Oracle_勒索病毒解决方案
Oracle:11.2.0.1.0
OS:Windows Server 2008
问题:
数据库服务器上大多数文件被加密,包括Oracle软件目录下文件,dmp备份文件等;
数据库无法正常使用;
警告日志也是乱码的
![](http://img.blog.itpub.net/blog/attachment/201803/13/29785807_1520928532sHKs.png?x-oss-process=style/bb)
文件写明了如何申请解密器以及解密价格;
![](http://img.blog.itpub.net/blog/attachment/201803/13/29785807_15209285599tHR.png?x-oss-process=style/bb)
![](http://img.blog.itpub.net/blog/attachment/201803/13/29785807_1520928581qxAE.png?x-oss-process=style/bb)
文件内容是否被篡改还不能确定;
![](http://img.blog.itpub.net/blog/attachment/201803/13/29785807_1520928626NG12.png?x-oss-process=style/bb)
解决方案:
将所有的数据文件,控制文件,日志文件拷贝到测试服务器上,安装相同版本的数据库软件,通过现有的文件启动数据库;
启动数据库后发现居然没有丢失数据,没有出现被锁表或被清空数据的情况,看来攻击者并不十分熟悉数据库;
类似案例:
17年支持过一个湖南的项目,Oracle数据库内最大的一个用户无法连接,连接时一直卡在,后台警告日志一直报错 勒索病毒,并需要向某个邮箱发送5个比特币才能解锁;
其他用户可以正常连接,比如sys,system等;
但是数据库的日常逻辑备份居然没有被锁住,通过备份异地恢复数据,丢失了少量的数据,客户也可以接受;
总结:
数据库服务器遭受勒索病毒时,需要检查哪些文件受到影响;
(1)如果数据文件被加密或数据库重要的表被删除,检查是否有最近的异地备份;
有最近的异地备份或者本地备份没有被加密,可以直接恢复数据库;
(2)如果只有本地备份文件,而且已被加密,检查数据库的三大文件是否被加密,如果没有被加密,异机通过现有的文件直接启动数据库就可以;
(3)如果数据文件,备份文件全被加密,数据库里重要的表也被删除,可以尝试使用DUL或ODU等工具恢复数据(目前本人还没有在正式环境测试过),或者联系甲骨文或第三方专门做恢复的公司请求支持;
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/29785807/viewspace-2151812/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/29785807/viewspace-2151812/