亞信安全詳解:Oracle數(shù)據(jù)庫(kù)勒索病毒
該勒索病毒捆綁在被感染的PS/SLQ developer安裝程序上。一旦用戶連接到一個(gè)數(shù)據(jù)庫(kù),其會(huì)執(zhí)行“AfterConnect.sql”中的代碼。該勒索病毒還會(huì)檢查數(shù)據(jù)庫(kù)創(chuàng)建日期,如果創(chuàng)建日期大于1200天,其會(huì)備份數(shù)據(jù)庫(kù)并刪除原始數(shù)據(jù)。該病毒在感染Oracle數(shù)據(jù)庫(kù)后不會(huì)立即觸發(fā),具有較長(zhǎng)的潛伏期。當(dāng)用戶訪問(wèn)被感染數(shù)據(jù)庫(kù)時(shí)將會(huì)提示以下勒索信息:
勒索信息提示數(shù)據(jù)庫(kù)已經(jīng)被鎖死,如果想要解鎖,需要支付5個(gè)比特幣的贖金。
亞信安全教你如何防護(hù)
- 該勒索病毒是由于用戶下載使用未知來(lái)源軟件造成,建議用戶檢查數(shù)據(jù)庫(kù)工具的使用情況,避免使用來(lái)歷不明的工具,也不要使用網(wǎng)上的破解類軟件和工具。
- 在執(zhí)行存儲(chǔ)過(guò)程中,一定要先確認(rèn)存儲(chǔ)過(guò)程的內(nèi)容,把常用的存儲(chǔ)過(guò)程做備份,在運(yùn)行存儲(chǔ)過(guò)程前檢查這些存儲(chǔ)過(guò)程最后修改時(shí)間,避免運(yùn)行未知存儲(chǔ)過(guò)程。
亞信安全產(chǎn)品解決方案
- 亞信安全在去年4月14日發(fā)布的病毒碼版本13.340.60,云病毒碼版本13.340.71,全球碼版本13.339.00及以上版本已包含此病毒檢測(cè)。最新的病毒碼版本14.633.60,云病毒碼版本14.633.71,全球碼版本14.635.00同樣包含此病毒檢測(cè)。
- 使用防毒墻網(wǎng)絡(luò)版OfficeScan,開(kāi)啟針對(duì)勒索軟件(Ransomware)的行為阻止策略,如下圖:
總結(jié):在目前的網(wǎng)絡(luò)威脅領(lǐng)域中,勒索軟件仍然扮演著十分重要的角色。數(shù)據(jù)庫(kù)勒索往往給人們帶來(lái)巨大的損失。亞信安全提醒用戶,密切關(guān)注此次勒索病毒事件,提高警惕。
