Nedávný malware Flashback pro OS X způsobil trochu rozruchu v komunitě Mac a přestože to ovlivnilo pouze zlomek instalační základny OS X, stále existují lidé, kteří opravdu našli škodlivý software na svých systémech na CNET a na diskuzních tabulích společnosti Apple.
Většina lidí zjistila malware na svých systémech tím, že má nainstalovaný antivirový skener nebo reverzní firewall, jako je například Little Snitch, a buď dostali upozornění, že malware byl buď nalezen, nebo programový soubor s krátkým názvem s obdobím se snaží kontaktovat vzdálené servery prostřednictvím bizarně znějících doménových jmen, jako je cuojshtbohnt.com a gangstaparadise.rr.nu.
Tyto jasné pokusy podnítily vyšetřování malware a ukázaly, že tato aktivita je první částí útoku malwaru, kde malware porušil karanténu Java a program se pokouší stáhnout užitečné zatížení, které bude následně na lokálních aplikacích převedeno změnou spustit proměnné prostředí buď v rámci programu nebo v účtu uživatele.
Dosavadní malware je poměrně dobře popsán a nemá virovou povahu, takže pro nějakou konkrétní variantu, kterou instaluje na jedno místo a odtud běží, má vliv na systém. Výsledkem je, že pokud byla varianta charakterizována, měli byste ji moci odstranit z vašeho systému podle podrobných pokynů. Malware se však může rychle změnit (jak ukázal Flashback) a protože se mohou objevit nové varianty, které změní pokusné způsoby útoku, mohou být ti, kteří nemohou určit, s jakou variantou se mohou setkat a pochybovat o svých schopnostech ručně odstranit malware jejich systémů.
V těchto situacích existují dva přístupy, které můžete přijmout. První je získat spolehlivý malware skener jako VirusBarrier, Sophos nebo ClamXav, nainstalovat a aktualizovat a pak nechat skenovat systém pro známé varianty malware. Tímto způsobem můžete alespoň karanténu nalézt všechny nalezené soubory škodlivého softwaru.
To je doporučený přístup; nicméně se spoléhá na definice malwaru definovaných pro malware, které mohou zaostávat za počátečními zjištěními malwaru.
Druhým přístupem je vynechání pokusu o správu malwaru a provedení reinstalace operačního systému. I když to zajistí, že začnete z čisté břidlice, bude to pro některé lidi trochu zátěž, zejména proto, že nebudete mít možnost věřit, že zálohy Time Machine nebo systémové klony jsou bez malware, a proto nemůžete jednoduše obnovit systém ze zálohy.
Pokud si můžete zapamatovat přesnou instanci, kdy byl váš systém napaden malwarem, například když jste nainstalovali poslední aktualizaci Flash, která mohla být malware, nebo když jste poprvé uviděli nějaké další varovné signály týkající se malwaru, pak jste může být schopen přeinstalovat pomocí zálohování předtím, než dojde k problému; V mnoha případech však pravděpodobně nebudete moci takové instance spolehlivě identifikovat.
Pokud jste se rozhodli, že byste měli nejlépe hrát to v bezpečí a vymazat váš systém a začít znovu, postupujte podle tohoto postupu, měli byste tak učinit při zachování vašich dat.
- Synchronizujte a zálohujte
Nejprve zajistěte, aby byl váš systém správně synchronizován se službami Cloud (iCloud, Google, Yahoo atd.), Abyste zajistili uložení položek, jako jsou kontakty a kalendáře. Můžete také přejít do adresáře, iCal a dalších programů, které pravidelně používáte, a exportovat kalendáře, kontakty a jiná data pro uložení na jednotku flash nebo na jiné oddělené médium. Takovými akcemi zajistíte, že budete abel obnovit některé z těchto položek, aniž byste spoléhali na služby synchronizace a spravovali je pro vás.
Kromě synchronizace se ujistěte, že je váš systém zálohován. Použijte nástroj Time Machine nebo klonovací nástroj k zálohování souborů nebo alespoň ručně zkopírujte všechny složky z domovského adresáře na externí pevný disk a proveďte to pro každý aktivní účet v systému přihlášením do každého z nich a prováděním těchto akce.
Po dokončení zálohování odpojte a odpojte externí pevný disk, který jste použili pro zálohování.
- Zrušení oprávnění nebo zrušení registrace některých aplikací Některé běžné aplikace, jako je iTunes, mají oprávnění a registrační funkce pro prohlížení a správu obsahu, takže před pokračováním nezapomeňte tyto funkce opětovně autorizovat, protože při konfiguraci programů znovu narazíte na problémy. Například iTunes umožňuje povolit pouze 5 počítačům ke konkrétnímu účtu iTunes Store, abyste mohli autorizaci počítače povolit tak, že v nabídce "Uložit" zvolíte možnost, aby se zabránilo tomu, že ukládáte, že jste povolili více systémů než vy vlastní.
- Formátujte jednotku
Restartujte systém na instalační DVD OS X pro OS X 10.6 nebo starší (držte klávesu C při spuštění s DVD v optické jednotce) nebo restartujte pomocí kláves Command-R držených pro OS X 10.7. Po načtení instalátoru OS X vyberte jazyk a poté spusťte program Disk Utility (dostupný v nabídce Nástroje, pokud není zobrazen v okně Nástroje).
V programu Disk Utility vyberte spouštěcí svazek a poté kartu "Smazat" naformátujte do "Mac OS X Extended (žurnálu)". Tento proces by měl být poměrně rychlý a po dokončení by měl mít prázdný pevný disk.
- Znovu nainstalujte OS X
Ukončete nástroj Disk a potom otevřete instalační program OS X. Nevybírejte žádnou možnost obnovení ze zálohy. Postupujte podle pokynů na obrazovce a vyberte nově naformátovaný pevný disk a znovu nainstalujte OS X a počkejte, až dokončíte instalaci.
- Vytvořit nový účet
Když je systém OS X čerstvě nainstalován, bude se vás ptát, zda chcete migrovat data ze zálohy nebo z jiného počítače. Vyvarujte se tomu a místo toho si vytvořte nový uživatelský účet pro sebe (můžete použít stejný název účtu a další informace).
- Aktualizujte systém
Při prvním přihlášení do účtu přejděte na položku Aktualizace softwaru (v nabídce Apple) a aktualizujte systém na nejnovější verzi. Spusťte několikrát aktualizaci softwaru, dokud nejsou k dispozici žádné další aktualizace.
- Deaktivujte Java
Nejnovější hrozby škodlivého softwaru Flashback cílí na systémy s chybou Java. Zatímco Apple zastavil dodávku Java s operačním systémem OS X Lion, předcházející verze operačního systému OS X jsou nainstalovány ve výchozím nastavení. Často Java není zapotřebí pro spouštění aplikací v operačním systému OS X, takže pokud ji nepotřebujete, vypněte jej. Dokonce i když máte podezření, že byste mohli potřebovat Javu, můžete začít s ní zakázat a poté ji aktivovat pouze na základě požadavku.
Existují dva obecné způsoby správy Java v operačním systému OS X. První je prostřednictvím nastavení specifických pro danou aplikaci, jako jsou například předvolby pro prohlížeče Safari, Firefox a jiné webové prohlížeče, kde můžete najít nastavení pro zakázání Java plug-in a správy Java ( nezakrývejte JavaScript). Tato nastavení zajistí, aby programy, které nejsou specifické, nepoužívaly jazyk Java a z větší části budou stačit k tomu, aby zabránily využívání jazyka Java v systému; Pokud však resetujete aplikaci Safari nebo nainstalujete nový webový prohlížeč, pak můžete neúmyslně použít Java.
Chcete-li zabránit neúmyslnému použití jazyka Java podle programů, můžete v nástroji / Applications / Utilities / Utilities / Utilities / Utilities / Utilities / Utilities / Utilities / Utilities / Utilities / Pokud po otevření předvoleb Java získáte upozornění na potřebu instalovat Java, pak váš systém nemá nainstalovanou instalaci a nemusíte dělat nic jiného.
Pokud potřebujete nainstalovat a aktivovat Java ve svém systému, ujistěte se, že používáte nejnovější aktualizaci softwaru Java a zvážíte její zakázání ve webových prohlížečích.
- Obnovte data ze zálohy
Dalším krokem je zkopírování dat zpět do vašeho systému z vašich záloh. Nepoužívejte nástroj Apple Migration Assistant k tomu, protože to obnoví složky a aplikace, které mohou být malwarem změněny, takže místo toho zkopírujte soubory z adresářů Dokumenty, Filmy, Hudba a další domovské adresáře do příslušných umístění v rámci Uživatelský účet.
Současný malware Flashback ovlivnil obsah uživatelské knihovny, zejména složky Spouštěcí agenti, a zároveň můžete obnovit obsah složky do nové Knihovny uživatelů, abyste mohli zachovat některá nastavení a konfigurace, a to kvůli zvláštní péči, tento přístup je nejlepší opustit tuto složku samotnou a pouze obnovit jednotlivé položky z ní pouze podle potřeby.
V tomto okamžiku můžete nastavit služby iCloud nebo jiné synchronizační služby v předvolbách systému a potom spustit Adresář, Pošta, iCal a další programy, které používáte ke konfiguraci těchto programů a účtů, které s nimi používáte. Pokud vaše kontakty a kalendáře chybí, můžete je znovu importovat z manuálních záloh, které jste dříve vytvořili.
Proveďte kroky 6 a 7 pro všechny další uživatelské účty v systému nejprve vytvořením účtu, deaktivací jazyka Java a obnovením dat účtu ze zálohy.
- Přeinstalujte aplikace
Dalším krokem po obnovení účtů je přeinstalace aplikací, které používáte. Zatímco vaše předchozí sada aplikací byla zálohována předtím, než jste zahájili tento postup, vyvarujte se jejich obnovení nebo jejich otevření, protože v jednom režimu infekce Flashback malware přímo mění některé z těchto programů. Namísto toho použijte zálohu jako referenci pro které aplikace, které jste dříve používali, a přeinstalujte je z jejich instalačních disků, Mac App Store nebo jinými prostředky, které jste původně získali.
Po nainstalování aplikací nezapomeňte je plně aktualizovat a poté je otevřít a nakonfigurovat podle vašich preferencí.
V tomto okamžiku by měl být váš systém zálohován do použitelného stavu a měli byste být schopni pokračovat ve vašem pracovním postupu tak, jako byl před opětovným instalováním. Pokud zjistíte, že chybí nějaké požadované písma, zvuky nebo jiné soubory, které vaše aplikace potřebují, můžete je získat z globálního / knihovního adresáře ze složky zálohování nebo ve složce / Library z uživatelského účtu.
Konečným krokem v tomto procesu je chránit se před další infekcí. Zatímco zakázání jazyka Java, jak je uvedeno výše, je jedním z kroků, můžete použít další, které pomohou zabezpečit váš systém. Nainstalujte zpětnou bránu firewall, jako je Little Snitch, která vám pomůže odhalit a zablokovat programy od telefonování domů ke vzdáleným serverům a zvážit instalaci antivirového nástroje.
Ačkoli nemusíte nakonfigurovat antivirový nástroj, abyste mohli pilně prověřit všechny soubory na požádání, můžete je nastavit pouze pro skenování společných složek ke stahování (například složky Desktop nebo Download ve vašem uživatelském účtu) a poté jednou týdně nebo možná jednou za měsíc kontroluje celý systém. Prozatím, a to i přes nejnovější zprávy o škodlivém softwaru, by to mělo stačit k odvrácení škodlivého softwaru a poskytnout vám dostatečnou ochranu.
AKTUALIZOVÁNO: 4. 8. 2012, 12.30 hod. - Přidány informace o odstraňování oprávnění před formátováním (díky čtenáři MacFixIt Michael N.)
Zanechte Svůj Komentář