【安全預警】數據庫勒索病毒再次出現

最近，國內再次發生多起對Oracle數據庫的勒索病毒，同時有多家媒體對該病毒進行報道，此次出現的勒索病毒并非是新型數據庫勒索，而是是2016年底發生的比特幣勒索事件。

該病毒通過網絡上下載的破解版PL/SQL developer工具，被黑客利用注入修改了安裝目錄下的fterconnet.sql文件，一旦用戶連接到一個數據庫，其會執行“AfterConnect.sql”中的代碼。該病毒會對數據庫創建時間大于1200天的數據庫進行比特幣勒索，不交則進行數據庫數據刪除。

病毒特征：

該病毒在感染Oracle數據庫后不會立即觸發，具有較長的潛伏期。當用戶訪問被感染數據庫時將會提示以上勒索信息。

勒索信息提示數據庫已經被鎖死，如果想要解鎖，需要支付5個比特幣的贖金。

處理方式：直接刪除這些觸發器和過程，然后替換掉破解版的PL/SQL developer工具，選擇正版軟件。

建議：

1、建議用戶檢查數據庫工具的使用情況，避免使用來歷不明的工具，也不要使用網上的破解類軟件和工具。
      2、在執行存儲過程中，一定要先確認存儲過程的內容，把常用的存儲過程做備份，在運行存儲過程前檢查這些存儲過程最后修改時間，避免運行未知存儲過程。

本文首發于西安瑞天網（http://www.invitre.com），轉載請注明原文地址：http://www.invitre.com/news/97.html