具体实施方式

在以下描述和附图中描述和说明了一个或多个实施例。这些实施例不限于本文提供的具体细节并且可以以各种方式修改。此外，可以存在本文没有描述的其他实施例。而且，在本文被描述为由一个组件执行的功能可以由多个组件以分布式方式执行。同样，由多个组件执行的功能可以由单个组件合并和执行。类似地，被描述为执行特定功能的组件也可以执行本文未描述的附加功能。例如，以某种方式“配置”的设备或结构至少以该方式配置，但也可以以未列出的方式配置。此外，本文所描述的一些实施例可以包括一个或多个电子处理器，这些电子处理器被配置为通过执行存储在非暂时性计算机可读介质中的指令来执行所描述的功能。类似地，本文所描述的实施例可以被实现为存储指令的非暂时性计算机可读介质，该指令可由一个或多个电子处理器执行以执行所描述的功能。如在本申请中使用的，“非暂时性计算机可读介质”包括所有计算机可读介质，但不包括暂时性的传播信号。因此，非暂时性计算机可读介质可以包括例如硬盘、CD-ROM、光学存储设备、磁性存储设备、ROM(只读存储器)、RAM(随机存取存储器)、寄存器存储器、处理器高速缓存或其任何组合。

此外，本文所使用的措辞和术语是出于描述的目的，不应被视为限制性的。例如，“包括(including)”、“包含(containing)”、“含有(comprising)”、“具有(having)”及其变体在本文中的使用意在涵盖其后列出的项目及其等价物以及附加项目。术语“连接”和“耦合”被广泛使用，并且涵盖直接和间接连接和耦合。此外，“连接”和“耦合”不限于物理或机械连接或耦合，并且可以包括直接或间接的电连接或耦合。另外地，电子通信和通知可以使用有线连接、无线连接或其组合来执行，并且可以通过各种类型的网络、通信信道和连接直接发送或通过一个或多个中间设备发送。此外，诸如第一和第二、顶部和底部等之类的关系术语在本文中可以仅用于将一个实体或动作与另一实体或动作进行区分，而不一定要求或暗示这种实体或动作之间的任何实际的这种关系或次序。

如上面所描述的，即使当远程文件存储系统被配置为检测并解决存储在远程文件存储系统内的受感染文件时，最初上传或修改受感染文件的用户设备也可以继续传播受感染文件。因此，本文所描述的实施例提供了用于响应于检测到由用户设备在远程文件存储系统内上传或修改的文件被感染，而远程启动被本地安装在用户设备上的防病毒软件的方法和系统。这些方法和系统更高效地攻击受感染文件在源(用户设备)处的传播，这改进了数据和设备的安全性并减少了检测和解决受感染文件的浪费的计算机资源。

图1示意性地示出了用于修复感染了恶意代码的用户设备的系统10。如图1中示出的，系统10包括远程文件存储系统12、多个用户设备14(也被单独称为用户设备14)和通信网络16。应当理解，系统10是作为示例提供的，并且在一些实施例中，系统10包括附加组件。例如，系统10可以具有更少或附加的用户设备14、多于一个远程文件存储系统12、多于一个通信网络16等等。

远程文件存储系统12和多个用户设备14通过通信网络16进行通信。通信网络16的部分可以使用无线网络(例如，广域网(例如，互联网)、局域网(例如，Bluetooth^TM网络或Wi-Fi)或其组合或衍生物)来实现。可替代地或另外地，通信网络16的部分可以使用专用连接(例如，有线或无线连接)来实现。还应当理解，在一些实施例中，远程文件存储系统12和多个用户设备14可以通过图1中未示出的一个或多个中间设备进行通信。

远程文件存储系统12包括一个或多个计算设备，例如，一个或多个服务器。例如，如图2中示出的，在一些实施例中，远程文件存储系统12包括至少服务器，该服务器包括电子处理器20、存储器22和通信接口24。电子处理器20、存储器22和通信接口24通过一条或多条通信线路或总线通信、无线地通信或以其组合进行通信。在一些实施例中，远程文件存储系统12包括除了图2中示出的那些组件之外的附加组件，并且远程文件存储系统12中包括的组件可以以各种配置进行布置。例如，如先前所指出的，在一些实施例中，远程文件存储系统12包括多个服务器、数据库等以提供远程文件存储服务。

可以包括无线收发器的通信接口24允许远程文件存储系统12通过通信网络16与诸如多个用户设备14之类的外部设备进行通信。

存储器22包括非暂时性计算机可读存储介质。电子处理器20包括微处理器、专用集成电路(ASIC)或其他合适的电子设备。电子处理器20被配置为从存储器22中取回数据并且执行与本文所描述的方法相关的软件(指令)以及其他。

例如，如图2中示出的，存储器22存储远程文件管理器26。远程文件管理器26包括指令，该指令当由电子处理器20执行时，存储和控制对存储在存储器22或其他远程存储位置中的多个文件28(每个文件在本文中也被单独称为文件28)的访问以提供远程文件存储服务，这些远程存储位置作为远程文件存储系统12的一部分被包括。例如，远程文件管理器26控制由多个用户设备14对文件28的访问以及由多个用户设备对文件28的添加、删除和修改。远程文件存储系统12另外地存储关于文件28中的每一个的元数据。元数据可以包括原始创建日期、最后修改日期和用户设备14已经上传、访问或修改文件的内容的记录，以及可选地包括关于对文件进行的修改的类型的详细信息。例如，多个用户设备14中的每一个可以具有在远程文件存储系统12内的唯一标识符，并且这些标识符可以被包括在针对文件28的元数据中以记录用户设备14上传、访问或以其他方式修改文件28的内容。

远程文件存储系统12还可以(在存储器22中)存储设备目录29，例如，表或其他数据结构。设备目录29存储针对多个用户设备14中的每一个的注册信息。注册信息包括用户设备14的唯一标识符，其可以是序列号、地址(介质访问控制(MAC)地址)、用户生成的标识符或其他类型的唯一标识符。注册信息包括被本地安装在每个用户设备14上的防病毒软件的一个或多个标识符。每个标识符可以通过名称、提供商、版本或其他识别信息来表示安装的防病毒软件。可选地，注册信息可以包括关于每个用户设备14的进一步的信息，例如，操作系统、操作系统版本、文件结构信息、用户设备14与其相关联的其他远程文件存储系统、设备型号、设备类型(例如，智能电话、膝上型计算机等)等。注册信息还可以包括关于与用户设备14相关联的用户、与用户相关联的群组或组织等的信息。

多个用户设备14中的每一个远离远程文件存储系统12(与远程文件存储系统12分离)并且包括计算设备，例如，台式计算机、膝上型计算机、平板计算机、终端、服务器、智能电视、电子白板、平板计算机、智能电话、可穿戴设备等。如图3中示出的，在一些实施例中，用户设备14包括电子处理器30、存储器32、人机接口(HMI)34和通信接口36。电子处理器30、存储器32、HMI 34和通信接口36通过一条或多条通信线路或总线通信、无线地通信或以其组合进行通信。在一些实施例中，用户设备14包括除了图3中示出的那些组件之外的附加组件，例如，附加的存储器、处理器等。另外地，图4中示出的用户设备14中包括的组件可以以各种配置进行布置。

可以包括无线收发器的通信接口36允许用户设备14通过通信网络16与诸如远程文件存储系统12之类的外部设备进行通信。

HMI 34包括输入设备、输出设备或其组合。例如，HMI 34可以包括显示设备、触摸屏、键盘、小键盘、按钮、光标控制设备、打印机、扬声器、虚拟现实耳机、麦克风等。在一些实施例中，用户设备14包括多个HMI。例如，用户设备14可以包括触摸屏和小键盘。在一些实施例中，HMI 34被包括在与用户设备14相同的外壳中。然而，在其他实施例中，HMI 34可以在用户设备14的外部，但是可以通过有线或无线连接与用户设备14进行通信。例如，在一些实施例中，用户设备14包括经由电缆连接到用户设备14的显示设备。

存储器32包括非暂时性计算机可读存储介质。电子处理器30包括微处理器、专用集成电路(ASIC)或其他合适的电子设备。电子处理器20被配置为从存储器32中取回数据并执行软件指令以执行各种功能以及其他。应当理解，用户设备14还可以执行除了本申请中描述的功能之外的附加功能。

如图4中示出的，存储器32存储防病毒软件38。防病毒软件38是一种软件应用，该软件应用当由电子处理器30执行时，防止、检测恶意文件和应用，并将恶意文件和应用从计算设备(例如，用户设备14)移除。例如，防病毒软件38保护和修复用户设备免受恶意代码的侵害，恶意代码包括但不限于计算机病毒、间谍软件、广告软件、键盘记录器、垃圾邮件、勒索软件等。在一些实施例中，用户设备14可以安装有多个防病毒软件应用，例如，针对不同类型的恶意代码或由不同公司提供的不同类型的防病毒软件。还应当理解，被本地安装在用户设备14上的防病毒软件38可以包括与一个或多个服务器或其他远程系统交互以执行恶意代码预防或检测的客户端应用。因此，并非关于用户设备14执行的所有防病毒功能都可以由防病毒软件38本地或直接执行。

存储器32还存储同步(“sync”)客户端37。同步客户端37是一种软件应用，该软件应用当由电子处理器30执行时，允许用户设备14访问远程文件存储系统12，并且可以同步由远程文件存储系统管理的文件28(例如，访问、上传、下载和修改文件28)。例如，在一些实施例中，同步客户端37将本地存储在用户设备14上的被标记用于远程存储的文件自动地同步到远程文件存储系统12，以在用户设备14与远程文件存储系统12之间同步这些文件的状态。同步客户端37还可以提供用户界面，该用户界面允许用户设备14的用户定位通过远程文件存储系统12可用的文件并与这些文件进行交互，即使该文件也没有被本地安装在用户设备14上。例如，同步客户端37可以被配置为在新的或更新后的文件经由远程文件存储系统12可用时提醒用户。应当理解，在一些实施例中，如本文所描述的由同步客户端37执行的功能可以分布在多个软件应用或模块中。

在一些实施例中，同步客户端37向远程文件存储系统12提供针对用户设备14的注册信息。例如，同步客户端37可以向远程文件存储系统12提供用户设备14的唯一标识符和被本地安装在用户设备14上的防病毒软件38的标识符。在一些实施例中，每次用户设备14与远程文件存储系统12交互时，被安装在用户设备上的同步客户端37就向远程文件存储系统12提供注册信息(或任何可用的更新后的注册信息)，以使由远程文件存储系统12管理的注册信息是最近期的。在其他实施例中，同步客户端27以其他频率或响应于其他触发而向远程文件存储系统12提供注册信息(包括对注册信息的更新)。例如，在一些实施例中，同步客户端37被配置为监视用户设备14上的防病毒软件的任何本地安装，并且针对每个新安装更新由远程文件存储系统12存储的注册信息。此外，在一些实施例中，同步客户端37可以响应于来自远程文件存储系统12的请求(例如，当远程文件存储系统12检测到受感染文件时，如下面所描述的)而扫描安装的防病毒软件。而且，在一些实施例中，防病毒软件应用可以被配置为向远程文件存储系统12注册。例如，被安装在用户设备14上的同步客户端37可以从防病毒软件38接收信息、将该信息与关于用户设备14的信息组合、并且向远程文件存储系统注册用户设备14和相关联的防病毒软件38。

多个用户设备14中的每一个可以(通过同步客户端37的执行)访问由远程文件存储系统12(通过远程文件管理器26的执行)存储的文件28。因此，使用多个用户设备14中的一个的用户可以远程访问文件28、上传新文件28、下载现有文件28和修改文件28，而不管用户设备14相对于远程文件存储系统位于何处。还如上面所描述的，感染了恶意代码(例如，勒索软件)的用户设备14可以将受感染文件上传到远程文件存储系统12，或者可以修改存储在远程文件存储系统12中的现有文件以创建受感染文件。如上面所描述的，虽然远程文件存储系统通常被配置为检测和纠正这些活动，但表示受感染文件的源的用户设备14可能仍然感染恶意代码。因此，本文所描述的远程文件存储系统12被配置为响应于检测到远程文件存储系统12内的受感染文件的上传或修改，启动被本地安装在表示受感染文件的源的用户设备14上的防病毒软件38。

例如，图4是示出用于修复感染了恶意代码的用户设备14的方法40的流程图。方法40被描述为由远程文件存储系统12(由电子处理器20执行的远程文件管理器26)执行。

如图4中示出的，方法40包括在远程文件存储系统12处存储针对多个用户设备14中的每一个的注册信息(在块41处)。如上面所描述的，注册信息可以存储在设备目录29中，并且可以包括多个用户设备14中的每一个的唯一标识符和被本地安装在多个用户设备14中的每一个上的每个防病毒软件38的标识符以及其他信息。可以在用户设备14第一次访问远程文件存储系统12时或通过不同的注册方法(例如，由远程文件存储系统12的管理员导入要注册的用户设备14的列表，或由用户(例如，通过一个或多个用户界面)手动键入注册信息或其一部分作为针对远程文件存储服务的初始帐户注册或订阅过程的一部分)存储注册信息。

在一些实施例中，远程文件存储系统12还存储可以注册的批准的防病毒软件应用的列表。当如下面所描述地检测到受感染文件时，远程文件存储系统12可以使用该列表来确定是否可以远程启动被本地安装的防病毒软件38。可替代地或另外地，远程文件存储系统12可以使用该列表作为建立注册信息的一部分。例如，当用户设备14尝试注册不在批准的防病毒软件应用的列表上的防病毒软件应用时，远程文件存储系统12可以不注册该设备、可以提示用户安装批准的防病毒软件、可以不将防病毒软件的标识符存储在注册信息中、或者其组合。如下面更详细地描述的，批准的防病毒软件应用的列表允许远程文件存储系统12仅启动受信任的防病毒软件来修复潜在地包括恶意代码的用户设备14。批准的防病毒软件应用的列表还可以提供关于防病毒软件的信息(例如，软件是如何远程启动的)，包括指示哪些防病毒软件应用与来自远程文件存储系统12的应用编程接口(API)调用兼容，以及关于应如何针对各种情况下的特定防病毒软件应用构建API调用的详细信息。

如图4中示出的，方法40还包括利用远程文件存储系统12来检测存储在远程文件存储系统12内的受感染文件(在块42处)。可以以各种方式检测受感染文件。可以检测受感染文件是否先前是未加密的文件现在(例如，通过文件熵)被加密。类似地，一些恶意代码与已知的文件扩展名或文件命名模式相关联，并且因此，可以通过将文件扩展名或文件名称与已知的文件扩展名和文件命名模式进行比较来识别受感染文件。受感染文件也可以具有与存储在其内的数据不兼容的文件类型(例如，被识别为.jpg类型，但不包含图像数据)。诸如对文件内数据的分析、根据识别受感染和未受感染文件的用户反馈构造的机器学习技术等之类的其他方法可以用于检测受感染文件。远程文件存储系统12可以包括被配置为检测受感染文件的本地防病毒软件应用。远程文件存储系统12可以被配置为在要被存储在远程文件存储系统中的新文件的上传过程期间、在修改存储在远程文件存储系统12中的现有文件期间、按照例程(例如，通过在预定时间运行本地防病毒软件应用)、或以其组合来检测受感染文件。

响应于检测到受感染文件，远程文件存储系统12可以被配置为采取各种动作(例如，通过隔离受感染文件、删除受感染文件等)来修复远程文件存储系统12。另外地，如图4中示出的，响应于检测到受感染文件，远程文件存储系统被配置为确定与受感染文件交互的用户设备14(例如，上传的用户设备14或修改受感染文件的用户设备)的唯一标识符(在块43处)。当在文件的上传或修改期间检测到受感染文件时，用户设备14的标识符可以是已知的，或者可以查询用户设备14的标识符作为上传过程的一部分。可替代地，当例如在远程文件存储系统12的任何本地防病毒软件的例行检查期间检测到受感染文件时，远程文件存储系统12可以访问与检测到的受感染文件相关联的元数据，以确定近期与受感染文件交互的一个或多个用户设备14的标识符。在一些情况下，远程文件存储系统12可能能够识别负责检测到的受感染文件的单个用户设备14。然而，在其他情况下，远程文件存储系统12可能仅能够识别潜在地负责检测到的受感染文件的两个或更多个用户设备14的集合。在这种情况下，远程文件存储系统12可以被配置为尝试修复集合中的每个用户设备14，如下面所描述的。

使用与检测到的受感染文件相关联的用户设备14的标识符，远程文件存储系统12访问存储的注册信息以识别被安装在用户设备14上的防病毒软件38(在块44处)。例如，远程文件存储系统12可以使用用户设备14的唯一标识符以从设备目录29中拉取数据，该设备目录29可以包括表，该表包含唯一设备标识符以及用于安装的防病毒软件应用的相关联的标识符。如上面所描述的，远程文件存储系统12可以将被安装在用户设备14处的识别出的防病毒软件38与批准的软件应用的列表进行比较，以确保在远程启动防病毒软件38之前，被本地安装的软件表示受信任的防病毒软件。因此，当被安装在识别出的用户设备14处的识别出的防病毒软件38不是批准的软件应用中的一个时，远程文件存储系统12可以不远程启动安装的防病毒应用38。然而，在这种情况下，远程文件存储系统12可以采取一个或多个其他动作来解决用户设备18的潜在感染。例如，远程文件存储系统12可以例如通过同步客户端37或单独地呈现一个或多个警报(例如，电子邮件、文本等)，以向与用户设备14相关联的用户警告潜在的感染。该警报可以包括关于攻击时间、受攻击影响的设备、受攻击影响的文件以及用户可能采取以补救该情况的潜在手动步骤(包括恢复本地存储文件的选项)的信息。

如图4中示出的，基于识别出的被本地安装的防病毒软件38，远程文件存储系统12远程启动防病毒软件38(在块47处)。在其中用户设备14已经安装了多个防病毒软件应用的情况下，远程文件存储系统12还可以被配置为基于可用的安装的应用、用户设备14、检测到的受感染文件或其组合来自动选择应用中的一个或多个应用来远程启动。例如，远程文件存储系统12可以在这些情况下应用一个或多个规则来确定启动哪些应用。然而，在其他实施例中，远程文件存储系统12可以被配置为启动每个安装的应用。

在一些实施例中，远程文件存储系统12针对被本地安装在识别出的用户设备14上的防病毒软件38构建API调用，以远程启动防病毒软件38。可以基于被存储作为注册信息的一部分的防病毒软件38的标识符来构建API调用。在其他实施例中，API调用也可以基于用户设备14，例如，被安装在用户设备14上的操作系统、安装的操作系统的版本等。此外，在一些实施例中，API调用也可以基于受感染文件。例如，API可以将关于受感染文件的信息传递给防病毒软件38，以帮助防病毒软件38执行适当的检查或扫描以修复用户设备14。因此，远程文件存储系统12可以存储用于在各种情况下针对不同的防病毒软件应用创建API调用的一个或多个配置文件或指令集。在API调用被构建之后，远程文件存储系统12将API调用发送到防病毒软件38。在一些实施例中，远程文件存储系统12通过同步客户端37将API调用间接地发送到防病毒软件38。而且，在一些实施例中，远程文件存储系统12使用不同的机制来启动防病毒软件38，例如，通过向与防病毒软件38相关联的服务器发送消息，该服务器通过启动被本地安装在用户设备14上的防病毒软件38或向用户设备14的操作系统发出命令来响应该消息。应当理解，如本申请中使用的该术语，启动防病毒软件38包括例如通过请求特定类型的设备扫描或用于检测恶意代码的其他过程的执行，激活防病毒软件应用(启动其执行)以及修改活动的(已经执行的)防病毒软件应用的行为。

如图4中示出的，在一些实施例中，远程文件存储系统12可以可选地被配置为向与用户设备相关联的用户呈现用户界面以提示用户批准对防病毒软件38的远程启动(在块45处)。在该实施例中，远程文件存储系统12可以被配置为当远程文件存储系统12接收到来自用户的批准时，远程启动防病毒软件38。而且，在一些实施例中，远程文件存储系统12可以被配置为：即使远程文件存储系统12未通过用户界面接收到用户批准，但自提示被提供以来已经经过预定时间量，也远程启动防病毒软件38。预定时间可以是例如由用户或管理员(例如，与用户所属的组织相关联的管理员)可配置的。

提示该批准的示例用户界面50在图5中示出。用户界面50可以包括消息52和选择机制54，例如，图5中示出的“修复”按钮。消息52可以指示：基于在远程文件存储系统12内检测到的受感染文件，用户设备14可能感染了恶意代码。消息52还通知用户：如果用户想要启动被本地安装在用户设备14上的防病毒软件38来尝试修复用户设备14，则用户应该选择该选择机制54。因此，用户可以选择选择机制54来批准对防病毒软件38的远程启动。用户界面50可以被呈现在被识别为(例如，通过被安装在用户设备14上的同步客户端37)与受感染文件交互(上传文件或修改文件)的用户设备14上。可替代地或另外地，用户界面50可以经由其他用户设备14来呈现，该其他用户设备与识别出的用户设备14关联于相同的用户。例如，当识别出的用户设备14是台式计算机时，用户界面50可以被呈现在与相同的用户相关联的台式计算机、智能电话或其组合上。例如，可以在电子邮件消息、文本消息、即时消息、应用通知等内提供用户界面50。在一些实施例中，消息52可以包括附加信息或与图5中示出的示例消息52不同的信息，例如，检测到的受感染文件的详细信息、用户可以采取以解决问题的其他动作等等。而且，在一些实施例中，用户界面50可以包括允许用户采取其他动作的一个或多个附加选择机制，例如，用于明确拒绝或否决防病毒软件38的远程启动的“忽略”按钮，或用于将存储在远程文件存储系统12中的文件28恢复到用户设备14的“恢复”按钮。此外，在一些实施例中，远程文件存储系统12可以向用户发送消息，从而提醒用户潜在的恶意代码，其中该消息指示用户访问识别出的用户设备上的同步客户端37以访问用户界面50，并且如果需要，批准对防病毒软件38的远程启动。

在一些实施例中，在如由远程文件存储系统12启动的防病毒软件38已经在用户设备14上运行期间或在这之后，防病毒软件38可以向同步客户端37提供状态信息，该同步客户端37可以将状态信息传递给远程文件存储系统12。状态信息可以指示由防病毒软件38执行的防病毒扫描或检查的当前阶段(例如，完成百分比、完成前剩余的时间、扫描和修复的文件数量等)。状态信息还可以指示如由远程文件存储系统12启动的防病毒软件38是否成功完成扫描或检查，以及是否成功修复了任何文件(例如，未加密、移除等)。可以由远程文件存储系统12例如通过同步客户端37将状态信息或其一部分提供给用户。而且，在一些实施例中，当防病毒软件38无法修复用户设备14时(例如，未能从用户设备14中移除勒索软件或其他恶意代码)，远程文件存储系统12可以(例如，经由同步客户端37)向用户提供附加信息和状态信息，例如，对用户尝试修复用户设备14而采取的手动步骤的推荐。

类似地，无论防病毒软件38是否成功，远程文件存储系统12都可以向用户提供信息，从而概述用于避免未来感染的各种解决方案。例如，基于识别出的受感染文件的类型，远程文件存储系统12可以向用户提供避免意外下载可疑或恶意文件或应用的步骤。提供给用户的解决方案可以进一步基于由受感染文件影响的设备类型、受影响的操作系统以及可以从注册信息或从识别出的用户设备14获得的其他因素。

因此，本文描述的实施例提供了用于在远程文件存储系统内检测到受感染文件时修复感染了恶意代码的用户设备的方法和系统。特别地，如上面所描述的，被本地安装在用户设备上的防病毒软件可以由远程文件存储服务远程启动以修复用户设备(除了由远程文件存储服务采取以处理受感染文件的其他修复的任何动作之外)。远程启动可以由远程文件存储服务自动执行(不要求手动输入)，或者可以作为供用户选择的选项来呈现，以允许对远程启动的用户控制，同时仍然消除了用户采取步骤来手动启动被本地安装的防病毒软件应用的需要。

在以下权利要求书中阐述了一些实施例的各种特征和优点。