のうち1つ以上の機能を実施させ、及び/又はそれらを実施するための手段となり得る。追加的に又は代替案として、本明細書に記載及び/又は図示される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施形態のうちの1つ以上を実装するように適合される、特定用途向け集積回路(ASIC)として構成されてもよい。
【0061】
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745がネットワーク750に連結され得る、例示的なネットワークアーキテクチャ700のブロック図である。上記に詳述したように、ネットワークアーキテクチャ700の全て又は一部は、単独又は他の要素との組み合わせのいずれかで、本明細書に開示されるステップのうちの1つ以上(図3に示されるステップのうちの1つ以上など)を実施し得るが、及び/又はそれを実施するための手段となり得る。ネットワークアーキテクチャ700の全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するのに使用され得るか、及び/又はそれを実施するための手段となり得る。
【0062】
クライアントシステム710、720、及び730は、一般に、図6の例示的なコンピューティングシステム610など、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ740及び745は、様々なデータベースサービスを提供し、及び/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ又はデータベースサーバなどのコンピューティングデバイス又はシステムを、一般に表す。ネットワーク750は、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを、一般に表す。一実施例では、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、図1からのシステム100の全て、又は一部を含み得る。
【0063】
図7に示すように、1つ以上の記憶デバイス760(1)〜(N)はサーバ740に直接取り付けられてもよい。同様に、1つ以上の記憶デバイス770(1)〜(N)は、サーバ745に直接取り付けられ得る。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。特定の実施形態では、記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ740及び745と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表し得る。
【0064】
サーバ740及び745はまた、ストレージエリアネットワーク(SAN)ファブリック780に接続され得る。SANファブリック780は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック780は、サーバ740及び745と、複数の記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795との間の通信を容易にし得る。SANファブリック780はまた、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795が、クライアントシステム710、720、及び730にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と、記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795との間の通信を容易にし得る。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)と同様に、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795は、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。
【0065】
特定の実施形態では、また図6の例示的なコンピューティングシステム610を参照すると、図6の通信インターフェース622などの通信インターフェースは、それぞれのクライアントシステム710、720、及び730とネットワーク750との間の接続を提供するために使用され得る。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740又は745上の情報にアクセスすることが可能であり得る。かかるソフトウェアは、クライアントシステム710、720、及び730が、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、又はインテリジェント記憶アレイ795によってホストされるデータにアクセスすることを可能にし得る。図7は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は図示される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
【0066】
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、インテリジェント記憶アレイ795、又はこれらの任意の組み合わせ上にロードされ、これらによって実行され得る。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ740に格納され、サーバ745によって作動し、ネットワーク750上でクライアントシステム710、720、及び730に配信されてもよい。
【0067】
上で詳述されるように、コンピューティングシステム610、及び/又はネットワークアーキテクチャ700の1つ以上の構成要素は、単独で、又は他の要素との組み合わせのいずれかで、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的な方法の1つ以上のステップを行ってもよく、及び/又はそれを行うための手段であってもよい。
【0068】
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は図示されるそれぞれのブロック図の構成要素、フローチャートのステップ、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実現されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実現することができるので、他の構成要素内に包含される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
【0069】
一部の実施例では、図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
【0070】
様々な実施形態では、図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
【0071】
様々な実施形態によれば、図1の例示的なシステム100の全て又は一部は仮想環境内で実現されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という句は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は別の方法として、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という句は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
【0072】
一部の実施例では、図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実現されてもよい。一部の実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する制限されたプラットフォーム、アプリケーションのインストールを(例えば、認可されたアプリケーションストアからのみ生じるように)制限する制御などを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
【0073】
それに加えて、図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という句は、データの保護、組織化、及び/又は記憶を指し得る。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
【0074】
一部の実施形態では、図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という句は、保護されたデータへのアクセスの制御を指し得る。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
【0075】
一部の実施例によれば、図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という句は、権限がない及び/又は違法な使用、アクセス、並びに/あるいは制御からの、エンドポイントシステムの保護を指し得る。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザー認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
【0076】
本明細書に記載及び/又は図示されるプロセスパラメータ及びステップの順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に図示及び/又は記載されるステップは特定の順序で図示又は考察されることがあるが、これらのステップは、必ずしも図示又は考察される順序で実施される必要はない。本明細書に記載及び/又は図示される様々な例示的な方法はまた、本明細書に記載若しくは図示されるステップの1つ以上を省略するか、又は開示されるものに加えて追加のステップを含んでもよい。
【0077】
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈で本明細書に記載及び/又は図示してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実施するのに使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実現されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに格納されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。一部の実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態の1つ以上を実施するようにコンピューティングシステムを構成してもよい。
【0078】
それに加えて、本明細書に記載するモジュールの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。例えば、本明細書に記載のモジュールのうちの1つ以上は、変換対象のバックアップポリシーを受信し、そのバックアップポリシーを変換し、変換結果を記憶デバイス又は出力デバイスに出力し、変換結果を使用してファイルのバックアップコピーを管理し、変換結果をサーバ又はデータベースに格納し得る。それに加えて、又は別の方法として、本明細書に列挙されるモジュールの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
【0079】
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
【0080】
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。