校园网用户:

近期，安全厂商监测发现国内出现了针对MySQL数据库的勒索攻击行为，截至目前已监测到的攻击行为主要体现为对数据库进行篡改与窃取,国内已发生大型企业与普通用户中招案例。为防止攻击，保护好核心数据资产，网络信息管理中心已在校园网边界全局关闭3306端口（校外用户可通过VPN访问连接）。

一、病毒简介

此次勒索攻击行为，与以往相差较大，表现为不在操作系统层面加密任何文件，而是直接登录MySQL数据库，在数据库应用里面执行加密动作。加密行为主要有，遍历数据库所有的表，加密表每一条记录的所有字段，每张表会被追加_encrypt后缀，并且对应表会创建对应的勒索信息。

在新增表里面，黑客留下了message字段，为勒索信息；btc字段，为黑客比特币钱包地址；site字段，为黑客预留暗网信息网站，图1是暗网预留网页，显示这是一个提醒中招用户交赎金的页面。

图1

二、漏洞影响范围

目前来看，此次攻击行为相比其他MySQL攻击更近泛化，涉及大型企业和普通用户，已在Linux服务器上和Windows服务器上发现MySQL数据库被加密的案例。

三、解决方案

1、使用MySQL用户应对3306端口限定特定IP开放；

2、开启MySQL登录审计日志，尽量关闭不用的高危端口；

3、建议MySQL数据库服务器前置堡垒机，保障安全，且审计和管控登录行为；

4、截止目前，已感染用户以暴露在公网MySQL账号密码被窃取为主，在此提醒广大数据库管理员，每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构，口令位数在12位以上，切勿为了运维方便，牺牲数据安全。

参考链接：https://www.freebuf.com/articles/system/213975.html

针对Windows用户，深信服发布了免费查杀工具。

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

网络信息管理中心

2019年9月19日