近期有大量勒索加密病毒造成ORACLE数据库损坏的案例,常见的有 Hephaestus666和Aphrodite666 以及 {Killserver@protonmail.com}KSR 和 完全无意义文件名的qxlozcf :
λ ls -ltr -rw-r--r-- 1 st 197121 10737427200 7月 19 05:39 MAILBOX01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 5368718080 7月 19 05:39 SF_HISTORY01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 5368718080 7月 19 05:39 SF_MBP01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 32212263680 7月 19 05:39 SYSTEM01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 5368718080 7月 19 05:39 USERS01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 32212263680 7月 19 05:39 USR01.DBF.Hephaestus666 λ ls -ltr total 27626584 -rw-r--r-- 1 st 197121 9017762736 7月 25 07:04 'MHSOFT.DBF.{Killserver@protonmail.com}KSR' -rw-r--r-- 1 st 197121 15544099760 7月 25 07:04 'MHSOFT02.DBF.{Killserver@protonmail.com}KSR' -rw-r--r-- 1 st 197121 104866736 7月 25 07:04 'MHTEMP.DBF.{Killserver@protonmail.com}KSR' -rw-r--r-- 1 st 197121 1468015536 7月 25 07:04 'STRNEWEMR.DBF.{Killserver@protonmail.com}KSR' -rw-r--r-- 1 st 197121 1310729136 7月 25 07:04 'SYSAUX01.DBF.{Killserver@protonmail.com}KSR' -rw-r--r-- 1 st 197121 838869936 7月 25 07:04 'SYSTEM01.DBF.{Killserver@protonmail.com}KSR' -rw-r--r-- 1 st 197121 5252016 7月 25 07:04 'USERS01.DBF.{Killserver@protonmail.com}KSR' λ ls -l *666 -rw-r--r-- 1 st 197121 73409280 8月 1 05:32 GAA8220120228_T.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:33 GADATA0004_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:33 GADATA0004_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:34 GADATA0006_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:34 GADATA0006_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:35 GADATA0008_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:35 GADATA0008_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 352330496 8月 1 05:36 GADATA0010_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:37 GADATA0010_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:38 GADATA0012_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:39 GADATA0012_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:40 GADATA0014_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:41 GADATA0014_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:42 GADATA0016_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:42 GADATA0016_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:43 GADATA0018_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:43 GADATA0018_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:44 GADATA0020_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:45 GADATA0020_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:46 GADATA0025_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:46 GADATA0025_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:47 GADATA0027_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:48 GADATA0027_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:48 GADATA0028_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:49 GADATA0028_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:50 GADATA0030_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:51 GADATA0030_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:51 GADATA0032_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:52 GADATA0032_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:53 GADATA0034_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:54 GADATA0034_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:55 GADATA0036_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:55 GADATA0036_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:56 GADATA0038_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:57 GADATA0038_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:58 GADATA0040_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:58 GADATA0040_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:59 GADATA0044_I.DAT.Aphrodite666 λ ls -ltr total 17428672 -rw-r--r-- 1 st 197121 1069556252 12月 29 2018 SYSTEM01.DBF.qxlozcf -rw-r--r-- 1 st 197121 15728648732 12月 29 2018 APF_MES_YW_DATA.DBF.qxlozcf -rw-r--r-- 1 st 197121 1048584732 12月 29 2018 APF_MES_YW_DATA_MM.DBF.qxlozcf
以上这些加密类病毒破坏的Oracle数据文件均可以通过PRM DUL 软件恢复其中的数据,
为什么可以恢复这些被加密的ORACLE数据库数据文件?
因为这些文件一般比较大,超过300MB。导致恶意加密软件要加密它们时要花费大量时间和CPU,因此这些勒索软件一般仅部分加密其内容。
通过PRM-DUL的强大功能,可以恢复出其中绝大部分未被加密的内容。
PRM DUL download: https://zcdn.parnassusdata.com/DUL5108.zip
恢复流程较为复杂,可以参考如下视频:
Comment