Mac用家小心! 爆發大型「勒索病毒」(附解救辦法)

撰文:區慶威
出版:更新:

很多人一直有一個錯誤的理解,以為Mac電腦比傳統Windows較「難」受到病毒感染,其實這只是一個美麗的誤會。這幾天Mac平台就爆發有史以來最大規模的「勒索病毒」感染,究竟事件是怎樣發生,以下就為大家解釋一下。

大量Mac機受到「勒索病毒」感染,需要繳付贖金才可以取回被加密的檔案控制。(Getty Images)

以往因為較少用戶使用Mac電腦的關係,針對Mac平台而開發的惡意程式數量亦較少,所以才令不少朋友有「Mac機較難受感染」的誤會。不過隨着近年平台愈來愈普及,針對Mac的惡意程式亦愈來愈普遍;雖然Mac平台本身有App Store把關,但若果用戶自己繞過App Store安裝軟件,始終得承受一定風險。近日頗多Mac用戶安裝的BitTorrent軟件Transmission,官方網站的更新軟件版本2.90竟然受到惡意程式感染,令到為數不少的Mac用戶中招。

避免從App Store以外的途徑安裝軟件,是避免Mac機中毒的有效方法。(電腦截圖)

網絡安全公司Palo Alto Networks發現有關攻擊,並將惡意程式取名為「KeRanger」。由於KeRanger簽署了一個有效的Mac應用程式開發證書,可以繞過蘋果GateKeeper防護(會驗證已簽署開發者證書軟件及攔截已知惡意軟件)。KeRanger會將Mac電腦某些文檔和資料夾加密,甚至加密Time Capsule‎中的備份檔案,並向受害者發訊,要求支付一個比特幣(Bitcoin、約港幣$3,107)以贖回文件。

自救解決辦法

現時,Transmission及Apple都已經更新,封鎖了有關漏洞。不過,若果電腦已經或已懷疑感染KeRanger,可以試試以下做法。

利用Activity Monitor功能,檢查是否有一個名為「kernel_service」的程式在運行。(Palo Alto Networks)

1. 使用Terminal 或者Finder,檢查/Applications/Transmission.app/Contents/Resources/路徑下或 /Volumes/Transmission/Transmission.app/Contents/Resources/是否有檔General.rtf存在。如果有,則表明Transmission應用已被感染,建議將該版本Transmission刪除。

2. 借助預先安裝在OS X的 Activity Monitor 功能,檢查是否有一個名為「kernel_service」的程式在運行。如果是,再次檢查該程式,選擇「Open Files and Ports」 檢查是否有這樣一個檔案名 「/Users/<username>/Library/kernel_service」。如果有,那麼這個程式就是KeRanger的主程式,建議點擊 「Quit -> Force Quit」來終止這個程式。

3. 經過以上檢查後,建議使用者檢查一下,在路徑~/Library directory中是否有檔案名為「.kernel_pid」,「.kernel_time」, 「.kernel_complete」 和 「kernel_service」的檔存在,如果有,請刪除。

另外,由於Apple已經撤銷了KeRanger簽署的開發證書,並且更新了XProtect 簽名,用戶若試圖打開一個受感染的Transmission,OS X就會出現警告框上,請按照「Transmission檔無法打開,請彈出此硬碟映像」的警告指示操作,避免受感染。