Mac 会感染勒索软件吗？如何阻止勒索软件攻击

您可能听说过 WannaCry，2017 年 5 月使 NHS 计算机瘫痪的勒索软件，以及 2017 年 6 月底发生的 Petya 勒索软件攻击。这些引人注目的案例已经有一段时间了，这些案例只对 PC 用户构成威胁，但您可能想知道，作为 Mac 用户，您是否应该采取任何措施来保护自己免受此类威胁，以及如果您受到勒索软件的攻击如何解决问题。

以下是您需要了解的有关在 Mac 上检测、避免和删除勒索软件的所有信息。

什么是勒索软件？

在查看 Mac 上的勒索软件案例之前，我们将解释一下勒索软件到底是什么。这是一种恶意软件攻击，您的文件会根据您的意愿进行加密，如果您想再次解密文件，赎金要求会告诉您支付费用。

如上所述，勒索软件是 Windows 用户关注的问题，WannaCry 和 Petya 是该平台上的知名示例，但如果您使用 Mac，是否需要担心？

好吧，如果你在 Mac 上使用 Windows，你显然应该像在 PC 上使用 Windows 一样谨慎，但如果你使用 macOS，Apple 有许多内置的安全措施可以保护你，对吧？

不幸的是，即使是 Mac 也受到勒索软件攻击的影响，尽管这种情况非常罕见，如果您继续阅读，就会看到这一点。

这是处理 Mac 安全性的几篇深入文章之一。如果您正在寻找 AV 购买建议，请阅读我们的最佳 Mac 防病毒综述和 Mac 会感染病毒吗？ ;一般建议可以在我们的 Mac 安全提示中找到；那些认为自己中了病毒的人应该尝试如何删除 Mac 病毒。我们还提供了完整的 Mac 病毒列表。

Mac 会感染勒索软件吗？

Mac 会感染勒索软件吗？曾经有过 Mac 勒索软件的案例吗？

答案是肯定的，但这种情况非常罕见。迄今为止，安全研究人员发现了一些 Mac 勒索软件示例，但没有一个导致严重的爆发，而且几乎没有 Mac 受到影响。但是，阅读该列表很有趣，可以了解未来勒索软件爆发可能如何传播以及如何运作。

ThiefQuest / EvilQuest（2020 年 6 月/7 月）

Malwarebytes 强调指出，恶意代码正在俄罗斯洪流论坛 Rutracker 上的 Little Snitch 和其他 Mac 程序的盗版副本中传播。

该程序试图将自己安装在系统中的多个位置，并隐藏在“com.apple.questd”和“CrashReporter”等名称后面。如果您将它安装在您的计算机上，它将开始加密文件，然后向您显示勒索消息，要求支付 50 美元的比特币来解密文件。在这里阅读更多相关信息：Mac 勒索软件可以加密您的 Mac。

人们认为该恶意软件的勒索软件元素可能只是其目的的一部分——该恶意软件似乎会先搜索某些文件类型，然后再将它们发送到中央服务器，然后再对任何文件进行加密。

FileCoder / Filezip / Patcher（2017 年 2 月）

安全研究人员发现并识别出伪装成可以从盗版网站下载的“补丁程序”应用程序的 Filezip 勒索软件。Patcher 应用程序旨在非法修改流行的商业软件，如 Adobe Photoshop 或 Microsoft Office，因此无需购买和/或许可证代码即可使用。

当用户尝试使用补丁应用程序时，Filezip 会加密用户的文件，然后在每个列出赎金要求的文件夹中放置一个“README!.txt”、“DECRYPT.txt”或“HOW_TO_DECRYPT.txt”文件（0.25 比特币； 2017 年 5 月撰写本文时约为 335 英镑）。值得注意的是，与许多基于 Windows 的勒索软件示例一样，Filezip 无法真正解密任何文件，因此支付赎金毫无意义。

KeRanger（2016 年 3 月）

安全研究人员在 Transmission BitTorrent 客户端的授权更新中发现并识别出 KeRanger 勒索软件。这是 Mac 勒索软件的第一个真实例子，这一次勒索软件的创建者显然已经在努力创造真正的威胁。

KeRanger 使用授权的安全证书签名，因此不会被 macOS Gatekeeper 安全系统等阻止。KeRanger 加密文件，然后在目录中留下一个 README_FOR_DECRYPT.txt 文件，在该目录中提出赎金要求（一个比特币；在 2017 年 5 月撰写本文时约为 1,338.62 英镑）。

然而，由于研究人员和苹果公司迅速采取行动，立即撤销了安全证书，KeRanger 在成为严重威胁之前就被阻止了。然而，如果这两家机构没有那么快地采取行动，情况可能会截然不同。

Gopher（2015 年 9 月）和 Mabouia（2015 年 11 月）

两名独立工作的安全研究人员分别创建了 Gopher 和 Mabouia，这是两个专门针对 Mac 的勒索软件示例。然而，两者都只是概念验证演示，旨在表明 Mac 上的完全成熟的勒索软件是完全可能的。

除了与安全研究人员共享供他们学习的副本外，它们都不会离开研究人员的计算机，因此无法传播。

FileCoder（2014 年 6 月）

安全研究人员通过 Virus Total 病毒扫描网站发现并识别了 FileCoder，尽管那时 FileCoder 已经过时，两年前该网站的恶意软件扫描程序首次检测到它。

FileCoder 专门针对 OS X/macOS，尚未完成且不是威胁，因为它实际上并未加密用户数据。它确实显示了一个要求 30 欧元赎金的应用程序窗口（相当厚颜无耻，如果使用信用卡而不是 PayPal 或西联汇款，则可打折至 20 欧元）。

不知道 FileCoder 起源于何处，也不知道它打算如何传播。

FBI 骗局（2013 年 7 月）

十多年来，基于网站的勒索软件一直试图通过将 Web 浏览器“锁定”到一个声称的执法网站来向易受骗的 Windows 用户勒索金钱。然而，这始终只是烟雾和镜子，很容易克服。

但在 2013 年 7 月，安全研究人员发现了一个专门针对 Mac 的 Safari 浏览器的类似骗局。用户通过一个对话框被锁定到一个虚假的“FBI”网页，该对话框不允许他们离开该网站，并且需要支付 300 美元的“罚款”才能解锁系统。

退出浏览器变得不可能。如果用户强行退出 Safari，勒索软件页面会在 Safari 下次启动时自行重新加载。

此后，Apple 已在 Mac 和 iPhone/iPad 上修复了 Safari，这样基于浏览器的勒索软件就不太容易运行了。但是，您可能仍会遇到毒性较小的示例。

Mac 可以获取 WannaCry 吗？

简单地说，不。WannaCry 利用了 Microsoft Windows 网络文件共享系统中的一个错误，该技术称为 SMB。一旦 WannaCry 进入网络上的一台计算机——通常是因为有人打开了一个流氓电子邮件附件——它就会使用 SMB 中的一个漏洞将自己注入网络上所有其他没有打补丁的计算机。

Mac 还使用 SMB 作为默认的网络文件共享技术，因此您最初可能认为 Mac 也会受到影响。但是，Apple 使用自己定制的 SMB 实现。虽然这与 Microsoft 的版本完全兼容，但它没有相同的错误或安全漏洞，因此不受 WannaCry 的影响——或者至少不受 WannaCry 当前表现形式的影响。

iPhone、iPad、Apple TV 甚至 Apple Watch 都不使用 SMB 文件共享，因此理论上什至不会受到 WannaCry 的威胁。

Mac 会感染到 Petya 吗？

Petya 是另一种勒索软件攻击，类似于 WannaCry，于 2017 年 6 月底袭击了欧洲和美国的计算机。

Petya 攻击了一些大公司，并且像早期影响英国 NHS 的 WannaCry 勒索软件攻击一样，它迅速传播到同一网络上的 Windows 计算机。

计算机因 Windows 中的一个漏洞而受到感染，Microsoft 已针对该漏洞发布了补丁。

大多数防病毒公司都更新了他们的软件以防止 Petya。

Petya 勒索软件要求支付 300 美元的比特币作为赎金，以重新获得对计算机的访问权限。然而，肇事者被认为是业余爱好者，因为赎金票据为每个受害者提供了相同的比特币地址，并且只提供了一个用于通信的电子邮件地址——当然已经关闭了。

这次袭击可能是针对乌克兰政府，而不是为了赚钱。

如何保护 Mac 免受勒索软件侵害

尽管在撰写本文时还没有在 Mac（或任何 Apple 硬件）上爆发严重的勒索软件，但安全研究人员认为这确实有可能发生。

在著名的 WannaCry 勒索软件攻击之后，在 CNBC 的“Squawk Box”节目中，SecurityScorecard 的首席执行官 Aleksandr Yampolskiy 坚称苹果用户容易受到 WannaCry 类型的攻击，即使该特定事件仅影响 Windows 系统。

“碰巧这次攻击是针对 Windows 计算机的，”他说。“但苹果绝对容易受到类似类型的攻击。”

因此，让我们假设您已被感染。你该怎么办？

第 1 步：不要惊慌

慢慢来，避免下意识的反应。

第 2 步：清理

使用免费的 Bitdefender 病毒扫描程序等恶意软件扫描程序来搜索勒索软件并将其删除。

您不太可能是唯一受勒索软件影响的人，因此请密切关注此类网站，以了解有关勒索软件感染性质的更多信息。如果病毒扫描程序无法清除感染，您很可能会找到有关如何清除感染的具体说明。

您可能会发现安全研究人员找到了一种免费解密文件的方法，最近在 Mac 上发现的少数勒索软件感染示例中就发生了这种情况。

第 3 步：不付款

正如您稍后在我们检查影响 Mac 的少数现有勒索软件爆发时会看到的那样，付款很可能不会真正恢复您的文件！

第 4 步：拔下并断开存储

目前在 Mac 上看到的一个有效勒索软件的例子——KeRanger——也试图加密 Time Machine 备份，试图让用户无法简单地从备份中恢复文件。

因此，一旦发现您的 Mac 已被勒索软件感染，您应该通过立即拔下任何可移动存储（如外部硬盘）并通过单击侧边栏中条目旁边的弹出图标断开与任何网络共享的连接，从而最大限度地降低备份也被加密的可能性发现者。

第 5 步：安装 RansomWhere?应用程序

考虑安装 RansomWhere？应用程序。这个免费的应用程序在后台运行并监视任何类似于猖獗的文件加密的活动，例如在勒索软件攻击期间发生的活动。然后它会停止该过程并告诉您发生了什么。好吧，你的一些文件可能最终被加密，但希望不会很多。

第 6 步：遵循基本的网络钓鱼防护规则

与许多勒索软件和恶意软件示例一样，WannaCry 最初是通过网络钓鱼攻击感染计算机网络的。永远不要打开你意想不到的电子邮件附件，即使它看起来来自你认识的人，也不管它看起来多么重要、有趣或下流。

9 月 7 日：不要使用狡猾的软件

最新的 Mac 勒索软件试图通过旨在让您免费使用商业软件的“破解”或补丁应用程序进行传播。因此，避免所有像这样的狡猾软件。

第 8 步：始终确保您的系统和应用程序已更新

在 Mac 上，您可以通过打开系统偏好设置应用程序配置自动更新，您可以在 Finder 的应用程序列表中找到该应用程序，然后选择 App Store 图标。然后在“自动检查更新”旁边打勾，并在此标题正下方的所有框中打勾。

第 9 步：仅从官方网站安装

例如，如果您突然看到一个弹出窗口说您的某个浏览器插件已过期，那么请确保仅从该插件的官方网页进行更新——如果是 Flash 插件，则例如 Adobe 的网站。永远不要相信弹出窗口中提供的链接！黑客经常使用此类弹出窗口和虚假网站来传播勒索软件和其他恶意软件。

第 10 步：经常备份并断开连接

如果您有文件备份，那么勒索软件来袭就不那么重要了，因为您可以简单地进行恢复。但是，KeRanger 勒索软件爆发还试图对 Time Machine 备份进行加密，因此您可能会选择使用 Carbon Copy Cloner 等第三方应用程序来备份您的文件。阅读更多：如何备份 Mac

仅仅备份您的 Mac 是不够的。为了真正安全，您还应该在 Mac 备份后断开备份驱动器，这样驱动器就不会在攻击中被加密。

如何保护我的 iPhone 或 iPad 免受勒索软件的侵害？

iPhone 和 iPad 等 iOS 设备是从头开始构建的，比 Mac 安全得多，通过某种恶意软件感染的真正勒索软件将极其难以实现。到目前为止肯定还没有任何例子，或者至少在没有越狱的 iOS 设备上是这样。

然而，iPhone、iPad 甚至 Mac 都容易受到 iCloud 劫持，这是一种勒索攻击，黑客会重复使用通过许多大规模安全漏洞之一发现的密码来登录并控制用户的 iCloud 帐户。然后他们更改密码并使用“查找我的 iPhone”服务远程锁定 iOS 设备或 Mac，向用户发送赎金要求以恢复控制。

除此之外，他们通常还威胁要远程擦除设备或 Mac。这种性质的第一次此类攻击是 2014 年发生的 Oleg Pliss 攻击。

通过设置双因素身份验证可以轻松阻止 iCloud 劫持，您现在就应该这样做！

然而，无论是否可能真的感染勒索软件，确保您的 iPhone 或 iPad 完全更新（阅读如何更新 iPhone 或 iPad 上的 iOS ）当然是有意义的，以便尽可能最好地保护免受任何潜在威胁。当有新的 iOS 更新可用时，通知将出现在“设置”应用旁边，您可以通过打开“设置”然后点击“通用”>“软件更新”来进行更新。（请注意，无法在 iOS 上配置自动系统更新。）

任何声称为 iOS 设备提供防病毒扫描的应用程序充其量也可能是可疑的，因为所有 iOS 应用程序都是沙盒化的，因此无法扫描系统或其他应用程序以查找恶意软件。

我应该一直运行防病毒应用程序吗？

您可能会感到惊讶，但 Mac 已经内置了反恶意软件，由 Apple 提供。

XProtect 在后台不可见地运行，并在标准文件隔离过程中扫描您下载的任何文件。XProtect 由 Apple 使用新的恶意软件定义定期更新，您可以按照以下步骤查看更新频率：

1. 单击 Apple > 关于本机，然后单击系统报告按钮，打开系统信息应用程序。
2. 选择左侧列表中的软件标题，然后选择下方的安装标题。
3. 单击“安装日期”列标题以按最新排序列表并查找读取 XProtectPlistConfigData 的条目。

XProtect 是 Apple 击败 KeRanger 的方法，KeRanger 可能是迄今为止最严重的基于 Mac 的勒索软件威胁，在它有机会流行之前。此外，最新的 Mac 勒索软件 Filezip 也已添加到 XProtect。

结合文件隔离和网守等其他内置保护措施——这两者都可以阻止用户愉快地运行应用程序或打开他们从陌生网站下载的文档——Mac 比你想象的更好地防范勒索软件。

但是，偶尔运行 Bitdefender Virus Scanner 等按需病毒扫描程序肯定没有害处，即使这很可能会在邮件附件等内容中发现许多 Windows 病毒形式的误报。Windows 病毒对 Mac 用户无害。在此处阅读有关最佳 Mac 防病毒软件的信息。