Oracle_勒索病毒解決方案

Oracle_ 勒索病毒解決方案

Oracle:11.2.0.1.0

OS:Windows Server 2008

問題：

資料庫伺服器上大多數檔案被加密，包括 Oracle 軟體目錄下檔案， dmp 備份檔案等；

資料庫無法正常使用；

警告日誌也是亂碼的

被加密後的檔案目錄下都有 how_to_back_files.html 檔案；

檔案寫明瞭如何申請解密器以及解密價格；

但是發現所有資料檔案，日誌檔案，控制檔案等，檔案本身沒有被加密；

檔案內容是否被篡改還不能確定；

解決方案：

將所有的資料檔案，控制檔案，日誌檔案複製到測試伺服器上，安裝相同版本的資料庫軟體，透過現有的檔案啟動資料庫；

啟動資料庫後發現居然沒有丟失資料，沒有出現被鎖表或被清空資料的情況，看來攻擊者並不十分熟悉資料庫；

類似案例：

17 年支援過一個湖南的專案， Oracle 資料庫內最大的一個使用者無法連線，連線時一直卡在，後臺警告日誌一直報錯 勒索病毒，並需要向某個郵箱傳送 5 個比特幣才能解鎖；

其他使用者可以正常連線，比如 sys,system 等；

但是資料庫的日常邏輯備份居然沒有被鎖住，透過備份異地恢復資料，丟失了少量的資料，客戶也可以接受；

總結：

資料庫伺服器遭受勒索病毒時，需要檢查哪些檔案受到影響；

(1) 如果資料檔案被加密或資料庫重要的表被刪除，檢查是否有最近的異地備份；

有最近的異地備份或者本地備份沒有被加密，可以直接恢復資料庫；

(2) 如果只有本地備份檔案，而且已被加密，檢查資料庫的三大檔案是否被加密，如果沒有被加密，異機透過現有的檔案直接啟動資料庫就可以；

(3) 如果資料檔案，備份檔案全被加密，資料庫裡重要的表也被刪除，可以嘗試使用 DUL 或 ODU 等工具恢復資料 ( 目前本人還沒有在正式環境測試過 ) ，或者聯絡甲骨文或第三方專門做恢復的公司請求支援；

歡迎關注我的微信公眾號"IT小Chen"，共同學習，共同成長！！！