随着互联网的大规模应用,人们的生活方式发生了巨变,越来越多的个人、政府或企业将重要资产数据暴漏在互联网之中,使得重要资产数据面临着越来越多的威胁。勒索软件作为持续危害用户数据安全的重大威胁之一,给个人和企业用户带来了严重的损失。随着勒索软件即服务产业的发展,更具有威胁性的勒索软件会不断出现,使得勒索软件的检测和解密成为研究热点。本文针对真实的勒索软件样本行为进行分析,结合各种勒索软件分析报告进行补充验证,动态分析勒索软件的行为轨迹和加解密流程,设计了勒索软件检测系统的整体框架,使其同时具有勒索软件检测和解密功能,本文主要有以下三方面研究内容:(1)勒索软件检测系统的整体框架设计:通过对勒索软件的行为特征进行动态分析,并结合各种勒索软件分析报告进行补充验证,设计了整个勒索软件检测系统,动态挂钩勒索软件运行过程中使用的API函数,获取其运行轨迹和使用的加密算法等信息,使用这些数据源,不仅可以提取行为指纹检测勒索软件,而且可以设计相应的解密算法完成数据的恢复,使其同时具有勒索软件检测和解密功能,实时保护用户数据安全;(2)基于序列对比的勒索软件检测方法的研究与实现:通过对勒索软件生命周期行为的分析,发现同一家族的勒索软件具有相似的行为特征,以勒索软件动态运行时的API调用序列为数据源,使用局部序列比对算法进行两两比对提取相似的局部子序列,之后对相似局部子序列使用全局序列比对算法获得每个勒索软件指纹序列,以此构建指纹库,计算序列间的相似度来检测勒索软件,并通过实验验证了该方法的有效性,准确率达到了98.17%,而且可以准确的预测勒索软件所属家族;(3)基于API Hooking的勒索软件解密方法研究与实现:分析每个勒索软件家族的加密流程以及它们的加密文件格式,实时跟踪勒索软件的加解密API函数和文件操作API函数的调用流程,获得勒索软件的加密算法和加密时使用的密钥信息,以及加密文件的格式信息,设计相应的解密算法,使用获得的密钥信息完成文件的解密,并实验验证了该方法的有效性,可以完成对Spora和WannaCry家族勒索软件的解密。