处理办法来自Oracle 官方:
https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4
由于现将Oracle 数据库勒索病毒 RushQL 安全预警下发给各部门,我公司高度关注此次事件的预警,排查是否有涉及,做好相关工作。
预警名称 :Oracle 数据库勒索病毒 RushQL 安全预警
风险等级 :高
影响范围 :
工作人员使用破解版的 PL/SQL 套件连接过的 Oracle 数据库都有可能感染该病毒。
自查方案
如果数据库中存在以下四个存储过程和三个触发器,则说明已经感染此病毒:
存储过程
1. DBMS_SUPPORT_INTERNAL
2. DBMS_STANDARD_FUN9
3. DBMS_SYSTEM_INTERNA
4. DBMS_CORE_INTERNAL
触发器
5. DBMS_SUPPORT_INTERNAL
6. DBMS_ SYSTEM _INTERNAL
7. DBMS_ CORE _INTERNAL
处置建议 :
根据数据库所满足的不同条件,处置建议有所区别,如下:
满足条件:
(当前日期 - 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 <= 1200 天):
处置方案
1. 删除4个存储过程和3个触发器
2. 使用备份把表恢复到truncate之前
3. 使用ORACHK开头的表恢复tab$
4. 使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用)
触发器满足条件:
(当前日期 - 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天):
处置方案
1. 删除4个存储过程和3个触发器
2. 使用备份把表恢复到truncate之前
3. 使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用)
不满足以上条件的数据库直接删除四个存储过程和三个触发器
检查:
SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME LIKE '%DBMS%';
SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME IN ('DBMS_SUPPORT_INTERNAL',
'DBMS_STANDARD_FUN9',
'DBMS_SYSTEM_INTERNA',
'DBMS_CORE_INTERNAL');
SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME LIKE '%DBMS%';
SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME IN ('DBMS_SUPPORT_INTERNAL','DBMS_ SYSTEM _INTERNAL','DBMS_ CORE _INTERNAL') ;
经检查,无类似勒索病毒,如果有,具体处理方式参照官方论坛:
https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4