注意：國内發生(shēng)多起Oracle 勒索病毒！

近期，國内發生(shēng)多起針對Oracle 數據庫的勒索病毒案例，通過分(fēn)析，該勒索病毒通過網絡流傳的“PL/SQLDeveloper破解版”進行傳播

01病毒發起的原因及問題現象

     近期，國内發生(shēng)多起針對Oracle 數據庫的勒索病毒案例，通過分(fēn)析，該勒索病毒通過網絡流傳的“PL/SQL Developer破解版”進行傳播；運維人員(yuán)一(yī)旦使用帶有病毒的“PL/SQLDeveloper破解版”連接Oracle數據，工(gōng)具立即觸發病毒文件在系統建立一(yī)系列的存儲過程，判斷數據庫創建時間是否大(dà)于1200天，如大(dà)于等于1200天則使用truncate清空數據庫。所以，該病毒在感染Oracle數據庫後不會立即觸發，具有較長的潛伏期。當用戶訪問被感染數據庫時，将提示以下(xià)勒索信息：

02自查方法：       在Oracle Server端檢查是否有下(xià)面幾個對象：

或使用如下(xià)查詢語句：
select 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";' fromdba_triggers where

TRIGGER_NAME like  'DBMS_%_INTERNAL%'

union all

select 'DROP PROCEDURE '||owner||'."'||a.object_name||'";' from dba_proceduresa

where a.object_name like 'DBMS_%_INTERNAL% ';

請注意：% '之間的空格。

執行上述語句後，若爲空，表示你的ORACLE數據庫是安全的，未中(zhōng)勒索病毒。
03檢查自動執行腳本：     

  檢查PLSQL DEV安裝目錄，查找afterconnect.sql和login.sql文件。

其中(zhōng)afterconnect.sql文件默認是空白(bái)， 大(dà)小(xiǎo)應是0字節，login.sql打開(kāi)後隻有一(yī)句注釋“- -Autostart Command Window script ”，如果這兩個文件裏有其他内容，應懷疑是病毒。

嚴重建議：      

針對本次Oracle數據庫的勒索問題，希望IT相關人員(yuán)能提高日常運維安全意識，做好數據安全防範工(gōng)作，數據要實時備份并且做好可用性測試。爲了不被勒索，我(wǒ)們建議如下(xià)：

1、采用正版軟件，規避未知(zhī)風險。用戶檢查數據庫工(gōng)具的使用情況，避免使用來曆不明的工(gōng)具産品。

2、用戶加強數據庫的權限管控、生(shēng)産環境和測試環境隔離(lí)，嚴格管控開(kāi)發和運維工(gōng)具。

3、定期進行信息安全風險評估。由信息安全管理責任部門定期組織信息安全風險評估，将風險評估工(gōng)作規範化、例行化。