病毒是由“SQL RUSH Team”組織發起,因此該病毒被命名為RushQL
RushQL 病毒樣本是在數據庫工具中提取的,警示如下:
對方說明發送5個比特幣到指定賬戶,就告知解鎖方法
自檢:儘快檢查各自plsql安裝目錄下是否有AfterConnect.sql 文件,並且不為空,如果有的話,說明原來的安裝程序有問題,請儘快刪除當前版本和AfterConnect.sql文件,並重新找安全的介質進行安裝。
該樣本是一個 PL/SQL 自帶的AfterConnect.sql 自動運行腳本,此文件一般在官方 PL/SQL 軟件中是一個空文件,而該樣本提取自破解版 PL/SQL 是有實際內容的,如下圖所示:
病毒來源:使用破解版 PL/SQL 是工具,含有異常腳本的 PL/SQL 工具,該工具自帶裝成 Oracle 官方程序 AfterConnect.sql 自動運行腳本,而該樣本提取中,創建 4 個異常存儲過程和 3 個異常觸發器。然後根據特定條件開始破壞數據庫數據
解決辦法:首先刪除異常存儲過程和異常觸發器
第二步使用第三方軟件進行恢復數據或者使用備份數據
第三步檢查異常存儲過程和異常觸發器是否還存在
總結:
1.工作工具儘可能用正版
2.核心數據儘可能實時備份
分享到:
閱讀更多 聊推 的文章
