love wife love life —Roger的Oracle/MySQL/PostgreSQL数据恢复博客

Phone:18180207355 提供专业Oracle/MySQL/PostgreSQL数据恢复、性能优化、迁移升级、紧急救援等服务

MySQL files is encrypted

本站文章除注明转载外,均为本站原创: 转载自love wife love life —Roger的Oracle/MySQL/PostgreSQL数据恢复博客

本文链接地址: MySQL files is encrypted

今日某客户的阿里云MySQL数据库被比特币勒索攻击;通过远程登陆查看发现了如下信息:

我们可以看到产生了一个Please_read_me_vvv的文件;我们进一步查看该文件的内容发现如下:

很明显这就是Hacker留下的勒索信息,要获取3个比特币之后才能获得解密内容。

进一步通过innodb recover 工具扫描了整个disk,并阅读了其中几个page文件发现,内容都被加密了。

看来这个勒索病毒大致原理是:

1、备份原表

2、加密备份表并删除原表。

这里加密使用的是MySQL内置的AES加密函数,尽管如此,但是要人工破解难度还是很大的。

因此要恢复这个case难度还是比较大;需要想办法恢复被删的innodb文件才行。

从原理上分析来看和深信服团队这篇内容基本上一致,供参考https://www.freebuf.com/articles/system/213975.html。

这类攻击主要是利用MySQL弱口令进行攻击,请大家注意!

 

 

 

 

 

 

 

 

Leave a Reply

You must be logged in to post a comment.