Oracle RushQL勒索病毒恢复方法

在上期《勒索病毒Globelmposter来袭,数据备份你做好了吗》中,我们介绍了Globelmposter勒索病毒,以SMB、RDP协议漏洞为突破口,加密篡改用户文件,从而达到勒索的目的,其感染目标并不局限特定的应用。

本次我们再来介绍另一种专门针对数据库的勒索病毒 -- RushQL。相比Globelmposter,RushQL专门针对数据库设计、并且具备一定潜伏期和隐蔽性,危害极大。

该病毒最早被发现是捆绑在被感染的绿色版/破解版PS/SQL安装程序上,一旦用户使用此类破解版软件连接到数据库,会立即执行“Afterconnet.sql”中的代码(此文件一般在官方PL/SQL软件中是一个空文件),在数据库中创建多个存储过程和触发器。

RushQL感染后并不会立即造成数据损坏,具备一定时间的潜伏期,它会首先判断数据库创建时间是否大于1200天(比较狠,专挑运行较长时间的数据库下手)。如果大于1200天,则重启数据库后触发病毒触发器,加密并删除sys.tab$,导致用户无法访问数据库中所有的数据库对象集合(schema),提示“你的数据库已经被SQL RUSH Team锁死,请发送5个比特币

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值