在上期 《勒索病毒Globelmposter來襲，數(shù)據(jù)備份你做好了嗎》 中，我們介紹了Globelmposter勒索病毒，以SMB、RDP協(xié)議漏洞為突破口，加密篡改用戶文件，從而達(dá)到勒索的目的，其感染目標(biāo)并不局限特定的應(yīng)用。

創(chuàng)新互聯(lián)長期為上1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為武穴企業(yè)提供專業(yè)的成都網(wǎng)站制作、成都網(wǎng)站建設(shè)，武穴網(wǎng)站改版等技術(shù)服務(wù)。擁有10年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

本次我們再來介紹另一種專門針對數(shù)據(jù)庫的勒索病毒 -- RushQL。相比Globelmposter，RushQL專門針對數(shù)據(jù)庫設(shè)計、并且具備一定潛伏期和隱蔽性，危害極大。

該病毒最早被發(fā)現(xiàn)是捆綁在被感染的綠色版/破解版PS/SQL安裝程序上，一旦用戶使用此類破解版軟件連接到數(shù)據(jù)庫，會立即執(zhí)行“Afterconnet.sql”中的代碼（此文件一般在官方PL/SQL軟件中是一個空文件），在數(shù)據(jù)庫中創(chuàng)建多個存儲過程和觸發(fā)器。

RushQL感染后并不會立即造成數(shù)據(jù)損壞，具備一定時間的潛伏期，它會首先判斷數(shù)據(jù)庫創(chuàng)建時間是否大于1200天（比較狠，專挑運行較長時間的數(shù)據(jù)庫下手）。如果大于1200天，則重啟數(shù)據(jù)庫后觸發(fā)病毒觸發(fā)器，加密并刪除 sys.tab$ ，導(dǎo)致用戶無法訪問數(shù)據(jù)庫中所有的數(shù)據(jù)庫對象集合（schema），提示“你的數(shù)據(jù)庫已經(jīng)被SQL RUSH Team鎖死，請發(fā)送5個比特幣到這個地址……”的勒索信息（也有變種會要求以太幣等），并設(shè)置定時任務(wù)，如果在期限內(nèi)不交贖金，就刪除所有的表

RushQL包含多個存儲過程和觸發(fā)器，選取其中一個PROCEDURE DBMS_SUPPORT_INTERNAL來看主要的操作為：

1. 創(chuàng)建并備份`sys.tab$`表的數(shù)據(jù)到表 `ORACHK || SUBSTR(SYS_GUID,10)`；
2. 刪除`sys.tab$`中的數(shù)據(jù)，條件是所有表的創(chuàng)建者ID 在（0,38）范圍（針對核心表）；
3. 在你的alert日志中寫上2046次勒索信息，并觸發(fā)異常告警

從存儲過程的內(nèi)容可知，相比Globelmposter，RushQL更難防范。其行為從數(shù)據(jù)庫角度看來都是再正常不過的操作（update、truncate等），因此現(xiàn)有所有備份手段幾乎都會失效，例如Dataguard可以防護(hù)文件類感染，但遇到RushQL仍會將錯誤的數(shù)據(jù)進(jìn)行同步；定時備份能起到一定恢復(fù)作用，但無法保證數(shù)據(jù)沒有丟失等。

若是被感染且尚未滿足條件發(fā)作，則處理方式很簡單，只要刪除4個存儲過程及3個觸發(fā)器、不再使用帶病毒的破解/綠色軟件即可：

存儲過程 DBMS_SUPPORT_INTERNAL
存儲過程 DBMS_STANDARD_FUN9
存儲過程 DBMS_SYSTEM_INTERNA
存儲過程 DBMS_CORE_INTERNAL
觸發(fā)器 DBMS_SUPPORT_INTERNAL
觸發(fā)器 DBMS_SYSTEM_INTERNAL
觸發(fā)器 DBMS_CORE_INTERNAL

如果病毒已經(jīng)生效，數(shù)據(jù)庫處于被鎖定狀態(tài)，則需：

1. 刪除4個存儲過程和3個觸發(fā)器
2. 檢查相關(guān)登錄工具的自動化腳本，清理有風(fēng)險的腳本
3. 使用備份將表恢復(fù)到truncate之前，視嚴(yán)重程度可能要用到DUL工具
（不一定能恢復(fù)所有的表，例如truncate的空間已被使用）

由于truncate的空間有可能被再次使用，大概率會有部分?jǐn)?shù)據(jù)無法恢復(fù)。但是，如果之前已經(jīng)部署過QPlus-DP 數(shù)據(jù)庫備份云一體機(jī)，則恢復(fù)過程十分簡單，可以使用“秒級恢復(fù)”功能創(chuàng)建病毒發(fā)作前1秒（或指定SCN號）的歷史數(shù)據(jù)庫，實現(xiàn)無數(shù)據(jù)丟失找回被truncate的表，如圖：

經(jīng)過幾分鐘的等待，使用新創(chuàng)建的數(shù)據(jù)庫環(huán)境、確認(rèn)需要恢復(fù)的表之后再導(dǎo)回至生產(chǎn)庫即可。

本文題目：OracleRushQL勒索病毒恢復(fù)方法-創(chuàng)新互聯(lián)
網(wǎng)址分享：http://weahome.cn/article/dcdoei.html