不用发送比特币，安华让你的数据库免受勒索（一）

背景

数据勒索这一黑客技术在2013年开始爆发，无数用户深受其害，勒索软件将用户的数据文件进行加密，如果不缴纳赎金这些文件将无法使用。然而，一波未平，一波又起。勒索软件已经将魔掌伸向了数据库。

近日，诸多企业DBA发现他们所管理的Oracle数据库无法访问，并且在报错页面上提示着“您的数据库已经被锁定，如需恢复请发送5个比特币到指定账户”。从提示中，我们可以很清晰的看出，这并不是数据库发生的常规故障，而是被专业黑客将数据库锁定了！

安华金和针对本次数据库勒索事件进行了全面分析，将整个勒索的过程进行了还原，我们发现整个勒索过程分为以下几个步骤：

1、风险散播

整个勒索过程的源头是黑客组织向互联网各大技术论坛投放了经过“改动”的PL SQL Developer软件程序，该程序是做Oracle运维必备的客户端工具，只要安装了该经“改动”版本的PL SQL Developer程序，那么就预示着你已经成为了被索的对象。

2、风险潜伏

经过“改动”的PL SQL Developer软件程序内置一些恶意的脚本，这些恶意代码不会马上爆发，而是一直潜伏在数据库运维人员的终端环境中。这些恶意代码会判断当前受感染的数据库实例从创建时间那天到现在是否大于1200天，如果不满足则一直潜伏，如果满足则执行勒索代码。（时间越长，数据就越多，用户就越心切）

3、风险爆发

勒索爆发后，会根据当前一系列条件判断采用哪种攻击方式，一种是将tab$表内容清空，一种是将USER表内容清空，而结果都是一样的，数据库无法正常连接了！

解决思路

通过上述分析，我们可以得出结论，即：受感染的PL SQL Developer向数据库发起数据清除指令，从而导致数据库无法正常连接。

通过互联网搜索此类攻击行为如何解决，给出的答案基本都是采用官方的PL SQL Developer程序进行运维，但我们非常清楚，这种情况我们是无法规避的，那么如何从技术角度有效的将这类问题规避呢？

安华金和认为要解决这类数据库勒索行为，在解决眼下问题的同时，还需通过技术手段防止勒索事件的再次袭击，所以应该分两步走：风险铲除和防御布局。