Oracle数据库勒索病毒查杀软件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Oracle数据库勒索病毒查杀软件

申博_新闻事件 申博 280次浏览 已收录 0个评论

前语

近来,Oracle数据库勒索病毒又活泼了,其实这并非新病毒,早在2年前,即2016年11月就发现了,深服气一直继续重视此病毒。咱们提示用户,无需过度惊惧,只需不要乱下载PL/SQL破解版东西就不会中招!不承认是否中招的用户,咱们这儿率先提供简单!有效!的自检东西,一键运行,无需安装,即可快速判别是否感染了Oracle数据库勒索病毒。

话不多说,直接上Oracle勒索病毒自检东西:

http://edr.sangfor.com.cn/tool/SfCheckPLSQL.zip

中毒截图证明如下:

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

深服气安全团队早在5月28号就接到多起Oracle数据库被勒索的案例,中毒之后数据库显现如下勒索信息:

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

提取到相应的样本之后,通过深入剖析,EDR安全团队承认该病毒是RushQL数据库勒索病毒,是因为运用了破解版的PL/SQL导致的。

一、样本剖析

1、样本是一个PL/SQL自带的AfterConnect.sql自动运行脚本,此文件在官司PL/SQL软件中为空文件,该勒索病毒就是利用了这个文件,相应的样本,如下所示:

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

脚本的关键代码,采用了Oracle数据库专用加密东西wrap进行了加密,如下所示:

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

2、对代码进行解密,得到相应的四个存储进程和三个触发器,四个存储进程,如下所示:

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

以上DBMS_SUPPORT_INTERNAL存储器的主要功能:

假如数据库创立日期 >1200 天之后则:

(1)通过SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION清理掉备份信息

(2)通过DBMS_SYSTEM.KSDWRT在你的alert日志中写上2046次勒索信息

(3)创立并备份sys.tab$表的数据到表 ORACHK || SUBSTR(SYS_GUID,10)

(4)删去sys.tab$中的数据,条件是一切表的创立者ID 在(0,38)规模

(5)抛出一个正告提示勒索信息

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

以上DBMS_SYSTEM_INTERNAL存储器的主要功能:

假如当时日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小剖析日期 > 1200 天,且当时客户端程序进程名不是“C89239.EXE”,则触发正告提示勒索信息。

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

以上DBMS_CORE_INTERNAL存储器的主要功能:

把表名不含$,不含ORACHK,不是cluster的表放到一个游标里面,然后取非SYSTEM,SYSAUX,EXAMPLE之外的表空间的表的最小统计信息搜集时刻和当时时刻比较假如大于1200天就履行truncate table操作,操作完结之后判别假如登录程序不为C89239.EXE,则触发正告提示勒索信息。

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

以上DBMS_STANDARD_FUN9存储器的主要功能:

动态履行PL/SQL脚本

3、三个触发器的相应内容,如下所示:

在数据库启动时履行存储进程DBMS_SUPPORT_INTERNAL。

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

在登录数据库时履行存储进程DBMS_SYSTEM_INTERNAL。

Oracle数据库勒索病毒查杀软件

安全网站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.

Oracle数据库勒索病毒查杀软件

在登录数据库时履行存储进程DBMS_CORE_INTERNAL。

Oracle数据库勒索病毒查杀软件

Oracle数据库勒索病毒查杀软件

二、解决方案

首先、删去被恶意篡改的客户端软件

然后、根据不同的状况进行不同处理:

状况一:

SYSDATE- MIN(LAST_ANALYZED) 小于1200天

数据库损坏状况:未损坏

处理方法:

a. 删去三个触发器:

	

"DBMS_SUPPORT_INTERNAL"

"DBMS_SYSTEM_INTERNAL"

"DBMS_CORE_INTERNAL"

b.删去四个存储过错:

	

"DBMS_SUPPORT_INTERNAL"

"DBMS_SYSTEM_INTERNAL"

"DBMS_CORE_INTERNAL"

"DBMS_STANDARD_FUN9"

状况二:

SYSDATE- MIN(LAST_ANALYZED) 大于1200天,并且SYSDATE- CREATED大于1200天但未重启 或者 SYSDATE- CREATED 小于1200天

数据库损坏状况:某些表被truncate

处理方法:

a、删去三个触发器和四个存储进程

b、运用备份把表康复到truncate之前

c、运用DUL康复(纷歧定能康复一切的表,如truncate的空间已被运用)

状况三:

SYSDATE- CREATED 大于1200天

数据库损坏状况:某些表被truncate以及tab$被删去

处理方法:

a. 删去三个触发器和四个存储进程

b. 运用备份把表康复到truncate之前

c. 运用ORACHK最初的表康复tab$

d. 运用DUL康复(纷歧定能康复一切的表,如truncate的空间已被运用)

3、查看相关登录东西的自动化脚本,清理有风险的脚本:

SQL*PLUS中的glogin.sql/login.sql

Toad 中的toad.ini

PL/SQLDeveloper中的ogin.sql/AfterConnect.sql

4、主张从官网下载东西,不要运用绿色版/破解版等

三、参阅链接

https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4

漏洞

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Oracle数据库勒索病毒查杀软件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址