解决办法(操作数据库请在专业人员协助下操作!)
从技术分析知道,病毒删除数据是由存储过程DBMS_SUPPORT_INTERNAL 和 DBMS_CORE_INTERNAL来执行的,他们的执行条件分别是:
1.当前日期 – 数据库创建日期 > 1200 天
2.当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天
当以上条件不满足时,病毒不会触发删除数据的操作,此时删除以上4个存储过程和3个触发器即可。
如果前面的2个条件中任何一个满足,就会出现数据删除操作,下面给出应对措施:
1.(当前日期 – 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 <= 1200 天)
A.删除4个存储过程和3个触发器
B.使用备份把表恢复到truncate之前
C.使用ORACHK开头的表恢复tab$
D.使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用)
2.(当前日期 – 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天)
A.删除4个存储过程和3个触发器
B.使用备份把表恢复到truncate之前
C.使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用)
汉领给出的方案,通过部署汉领数据库行为防火墙,限制创建勒索病毒相关存储过程,帮助用户避免勒索病毒的威胁,具体防护策略如下: