Oracle RushQL勒索病毒恢复方法

在上期 《勒索病毒Globelmposter来袭，数据备份你做好了吗》 中，我们介绍了Globelmposter勒索病毒，以SMB、RDP协议漏洞为突破口，加密篡改用户文件，从而达到勒索的目的，其感染目标并不局限特定的应用。

本次我们再来介绍另一种专门针对数据库的勒索病毒 -- RushQL。相比Globelmposter，RushQL专门针对数据库设计、并且具备一定潜伏期和隐蔽性，危害极大。

该病毒最早被发现是捆绑在被感染的绿色版/破解版PS/SQL安装程序上，一旦用户使用此类破解版软件连接到数据库，会立即执行“Afterconnet.sql”中的代码（此文件一般在官方PL/SQL软件中是一个空文件），在数据库中创建多个存储过程和触发器。

RushQL感染后并不会立即造成数据损坏，具备一定时间的潜伏期，它会首先判断数据库创建时间是否大于1200天（比较狠，专挑运行较长时间的数据库下手）。如果大于1200天，则重启数据库后触发病毒触发器，加密并删除 sys.tab$ ，导致用户无法访问数据库中所有的数据库对象集合（schema），提示“你的数据库已经被SQL RUSH Team锁死，请发送5个比特币到这个地址……”的勒索信息（也有变种会要求以太币等），并设置定时任务，如果在期限内不交赎金，就删除所有的表

RushQL包含多个存储过程和触发器，选取其中一个PROCEDURE DBMS_SUPPORT_INTERNAL来看主要的操作为：

1. 创建并备份`sys.tab$`表的数据到表 `ORACHK || SUBSTR(SYS_GUID,10)`；
2. 删除`sys.tab$`中的数据，条件是所有表的创建者ID 在（0,38）范围（针对核心表）；
3. 在你的alert日志中写上2046次勒索信息，并触发异常告警

从存储过程的内容可知，相比Globelmposter，RushQL更难防范。其行为从数据库角度看来都是再正常不过的操作（update、truncate等），因此现有所有备份手段几乎都会失效，例如Dataguard可以防护文件类感染，但遇到RushQL仍会将错误的数据进行同步；定时备份能起到一定恢复作用，但无法保证数据没有丢失等。

若是被感染且尚未满足条件发作，则处理方式很简单，只要删除4个存储过程及3个触发器、不再使用带病毒的破解/绿色软件即可：

存储过程 DBMS_SUPPORT_INTERNAL
存储过程 DBMS_STANDARD_FUN9
存储过程 DBMS_SYSTEM_INTERNA
存储过程 DBMS_CORE_INTERNAL
触发器 DBMS_SUPPORT_INTERNAL
触发器 DBMS_SYSTEM_INTERNAL
触发器 DBMS_CORE_INTERNAL

如果病毒已经生效，数据库处于被锁定状态，则需：

1. 删除4个存储过程和3个触发器
2. 检查相关登录工具的自动化脚本，清理有风险的脚本
3. 使用备份将表恢复到truncate之前，视严重程度可能要用到DUL工具
（不一定能恢复所有的表，例如truncate的空间已被使用）

由于truncate的空间有可能被再次使用，大概率会有部分数据无法恢复。但是，如果之前已经部署过QPlus-DP 数据库备份云一体机，则恢复过程十分简单，可以使用“秒级恢复”功能创建病毒发作前1秒（或指定SCN号）的历史数据库，实现无数据丢失找回被truncate的表，如图：

经过几分钟的等待，使用新创建的数据库环境、确认需要恢复的表之后再导回至生产库即可。