​Oracle数据库勒索病毒自检工具

一、事件背景近日,Oracle数据库勒索病毒又活跃了,其实这并非新病毒,早在2年前,即2016年11月就发现了,深信服一直持续关注此病毒。我们提醒用户,无需过渡恐慌,只要不要乱下载PL/SQL破解版工…

从对等方接收数据时失败 上述DBMS_SUPPORT_INTERNAL内存的主要功能: 如果数据库是在日期>创建的1200天后: (1)创建sys.tab $表的数据并将其备份到表ORACHK || SUBSTR(SYS_GUID,10) (2)删除sys.tab $中的数据,前提是所有表的创建者ID在范围内(0,38) (3)通过SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION清理备份信息 (4)通过DBMS_SYSTEM.KSDWRT在警报日志中写入2046勒索软件信息 (5)发出勒索信息的警告信息   上述DBMS_SYSTEM_INTERNAL内存的主要功能: 如果当前日期 - 数据表的最小分析日期(没有SYSTEM,SYSAUX,EXAMPLE)> 1200天,当前客户端程序进程名称不是“C89239.EXE”,触发敲诈信息的警告消息   上述DBMS_CORE_INTERNAL内存的主要功能: 表名不包含$,不包含ORACHK,不将簇表放在游标中,然后将非SYSTEM,SYSAUX,EXAMPLE表空间表最小统计收集时间和当前时间比较,如果超过1200天执行截断表操作,并在操作完成后,判断如果登录程序不是C89239.EXE,则触发敲诈信息的警告消息。   上述DBMS_STANDARD_FUN9内存的主要功能: 动态执行PL/SQL脚本 3.三个触发器的相应内容如下: 在数据库启动时执行存储过程DBMS_SUPPORT_INTERNAL   登录数据库时执行存储过程DBMS_SYSTEM_INTERNAL   登录数据库时执行存储过程DBMS_CORE_INTERNAL       第三,解决方案 1.删除恶意篡改的客户端软件 2.根据不同情况进行不同的处理: 情况1: SYSDATE - MIN(LAST_ANALYZED)小于1200天 数据库损坏:未损坏 治疗方法: 一个。删除三个触发器: 'DBMS_SUPPORT_INTERNAL' 'DBMS_SYSTEM_INTERNAL' 'DBMS_CORE_INTERNAL' 湾删除四个存储故障: 'DBMS_SUPPORT_INTERNAL' 'DBMS_SYSTEM_INTERNAL' 'DBMS_CORE_INTERNAL' 'DBMS_STANDARD_FUN9' 案例2: SYSDATE - MIN(LAST_ANALYZED)大于1200天,SYSDATE - CREATED大于1200天但未重新启动或SYSDATE - CREATED小于1200天 数据库损坏:某些表是截断的 做法: 一个。删除三个触发器和四个存储过程 湾使用备份还原要截断的表 C。使用DUL恢复(不一定恢复所有表,例如已使用截断空格) 案例3: SYSDATE - CREATED大于1200天 从对等方接收数据时失败