Как удалить Mac вымогателей

В связи со вспышкой WannaCry, которая наносит вред мировым компьютерам в мае 2017 года, и атакой вредоносного ПО Petya в конце июня 2017 года, пользователи Mac могут задаться вопросом, что они могут сделать, чтобы защитить себя от вымогателей, и как исправить ситуацию, если они пострадают. Вот все, что вам нужно знать об обнаружении, предотвращении и удалении вымогателей на Mac.

Это одна из нескольких подробных статей о Macworld, посвященных безопасности Mac. Если вам нужен совет по покупке AV, ознакомьтесь с нашим обзором «Лучший антивирус Mac» и узнайте, получают ли компьютеры Mac вирусы ?; общие советы можно найти в наших советах по безопасности Mac; и те, кто был поражен вирусом, должны попробовать Как удалить вирусы Mac.

Что такое вымогатель?

Ransomware — это тип атаки вредоносного ПО, когда ваши личные файлы шифруются против ваших пожеланий, прежде чем «требование выкупа» скажет вам заплатить плату, если вы хотите снова расшифровать файлы.

Хотя на момент написания статьи не было серьезной вспышки вымогателей на Mac (или на любом оборудовании Apple), исследователи безопасности считают, что это реальная возможность. Например, исследователи в области безопасности обнаружили в Windows Ransomware строки кода для Mac, что указывает на то, что злоумышленники, по крайней мере, рассматривают такую ​​возможность.

Говоря о программе CNBC «Squawk Box» после знаменитой атаки на вымогателей WannaCry, Александр Ямпольский, генеральный директор SecurityScorecard, настаивал на том, что пользователи Apple уязвимы для атак типа WannaCry, даже если это конкретное событие затрагивало только системы Windows.

«Бывает, что эта атака нацелена на компьютеры Windows», — сказал он. «Но Apple абсолютно уязвима для подобных типов атак».

Помогите! Мой Mac был заражен вымогателями!

Очень хорошо: давайте предположим, что вы были заражены. Что вы должны сделать?

Не паникуйте

Не торопитесь и избегайте коленных реакций.

Убирать

Используйте сканер вредоносных программ, например бесплатный антивирусный сканер Bitdefender, для поиска и удаления вымогателей.

Маловероятно, что вы будете единственным человеком, пострадавшим от вымогателей, поэтому следите за сайтами, такими как Macworld, чтобы узнать больше о природе заражения вымогателями. Скорее всего, вы найдете конкретные инструкции о том, как вылечить инфекцию, если вирусный сканер не сможет это сделать.

Вы можете обнаружить, что исследователь безопасности нашел способ расшифровки ваших файлов бесплатно, что произошло с последним примером из нескольких вымогателей, которые были обнаружены на Mac.

Не плати

Как вы увидите позже, когда мы рассмотрим несколько существующих вспышек вымогателей, затрагивающих Mac, есть большая вероятность, что оплата фактически не восстановит ваши файлы!

Отключите и отключите хранилище

Один из примеров эффективного вымогателя, замеченного на Mac до сих пор, — KeRanger — также пытался зашифровать резервные копии Time Machine, чтобы лишить пользователя возможности просто восстанавливать файлы из резервной копии.

Поэтому, обнаружив, что ваш Mac заражен вымогателями, вы должны минимизировать вероятность того, что резервные копии тоже будут зашифрованы, немедленно отключив любое съемное хранилище, например внешние жесткие диски, и отключившись от любых сетевых папок, щелкнув значок извлечения рядом с их записями на боковой панели Finder.

Маки подвержены влиянию WannaCry?

Проще говоря, нет. WannaCry использует ошибку в сетевой системе обмена файлами Microsoft Windows, технологии под названием SMB. Как только WannaCry попадает на один компьютер в сети — обычно из-за того, что человек открыл мошенническое вложение электронной почты — он использует ошибку в SMB, чтобы внедрить себя во все другие компьютеры в сети, которые не были исправлены.

Компьютеры Mac также используют SMB в качестве технологии обмена файлами по умолчанию, так что вы можете подумать, что компьютеры Mac тоже могут быть затронуты. Тем не менее, Apple использует собственную реализацию SMB. Хотя он полностью совместим с версией Microsoft, он не страдает от тех же ошибок или дыр в безопасности, поэтому не подвержен влиянию WannaCry — или, по крайней мере, не в текущей версии WannaCry.

IPhone, iPad, Apple TV и даже Apple Watch не используют общий доступ к файлам SMB, поэтому даже теоретически не подвержены риску со стороны WannaCry.

Что такое Петя и Маки затронуты?

Петя — еще одна атака Ransomware, похожая на WannaCry, которая поразила компьютеры в Европе и США в конце июня 2017 года.

Петя ударил по нескольким крупным фирмам, и, как и ранняя атака WannaCry на вымогателей, которая затронула NHS в Великобритании, она быстро распространилась на компьютеры Windows в той же сети.

Компьютеры заражены из-за уязвимости в Windows, для которой Microsoft выпустила патч.

Большинство антивирусных компаний обновили свое программное обеспечение для защиты от Пети.

Petya Ransomware требует, чтобы $ 300 в биткойнах были выплачены в качестве выкупа, чтобы восстановить доступ к компьютеру. Однако преступники считаются любителями, поскольку в выкупной записке указан один и тот же биткойн-адрес для каждой жертвы, а для переписки предоставляется только один адрес электронной почты, который, конечно, уже закрыт.

Атака, возможно, была направлена ​​против украинского правительства, а не как средство зарабатывания денег.

Как защитить мой Mac от вымогателей?

Есть несколько вещей, которые вы можете сделать, чтобы защитить свой Mac от вымогателей:

Установить RansomГде?

Рассмотрите возможность установки RansomWhere? приложение. Это бесплатное приложение работает в фоновом режиме и отслеживает любые действия, которые напоминают безудержное шифрование файлов, например, которое происходит во время атаки вымогателей. Затем он останавливает процесс и сообщает вам, что происходит. Итак, некоторые из ваших файлов могут быть зашифрованы, но, надеюсь, не очень много.

Основная защита от фишинга

Как и во многих примерах вымогателей и вредоносных программ, WannaCry изначально заражает компьютерные сети посредством фишинг-атаки. Никогда не открывайте вложение электронной почты, которое вы не ожидали, даже если оно кажется полученным от кого-то, кого вы знаете, и не важно, насколько важным, интересным или непристойным оно кажется.

Не используйте хитрое программное обеспечение

Самые последние Mac Ransomware пытается распространяться через «взломанные» или патчер-приложения, разработанные, чтобы позволить вам использовать коммерческое программное обеспечение бесплатно. Поэтому избегайте всякого хитрого программного обеспечения, как это.

Всегда убедитесь, что ваша система и приложения обновлены

На Mac вы можете настроить автоматическое обновление, открыв приложение «Системные настройки», которое вы найдете в списке «Приложения» Finder, и выбрав значок App Store. Затем поставьте галочку рядом с Автоматически проверять наличие обновлений и поставьте галочку во всех полях непосредственно под этим заголовком.

Установить только с официальных сайтов

Например, если вы внезапно видите всплывающее окно, в котором говорится, что один из ваших плагинов для браузера устарел, обновляйте его только с официальной веб-страницы этого плагина, например с веб-сайта Adobe, если это плагин Flash. Никогда не доверяйте ссылке, указанной во всплывающем окне! Хакеры часто используют такие всплывающие окна и поддельные веб-сайты для распространения вымогателей и других вредоносных программ.

Резервное копирование часто

Если у вас есть резервная копия ваших файлов, то если вымогатель сработает, это будет иметь меньшее значение, потому что вы можете просто восстановить. Однако во время эпидемии вымогателей KeRanger также была предпринята попытка зашифровать резервные копии Time Machine, поэтому вы можете вместо этого использовать стороннее приложение, например Carbon Copy Cloner, для резервного копирования файлов. Подробнее: Как сделать резервную копию Mac

Как защитить мой iPhone или iPad от вымогателей?

Устройства iOS, такие как iPhone и iPad, были созданы с нуля, чтобы быть намного более безопасными, чем Mac, и было бы крайне сложно вытащить настоящее вымогательство через какую-то вредоносную инфекцию. До сих пор не было примеров, по крайней мере, на устройствах iOS, которые не были взломаны.

Тем не менее, айфоны, айпады и даже компьютеры Mac подвержены угону iCloud — типу выкупа, при котором хакер повторно использует пароли, обнаруженные в результате одного из многочисленных крупномасштабных нарушений безопасности, для входа в систему и получения контроля над учетной записью iCloud пользователя. Затем они меняют пароль и используют службу «Найти мой iPhone» для удаленной блокировки устройства iOS или Mac, отправляя пользователю запросы на выкуп для восстановления контроля.

Часто они угрожают удаленным стиранием устройства или Mac в дополнение к этому. Первой такой атакой такого рода была атака Олега Плисса еще в 2014 году.

Перехват iCloud легко предотвратить, установив двухфакторную аутентификацию, и вы должны сделать это сейчас!

Тем не менее, независимо от того, возможна ли фактическая вымогательская инфекция, имеет смысл обеспечить полное обновление вашего iPhone или iPad (см. «Как обновить iOS на iPhone или iPad»), чтобы обеспечить наилучшую защиту от любой потенциальной угрозы. Когда новое обновление iOS станет доступным, рядом с приложением «Настройки» появится уведомление, и вы сможете обновить его, открыв «Настройки», затем нажав «Основные»> «Обновление программного обеспечения». (Обратите внимание, что на iOS нет возможности настроить автоматическое обновление системы.)

Любое приложение, которое утверждает, что обеспечивает антивирусное сканирование для устройств iOS, в лучшем случае может быть сомнительным, поскольку все приложения iOS находятся в изолированной среде, поэтому не могут сканировать систему или другие приложения на наличие вредоносных программ.

Были ли когда-либо Mac вымогателей?

За исключением описанного ниже мошенничества на веб-странице ФБР, которое является скорее раздражением, чем серьезной угрозой, несколько примеров вымогателей Mac, выявленных исследователями безопасности на сегодняшний день, не привели к серьезным вспышкам, и лишь немногие, если какие-либо компьютеры Mac были затронуты. Тем не менее, список делает интересное чтение, чтобы узнать, как может распространиться будущая вспышка вымогателей и как она может работать.

Афера ФБР (июль 2013)

Уже более десяти лет вымогатели на веб-сайтах пытаются вымогать деньги у доверчивых пользователей Windows, «привязывая» веб-браузер к предполагаемому веб-сайту правоохранительных органов. Однако это всегда был просто дым и зеркала, которые можно было легко преодолеть.

Но в июле 2013 года исследователи безопасности обнаружили похожую аферу, специально предназначенную для браузера Mac Safari. Пользователь был заблокирован на фальшивой веб-странице «ФБР» через диалоговое окно, которое не позволяло им покинуть сайт, и потребовался штраф в размере $ 300, чтобы разблокировать систему.

Выход из браузера был сделан невозможным. Если пользователь принудительно завершил Safari, страница-вымогатель просто перезагрузилась при следующем запуске Safari.

С тех пор Apple установила Safari как на Mac, так и на iPhone / iPad, чтобы таким программам на базе браузера было проще работать. Тем не менее, вы можете столкнуться с менее опасными примерами.

Как убрать аферу ФБР и ее вариации

Принудительно завершите Safari, щелкнув правой кнопкой мыши по значку Dock, удерживая нажатой клавишу «Alt» («Опция» на некоторых клавиатурах) и выбрав пункт меню «Принудительно выйти». Затем запустите Safari, удерживая клавишу Shift. Это остановит Safari, загрузив последнюю открытую страницу, что ускользает от назойливой петли перезагрузки вымогателей.

FileCoder (июнь 2014)

Исследователи безопасности нашли и идентифицировали FileCoder через веб-сайт Virus Total для сканирования вирусов, хотя к этому моменту FileCoder был уже старым и впервые был обнаружен сканером вредоносных программ сайта двумя годами ранее.

FileCoder, специально предназначенный для OS X / macOS, является незаконченным и не представляет угрозы, поскольку фактически не шифрует данные пользователя. Он отображает окно приложения, требующее выкуп в размере 30 евро (довольно дерзко, но со скидкой до 20 евро, если вместо PayPal или Western Union используется кредитная карта).

Неизвестно, откуда появился FileCoder или как он должен был распространяться.

Как очистить FileCoder

Поскольку FileCoder был обнаружен только один раз в дикой природе, у нас почти нет информации о том, как он работает и, следовательно, как его очистить. Однако из-за этого его не следует считать активной угрозой.

Суслик (сентябрь 2015 г.) и Мабуйя (ноябрь 2015 г.)

Два исследователя безопасности, работая независимо, отдельно создают Gopher и Mabouia, два примера вымогателей, специально предназначенных для Mac. Тем не менее, оба они являются только демонстрацией концепции, предназначенной для того, чтобы показать, что полноценный вымогатель на Mac вполне возможен.

Помимо копий, переданных исследователям безопасности для их изучения, ни один из них не оставляет компьютеров исследователей, поэтому не может распространяться.

Как убрать суслика или Мабуйю

Поскольку оба являются просто доказательством концепции и никогда не были развернуты в условиях дикой природы, невозможно сказать, каким образом можно было бы вылечить какие-либо инфекции-вымогатели, создавшие Gopher или Mabouia.

KeRanger (март 2016 г.)

Исследователи безопасности находят и идентифицируют вымогателей KeRanger в авторизованном обновлении для клиента Transmission BitTorrent. Первый реальный пример Mac Ransomware, на этот раз создатели Ransomware явно предприняли попытку создать реальную угрозу.

KeRanger подписан авторизованным сертификатом безопасности, поэтому не блокируется, например, системой безопасности macOS Gatekeeper. KeRanger шифрует файлы, а затем оставляет файл README_FOR_DECRYPT.txt в каталоге, в котором запрашивается выкуп (одна биткойна; около 1338,62 фунтов стерлингов на момент написания в мае 2017 года).

Тем не менее, благодаря быстрым действиям со стороны исследователей, а также Apple, которая немедленно аннулирует сертификат безопасности, KeRanger останавливается, прежде чем он станет серьезной угрозой. Если бы оба агентства не были такими быстрыми, но это могла бы быть совсем другая история.

Как почистить KeRanger

Мы понимаем, что вы не сможете расшифровать файлы. Однако, если вы беспокоитесь о том, что вымогатель KeRanger мог заразить ваш Mac, вот как исследователи в области безопасности, которые его идентифицировали — Пало-Альто, — предлагают вам вылечить его:

1. Используя Терминал или Искатель, проверьте, существуют ли /Applications/Transmission.app/Contents/Resources/ General.rtf или /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf. Если какой-либо из них существует, приложение Transmission заражено, и мы предлагаем удалить эту версию Transmission.

2. Используя «Activity Monitor», предустановленный в OS X, проверьте, запущен ли какой-либо процесс с именем «kernel_service». Если это так, дважды проверьте процесс, выберите «Открыть файлы и порты» и проверьте, существует ли имя файла, например «/ Users // Library / kernel_service». Если это так, этот процесс является основным процессом KeRanger. Мы предлагаем прекратить его с помощью Quit> Force Quit.

3. После этих шагов мы также рекомендуем пользователям проверить, существуют ли файлы .kernel_pid, .kernel_time, .kernel_complete или kernel_service в каталоге ~ / Library. Если это так, вы должны удалить их.

Filezip (февраль 2017 г.)

Исследователи безопасности находят и идентифицируют вымогателей Filezip, маскирующихся под «патчерные» приложения, которые можно загружать с пиратских сайтов. Приложения Patcher предназначены для незаконной модификации популярных коммерческих программ, таких как Adobe Photoshop или Microsoft Office, чтобы их можно было использовать без покупки и / или лицензионного кода.

Когда пользователь пытается использовать приложение-патчер, Filezip вместо этого шифрует файлы пользователя и затем помещает файл «README! .Txt», «DECRYPT.txt» или «HOW_TO_DECRYPT.txt» в каждую папку со списком требований выкупа (0.25 BitCoin; около £ 335 на момент написания статьи в мае 2017 года). Примечательно, что, как и многие другие примеры вымогателей на базе Windows, Filezip не может дешифровать какие-либо файлы, поэтому платить выкуп бессмысленно.

Как очистить Filezip

Просто удалите файл патчера с вашего жесткого диска. С тех пор охранная фирма Malwarebytes обнаружила, как дешифровать любые затронутые файлы, затронутые Filezip, бесплатно, хотя этот процесс немного сложен.

Должен ли я запускать приложение для защиты от вредоносных программ все время?

Это может удивить вас, но Mac уже имеет встроенную защиту от вредоносных программ, любезно предоставленную Apple.

XProtect работает незаметно в фоновом режиме и сканирует любые файлы, которые вы загружаете, как часть стандартного процесса карантина файлов. Apple регулярно обновляет XProtect, добавляя новые определения вредоносных программ, и вы можете увидеть частоту обновлений, выполнив следующие действия:

1. Откройте приложение «Информация о системе», нажав «Apple»> «Об этом Mac», затем нажмите кнопку «Отчет о системе».
2. Выберите заголовок программного обеспечения в списке слева, а затем заголовок «Установки» под ним.
3. Щелкните заголовок столбца «Дата установки», чтобы отсортировать список по самым последним и найти записи, которые читают XProtectPlistConfigData.

С помощью XProtect Apple смогла победить KeRanger, пожалуй, самую серьезную угрозу для вымогателей на базе Mac, до того, как она смогла стать эндемичной. Кроме того, в XProtect была добавлена ​​последняя версия Mac-вымогателей, Filezip.

В сочетании с другими встроенными средствами защиты, такими как карантин файлов и Gatekeeper, которые мешают пользователю безболезненно запускать приложения или открывать документы, которые они загружают со странных веб-сайтов, Mac лучше защищен от вымогателей, чем вы думаете.

Тем не менее, время от времени запускать антивирусный сканер по требованию, такой как Bitdefender Virus Scanner, безусловно, не вредно, даже если это может привести к множеству ложных срабатываний в виде вирусов Windows в таких вещах, как почтовые вложения. Вирусы Windows безвредны для пользователей Mac. Читайте о лучших антивирусах Mac здесь.