受害者支付的赎金脚本并不总能确保MongoDB数据库安全。

一项名为Mongo Lock的攻击目标是远程访问和不受保护的MongoDB数据库，擦除它们，然后要求勒索赎金以便恢复内容。

虽然这个新的广告系列使用了一个名称来识别自己，但这些类型的攻击并不是新的，而MongoDB数据库已经被定位了一段时间。这些劫持工作是攻击者扫描互联网或使用Shodan.io等服务搜索未受保护的MongoDB服务器。连接后，攻击者可以导出数据库，删除它们，然后创建一个赎金说明，说明如何恢复数据库。

根据安全研究员Bob Diachenko 发现新的Mongo Lock活动，攻击者将连接到一个未受保护的数据库并将其删除。取而代之的是，攻击者将留下一个名为“Warning”的新数据库，其中包含一个名为“Readme”的集合。

自述文件集将包含一个赎金说明，说明数据库已加密，受害者需要支付赎金才能将其取回。在Mongo Lock活动中，如下所示，攻击者不会留下比特币地址，而是指示受害者通过电子邮件与他们联系。

Mongo Lock攻击的赎金记录如下：

Your database was encrypted by 'Mongo Lock'. if you want to decrypt your database, need to be pay us 0.1 BTC (Bitcoins), also don't delete 'Unique_KEY' and save it to safe place, without that we cannot help you. Send email to us: mongodb@8chan.co for decryption service.

其他攻击将显示应该用于付款的比特币地址，然后通过附带的电子邮件联系攻击者

{ 
  "BitCoin" : "3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH", 
  "eMail" : "dbbackups@protonmail.com", 
  "Exchange" : "https://www.coincola.com/", 
  "Solution" : "Your Database is downloaded and backed up on our secured servers. To recover your lost data: Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome!" 
}

虽然赎金票据声称攻击者在删除它之前首先导出数据库，但不知道他们是否在这种情况下这样做。

受害者正在支付赎金

在查看最近MongoDB攻击中使用的一些比特币地址时，受害者一直在支付赎金。

例如，经常使用的比特币地址3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH已经支付了3笔赎金，共计1.8比特币。这相当于比特币当前价值略高于11,000美元。

脚本并不总是有用

根据Diachenko的说法，攻击者似乎正在使用一个脚本来自动访问MongoDB数据库，可能导出它，删除数据库，然后创建勒索信息。

但是，Diachenko注意到，即使创建了勒索信息，该脚本有时也会失败并且数据仍可供用户使用。

“同样值得注意的是 - 似乎他们已经自动完成了这个过程，有时候脚本失败了，数据仍然存在，但也有一个注释”Diachenko回答道。

正确保护MongoDB数据库。

由于MongoDB数据库可远程访问且未得到适当保护，因此可以发生这些攻击。这意味着通过遵循保护数据库实例的简单的步骤，便可以轻松防止这些攻击。

MongoDB有一篇关于如何正确保护数据库的文章 ，甚至提供了一个安全检查表 供管理员遵循。防止这些类型攻击的两个最重要的步骤是启用身份验证并且不允许远程访问这些数据库。