Oracle RushQL勒索病毒恢復方法
在上期 《勒索病毒Globelmposter來襲,資料備份你做好了嗎》 中,我們介紹了Globelmposter勒索病毒,以SMB、RDP協議漏洞為突破口,加密篡改使用者檔案,從而達到勒索的目的,其感染目標並不侷限特定的應用。
本次我們再來介紹另一種專門針對資料庫的勒索病毒 -- RushQL。相比Globelmposter,RushQL專門針對資料庫設計、並且具備一定潛伏期和隱蔽性,危害極大。
該病毒最早被發現是捆綁在被感染的綠色版/破解版PS/SQL安裝程式上,一旦使用者使用此類破解版軟體連線到資料庫,會立即執行“Afterconnet.sql”中的程式碼(此檔案一般在官方PL/SQL軟體中是一個空檔案),在資料庫中建立多個儲存過程和觸發器。
RushQL感染後並不會立即造成資料損壞,具備一定時間的潛伏期,它會首先判斷資料庫建立時間是否大於1200天(比較狠,專挑執行較長時間的資料庫下手)。如果大於1200天,則重啟資料庫後觸發病毒觸發器,加密並刪除 sys.tab$ ,導致使用者無法訪問資料庫中所有的資料庫物件集合(schema),提示“你的資料庫已經被SQL RUSH Team鎖死,請傳送5個比特幣到這個地址……”的勒索資訊(也有變種會要求以太幣等),並設定定時任務,如果在期限內不交贖金,就刪除所有的表
RushQL包含多個儲存過程和觸發器,選取其中一個PROCEDURE DBMS_SUPPORT_INTERNAL來看主要的操作為:
1. 建立並備份`sys.tab$`表的資料到表 `ORACHK || SUBSTR(SYS_GUID,10)`; 2. 刪除`sys.tab$`中的資料,條件是所有表的建立者ID 在(0,38)範圍(針對核心表); 3. 在你的alert日誌中寫上2046次勒索資訊,並觸發異常告警
從儲存過程的內容可知,相比Globelmposter,RushQL更難防範。其行為從資料庫角度看來都是再正常不過的操作(update、truncate等),因此現有所有備份手段幾乎都會失效,例如Dataguard可以防護檔案類感染,但遇到RushQL仍會將錯誤的資料進行同步;定時備份能起到一定恢復作用,但無法保證資料沒有丟失等。
若是被感染且尚未滿足條件發作,則處理方式很簡單,只要刪除4個儲存過程及3個觸發器、不再使用帶病毒的破解/綠色軟體即可:
儲存過程 DBMS_SUPPORT_INTERNAL 儲存過程 DBMS_STANDARD_FUN9 儲存過程 DBMS_SYSTEM_INTERNA 儲存過程 DBMS_CORE_INTERNAL 觸發器 DBMS_SUPPORT_INTERNAL 觸發器 DBMS_SYSTEM_INTERNAL 觸發器 DBMS_CORE_INTERNAL
如果病毒已經生效,資料庫處於被鎖定狀態,則需:
1. 刪除4個儲存過程和3個觸發器 2. 檢查相關登入工具的自動化指令碼,清理有風險的指令碼 3. 使用備份將表恢復到truncate之前,視嚴重程度可能要用到DUL工具 (不一定能恢復所有的表,例如truncate的空間已被使用)
由於truncate的空間有可能被再次使用,大概率會有部分資料無法恢復。但是,如果之前已經部署過QPlus-DP 資料庫備份雲一體機,則恢復過程十分簡單,可以使用“秒級恢復”功能建立病毒發作前1秒(或指定SCN號)的歷史資料庫,實現無資料丟失找回被truncate的表,如圖:
經過幾分鐘的等待,使用新建立的資料庫環境、確認需要恢復的表之後再導回至生產庫即可。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/28218939/viewspace-2640793/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- RushQL勒索病毒檢查
- [20190410]Oracle RushQL勒索病毒簡單防範.txtOracle
- 勒索病毒資料修復恢復
- 伺服器中了勒索病毒,升級後的Malox勒索病毒特徵,勒索病毒解密資料恢復伺服器特徵解密資料恢復
- 計算機中了mallox勒索病毒怎麼辦,勒索病毒解密,資料恢復計算機解密資料恢復
- Windows系統檔案被faust勒索病毒加密勒索病毒解密恢復,電腦中病毒了怎麼修復?Windows加密解密
- 計算機中了halo勒索病毒怎麼清除,halo勒索病毒解密資料恢復計算機解密資料恢復
- 計算機中了faust勒索病毒怎麼辦,faust勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機中了locked勒索病毒怎麼辦,locked勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機伺服器中了mallad勒索病毒怎麼辦,勒索病毒解密恢復計算機伺服器解密
- faust勒索病毒攻擊加密Windows系統的方式,勒索病毒解密資料恢復加密Windows解密資料恢復
- 企業計算機中了eking勒索病毒如何解毒,eking勒索病毒檔案恢復計算機
- 伺服器中了locked勒索病毒怎麼處理,locked勒索病毒解密,資料恢復伺服器解密資料恢復
- 伺服器中了elbie勒索病毒解決辦法,elbie勒索病毒解密資料恢復伺服器解密資料恢復
- 計算機伺服器中了mkp勒索病毒怎麼辦,mkp勒索病毒解密恢復計算機伺服器解密
- 企業資料庫中了360勒索病毒怎麼辦,勒索病毒解密,資料恢復資料庫解密資料恢復
- 企業計算機伺服器中了locked勒索病毒怎麼辦,勒索病毒解密恢復計算機伺服器解密
- 計算機伺服器中了locked勒索病毒怎麼辦,勒索病毒解密,資料恢復計算機伺服器解密資料恢復
- 企業計算機中了locked勒索病毒怎麼解鎖,locked勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機伺服器中了_locked勒索病毒如何處理,_locked勒索病毒解密資料恢復計算機伺服器解密資料恢復
- 計算機伺服器中了faust勒索病毒怎麼辦,faust勒索病毒解密檔案恢復計算機伺服器解密
- 計算機伺服器中了mallox勒索病毒如何處理,mallox勒索病毒解密檔案恢復計算機伺服器解密
- Babyk勒索病毒資料集恢復,計算機伺服器中了babyk勒索病毒怎麼辦?計算機伺服器
- 計算機伺服器中了mallox勒索病毒怎麼解決,勒索病毒解密,資料恢復計算機伺服器解密資料恢復
- 企業伺服器中了babyk勒索病毒怎麼辦,babyk勒索病毒解密資料集恢復伺服器解密
- 企業計算機電腦中了locked勒索病毒怎麼辦,勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機資料庫中了locked勒索病毒怎麼解決,勒索病毒解密,資料恢復計算機資料庫解密資料恢復
- 計算機伺服器中了mkp勒索病毒怎麼辦,mkp勒索病毒解密資料恢復計算機伺服器解密資料恢復
- 計算機伺服器中了_locked勒索病毒怎麼辦,_locked勒索病毒解密資料恢復計算機伺服器解密資料恢復
- 企業計算機伺服器中了halo勒索病毒如何解密,halo勒索病毒恢復流程計算機伺服器解密
- 計算機伺服器中了halo勒索病毒如何解密,halo勒索病毒解密資料恢復計算機伺服器解密資料恢復
- 伺服器資料庫中了elbie勒索病毒怎麼辦,elbie勒索病毒解密,資料恢復伺服器資料庫解密資料恢復
- SQL Server資料庫中了360字尾勒索病毒怎麼辦,勒索病毒解密資料恢復SQLServer資料庫解密資料恢復
- 計算機Windows系統電腦中病毒怎麼辦,Faust勒索病毒介紹,勒索病毒解密資料恢復計算機Windows解密資料恢復
- avast字尾勒索病毒---科脈系統資料恢復AST資料恢復
- 計算機伺服器中了locked勒索病毒怎麼處理,locked勒索病毒解密資料恢復計算機伺服器解密資料恢復
- 企業計算機伺服器中了halo勒索病毒如何解密,halo勒索病毒資料恢復計算機伺服器解密資料恢復
- 企業計算機伺服器中了mallox勒索病毒如何解密,mallox勒索病毒檔案恢復計算機伺服器解密