Now: 首页 >> 新闻中心 >> 通知公告 >> 其他通告 >> 正文

关于Oracle 勒索病毒的通报


1.病毒发起的原因及问题现象

近期,国内发生多起针对Oracle 数据库的勒索病毒案例,通过分析,该勒索病毒通过网络流传的“PL/SQL Developer破解版”进行传播;运维人员一旦使用带有病毒的“PL/SQLDeveloper破解版”连接Oracle数据,工具立即触发病毒文件在系统建立一系列的存储过程,判断数据库创建时间是否大于1200天,如大于等于1200天则触发。所以,该病毒在感染Oracle数据库后不会立即触发,具有较长的潜伏期。

如果用户的帐号拥有 DBA 管理权限,病毒通过 PL/SQL Dev 工具在数据库中创建多个存储过程和触发器,阻止用户连接数据库。当重启动后病毒触发器,加密并删除sys.tab$ ,导致用户无法访问数据库中所有的schema 并出现如下勒索信息:“你的数据库已经被 SQL RUSH team锁死,请发送5个比特币到 xxxxxxxxxxx 地址,… .”等信息,并设置任务计划如果在定期内不交比特币就 truncate 所有的数据库表。

2.Oracle服务器自检查

语句自查

SELECT 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";'

FROM dba_triggers

WHERE TRIGGER_NAME LIKE 'DBMS_%_INTERNAL%'

UNION ALL

SELECT 'DROP PROCEDURE '||owner||'."'||a.object_name||'";'

FROM dba_procedures a

WHERE a.object_name LIKE 'DBMS_%_INTERNAL% ';

3.客户端检查

在PL/SQL Developer工具安装目录,查看Afterconnect.sqllogin.sql文件。正常Afterconnect.sql文件是空白为0KBLogin.sql打开后只有一行注释“--Autostart Command Window script ,如果这两个文件里有其他信息,大概率为病毒信息。

4.安全建议

针对本次Oracle数据库的勒索问题,希望相关运维人员能提高日常运维安全意识,做好数据安全防范工作,数据要实时备份并且做好可用性测试。为了不被勒索,建议如下:

1、运维管理:严格禁止数据库运维人员使用第三方破解版Oracle远程管理软件,应使用Oracle自带的、第三方正版的客户端软件管理Oracle数据库。

2、内部自查:自查系统中Oracle数据库及其管理运维人员使用的PL/SQL PL/SQL PL/SQL PL/SQL Developer工具,确认没有恶意程序;

3、权限控制: 严格控制 Oracle生产环境的 DBA 权限,禁止不经过安全监测的客户端计算机及软件直接远程管理数据库。


网络中心

2018年11月30日