近日，国内发生多起针对Oracle 数据库的勒索病毒案例，尤其是在医疗、教育和金融等行业，不少Oracle数据库遭受勒索病毒攻击。

一、勒索病毒详细信息

勒索代码捆绑在“PL/SQLDeveloper***版”软件，其中一个文件Afterconnet.sql被黑客注入了病毒代码。一旦拥有DBA权限的用户使用捆绑有病毒的“PL/SQLDeveloper***版”连接Oracle数据库，就会立即执行“Afterconnet.sql”中的代码，在用户的数据库中创建多个存储过程和触发器。

此病毒具有隐蔽性，只有当数据库创建时间超过1200天才会爆发。病毒程序将判断数据库创建时间是否大于1200天，如果大于等于1200天，重启数据库后会触发病毒触发器，加密并删除sys.tab$，导致用户无法访问数据库中所有的数据库对象集合（schema）， 出现“你的数据库已经被SQL RUSH Team锁死，请发送5个比特币到xxxxxxxxxxx地址，….”等信息，并设置定时任务，如果在期限内不交赎金，就删除所有的表。具体提示信息如下 

由于该SQL RUSH Team的勒索病毒具有极强的破坏性和高隐蔽性，对使用Oracle数据库的用户危害较大。

二、自查方法

（1）在Oracle Server端检查是否有下面几个对象 

或使用如下查询语句：

请注意：% '之间的空格。

执行上述语句后，若为空，表示你的ORACLE数据库是安全的，未中勒索病毒。

（2）检查PLSQL DEV安装目录，查找afterconnect.sql和login.sql文件。其中afterconnect.sql文件默认是空白， 大小应是0字节，login.sql打开后只有一句注释“- -Autostart Command Window script ”，如果这两个文件里有其他内容，应怀疑是病毒。

（3）若自查发现疑似勒索病毒，请立即上报运维主管部门，并告知信息安全部，联系电话：85068088，邮箱：liuqiuchen@cctv.com。

三、应对建议

为避免我台使用Oracle数据库的系统受此次勒索病毒影响，建议各系统提高日常运维安全意识，做好数据安全防范工作，具体建议如下：

1、该勒索攻击是由于用户下载使用未知来源软件造成，建议用户检查数据库工具的使用情况，避免使用来历不明的工具，更不要使用***类的软件。

2、数据库在执行存储过程时，一定要先确认存储过程的内容正确。把常用的存储过程做备份，在运行存储过程前检查这些存储过程最后修改时间，避免运行未知存储过程。

3、按照《中央电视台信息系统安全基线管理规范》做好数据库安全基线配置。

4、运维终端应专机专用，不允许连接互联网，应安装台内统一防病毒软件、及时更新病毒库、定期进行全盘病毒查杀。

5、加强数据库的权限管控、生产环境和测试环境隔离，严格管控开发和运维工具；定期进行数据备份，确保数据可用性。

以上情况，特此通知。

2018年11月20日