Bạn có thể đã nghe nói về WannaCry, ransomware đã làm tê liệt các máy tính NHS vào tháng 5 năm 2017 và cuộc tấn công Petya randsomware xảy ra vào cuối tháng 6 năm 2017. Đã một thời gian kể từ khi những trường hợp cấu hình cao này chỉ là mối nguy hiểm đối với người dùng PC, nhưng bạn có thể tự hỏi liệu với tư cách là người dùng Mac, bạn có nên làm gì để bảo vệ mình khỏi các mối đe dọa như vậy và cách khắc phục mọi thứ nếu bạn bị ransomware tấn công hay không.
Dưới đây là mọi thứ bạn cần biết về cách phát hiện, tránh và loại bỏ ransomware trên máy Mac.
Ransomware là gì?
Trước khi xem xét các trường hợp của Ransomware trên Mac, chúng tôi sẽ giải thích Ransomware thực sự là gì. Đây là một kiểu tấn công bằng phần mềm độc hại trong đó các tệp của bạn được mã hóa theo mong muốn của bạn và yêu cầu tiền chuộc yêu cầu bạn trả phí nếu bạn muốn giải mã lại các tệp.
Như đã đề cập ở trên, Ransomware là một mối lo ngại đối với người dùng Windows, với WannaCry và Petya là những ví dụ nổi tiếng trên nền tảng đó, nhưng liệu bạn có phải lo lắng về việc sử dụng máy Mac không?
Chà, nếu bạn sử dụng Windows trên máy Mac, rõ ràng bạn nên thận trọng như khi bạn sử dụng Windows trên PC, nhưng nếu bạn sử dụng macOS, Apple có một số biện pháp an toàn được tích hợp sẵn để bảo vệ bạn, phải không?
Thật không may, ngay cả máy Mac cũng bị ảnh hưởng bởi các cuộc tấn công Ransomware, mặc dù những cuộc tấn công này rất hiếm, bạn sẽ thấy nếu đọc tiếp.
Đây là một trong số các bài viết chuyên sâu về Macworld về bảo mật Mac. Nếu bạn đang tìm kiếm lời khuyên về việc mua AV, hãy đọc phần tổng hợp của chúng tôi về Phần mềm chống vi-rút tốt nhất cho Mac và Máy Mac có bị nhiễm vi-rút không ?; lời khuyên chung có thể được tìm thấy trong các mẹo bảo mật Mac của chúng tôi; và những người nghĩ rằng họ đã bị vi-rút tấn công nên thử Cách loại bỏ vi-rút Mac. Chúng tôi cũng có danh sách đầy đủ các loại vi-rút Mac tại đây.
Máy Mac có thể nhận được ransomware không?
Máy Mac có thể bị nhiễm ransomware không? Đã bao giờ có trường hợp ransomware Mac chưa?
Câu trả lời là có, nhưng đó là một điều rất hiếm khi xảy ra. Cho đến nay, đã có một số ví dụ về ransomware trên Mac được các nhà nghiên cứu bảo mật xác định, nhưng không có trường hợp nào dẫn đến bùng phát nghiêm trọng và rất ít nếu có máy Mac nào bị ảnh hưởng. Tuy nhiên, danh sách này rất thú vị khi đọc để tìm hiểu cách thức bùng phát ransomware trong tương lai có thể lây lan và cách nó có thể hoạt động.
ThiefQuest / EvilQuest (tháng 6 / tháng 7 năm 2020)
Malwarebytes nhấn mạnh rằng mã độc đang lan truyền trong các bản sao lậu của Little Snitch và các chương trình Mac khác trên một diễn đàn torrent của Nga Rutracker.
Chương trình cố gắng tự cài đặt ở một số nơi trong hệ thống ẩn sau những cái tên như "com.apple.questd" và "CrashReporter". Nếu bạn cài đặt nó trên máy tính của mình, nó sẽ bắt đầu mã hóa các tệp trước khi hiển thị cho bạn một thông báo tống tiền yêu cầu 50 đô la bitcoin để giải mã các tệp. Đọc thêm về nó tại đây:Phần mềm tống tiền cho máy Mac có thể mã hóa máy Mac của bạn.
Người ta cho rằng phần tử ransomware của phần mềm độc hại này có thể chỉ là một phần trong mục đích của nó - phần mềm độc hại này dường như tìm kiếm các loại tệp nhất định trước khi gửi chúng đến máy chủ trung tâm trước khi bất kỳ tệp nào được mã hóa.
FileCoder / Filezip / Patcher (tháng 2 năm 2017)
Các nhà nghiên cứu bảo mật tìm và xác định Filezip ransomware giả mạo là ứng dụng "vá lỗi" có thể được tải xuống từ các trang web vi phạm bản quyền. Ứng dụng Patcher được thiết kế để sửa đổi bất hợp pháp phần mềm thương mại phổ biến như Adobe Photoshop hoặc Microsoft Office để chúng có thể được sử dụng mà không cần mua và / hoặc mã giấy phép.
Khi người dùng cố gắng sử dụng ứng dụng vá lỗi, thay vào đó, Filezip sẽ mã hóa tệp của người dùng và sau đó đặt tệp "README! .Txt", "DECRYPT.txt" hoặc "HOW_TO_DECRYPT.txt" trong mỗi thư mục liệt kê các yêu cầu đòi tiền chuộc (0,25 BitCoin; khoảng £ 335 tại thời điểm viết bài vào tháng 5 năm 2017). Đáng chú ý, giống như nhiều ví dụ dựa trên Windows về ransomware, Filezip không thể thực sự giải mã bất kỳ tệp nào, vì vậy việc trả tiền chuộc là vô nghĩa.
KeRanger (tháng 3 năm 2016)
Các nhà nghiên cứu bảo mật tìm và xác định phần mềm ransomware KeRanger trong bản cập nhật được ủy quyền cho ứng dụng khách BitTorrent của Transmission. Ví dụ thực tế đầu tiên về ransomware Mac, lần này những người tạo ransomware rõ ràng đã nỗ lực tạo ra một mối đe dọa thực sự.
KeRanger được ký bằng chứng chỉ bảo mật được ủy quyền, vì vậy, chẳng hạn như không bị chặn bởi hệ thống bảo mật macOS Gatekeeper. KeRanger mã hóa các tệp và sau đó để lại tệp README_FOR_DECRYPT.txt trong thư mục, trong đó yêu cầu tiền chuộc được thực hiện (một BitCoin; khoảng £ 1.338,62 tại thời điểm viết bài vào tháng 5 năm 2017).
Tuy nhiên, nhờ hành động nhanh chóng của các nhà nghiên cứu và cả Apple, người ngay lập tức thu hồi chứng chỉ bảo mật, KeRanger đã bị tạm dừng trước khi nó trở thành một mối đe dọa nghiêm trọng. Tuy nhiên, nếu cả hai công ty không nhanh chóng đi đến đâu thì đó có thể là một câu chuyện rất khác.
Gopher (tháng 9 năm 2015) và Mabouia (tháng 11 năm 2015)
Hai nhà nghiên cứu bảo mật, làm việc độc lập, tạo ra riêng biệt Gopher và Mabouia, hai ví dụ về ransomware nhắm mục tiêu cụ thể vào máy Mac. Tuy nhiên, cả hai đều chỉ là những minh chứng về khái niệm, nhằm cho thấy rằng hoàn toàn có thể xảy ra ransomware trên Mac.
Ngoài các bản sao được chia sẻ với các nhà nghiên cứu bảo mật để họ học hỏi, chúng tôi không bao giờ rời khỏi máy tính của các nhà nghiên cứu, do đó không thể phát tán.
FileCoder (tháng 6 năm 2014)
Các nhà nghiên cứu bảo mật đã tìm thấy và xác định FileCoder thông qua trang web quét vi-rút Virus Total, mặc dù vào thời điểm đó FileCoder đã cũ, lần đầu tiên được phát hiện bởi trình quét phần mềm độc hại của trang web này hai năm trước đó.
Cụ thể là nhắm mục tiêu OS X / macOS, FileCoder chưa hoàn thành và không phải là mối đe dọa, ở chỗ nó không thực sự mã hóa dữ liệu của người dùng. Nó hiển thị một cửa sổ ứng dụng yêu cầu khoản tiền chuộc là € 30 (khá táo bạo, khoản tiền này được chiết khấu còn € 20 nếu thẻ tín dụng được sử dụng thay vì PayPal hoặc Western Union).
Không biết FileCoder bắt nguồn từ đâu hoặc nó được dự định phát tán như thế nào.
FBI lừa đảo (tháng 7 năm 2013)
Trong hơn một thập kỷ, ransomware dựa trên trang web đã cố gắng tống tiền những người dùng Windows cả tin bằng cách "khóa" trình duyệt web với một trang web thực thi pháp luật có mục đích. Tuy nhiên, điều này luôn chỉ là khói và gương, và có thể được khắc phục dễ dàng.
Nhưng vào tháng 7 năm 2013, các nhà nghiên cứu bảo mật đã phát hiện ra một trò lừa đảo tương tự nhắm mục tiêu cụ thể vào trình duyệt Safari của máy Mac. Người dùng đã bị khóa vào một trang web "FBI" giả mạo qua một hộp thoại không cho phép họ rời khỏi trang web và người dùng phải trả "tiền phạt" 300 đô la để mở khóa hệ thống.
Không thể thoát khỏi trình duyệt. Nếu người dùng buộc thoát khỏi Safari, trang ransomware chỉ cần tải lại chính nó vào lần tiếp theo Safari khởi động.
Kể từ đó, Apple đã sửa Safari trên cả Mac và iPhone / iPad để các phần mềm tống tiền dựa trên trình duyệt như thế này hoạt động ít dễ dàng hơn. Tuy nhiên, bạn vẫn có thể gặp các ví dụ ít độc hại hơn.
Máy Mac có thể nhận được WannaCry không?
Nói một cách đơn giản, không. WannaCry lợi dụng một lỗi trong hệ thống chia sẻ tệp mạng của Microsoft Windows, một công nghệ được gọi là SMB. Khi WannaCry xâm nhập vào một máy tính trên mạng - thường là do một cá nhân mở tệp đính kèm email giả mạo - sau đó nó sử dụng một lỗi trong SMB để tự đưa vào tất cả các máy tính khác trên mạng chưa được vá.
Máy Mac cũng sử dụng SMB làm công nghệ chia sẻ tệp mạng mặc định, vì vậy ban đầu bạn có thể nghĩ rằng máy Mac cũng có thể bị ảnh hưởng. Tuy nhiên, Apple sử dụng triển khai SMB theo yêu cầu riêng của mình. Mặc dù điều này hoàn toàn tương thích với phiên bản của Microsoft, nhưng nó không mắc phải các lỗi hoặc lỗ hổng bảo mật tương tự, do đó không bị ảnh hưởng bởi WannaCry - hoặc ít nhất là không có trong biểu hiện hiện tại của WannaCry.
IPhone, iPad, Apple TV và thậm chí cả Apple Watch không sử dụng tính năng chia sẻ tệp SMB, vì vậy về mặt lý thuyết, thậm chí không có nguy cơ bị nhiễm WannaCry.
Máy Mac có thể nhận được Petya không?
Petya là một cuộc tấn công Ransomware khác, tương tự như WannaCry, đã tấn công các máy tính ở châu Âu và Mỹ vào cuối tháng 6 năm 2017.
Petya đã tấn công một số công ty lớn và giống như cuộc tấn công bằng ransomware WannaCry trước đó ảnh hưởng đến NHS ở Anh, nó đã lây lan nhanh chóng sang các máy tính Windows trên cùng một mạng.
Máy tính bị nhiễm do một lỗ hổng trong Windows mà Microsoft đã phát hành bản vá.
Hầu hết các công ty chống vi-rút đã cập nhật phần mềm của họ để bảo vệ chống lại Petya.
Petya ransomware yêu cầu trả 300 đô la Bitcoin làm tiền chuộc để lấy lại quyền truy cập vào máy tính. Tuy nhiên, thủ phạm được cho là nghiệp dư vì thông báo đòi tiền chuộc cung cấp cùng một địa chỉ Bitcoin cho mọi nạn nhân và chỉ có một địa chỉ email được cung cấp để trao đổi thư tín - tất nhiên đã bị đóng cửa.
Cuộc tấn công có thể nhằm vào chính phủ Ukraine chứ không phải là một phương tiện để kiếm tiền.
Cách bảo vệ máy Mac khỏi ransomware
Mặc dù tại thời điểm viết bài, chưa có sự bùng phát ransomware nghiêm trọng nào trên máy Mac (hoặc bất kỳ phần cứng nào của Apple), nhưng các nhà nghiên cứu bảo mật cho rằng đó là một khả năng có thật.
Phát biểu trên chương trình 'Squawk Box' của CNBC sau cuộc tấn công bằng mã độc tống tiền nổi tiếng WannaCry, Aleksandr Yampolskiy, Giám đốc điều hành của SecurityScorecard, nhấn mạnh rằng người dùng Apple rất dễ bị tấn công kiểu WannaCry, ngay cả khi sự kiện cụ thể đó chỉ ảnh hưởng đến hệ thống Windows.
"Có thể xảy ra rằng cuộc tấn công này đang nhắm mục tiêu vào các máy tính Windows," ông nói. "Nhưng Apple hoàn toàn dễ bị tấn công bởi các kiểu tấn công tương tự".
Vì vậy, hãy giả sử rằng bạn đã bị nhiễm bệnh. Bạn nên làm gì?
Bước 1:Đừng hoảng sợ
Hãy dành thời gian của bạn và tránh phản ứng đầu gối.
Bước 2:Làm sạch
Sử dụng trình quét phần mềm độc hại như Trình quét vi rút Bitdefender miễn phí để tìm kiếm ransomware và loại bỏ nó.
Không có khả năng bạn là người duy nhất bị ảnh hưởng bởi ransomware, vì vậy hãy theo dõi các trang web như Macworld để tìm hiểu thêm về bản chất của việc lây nhiễm ransomware. Bạn rất có thể sẽ tìm thấy các hướng dẫn cụ thể về cách làm sạch sự lây nhiễm, nếu máy quét vi-rút không thể làm như vậy.
Bạn có thể thấy rằng một nhà nghiên cứu bảo mật đã tìm ra cách giải mã miễn phí các tệp của bạn, điều đã xảy ra với ví dụ gần đây nhất từ một số ít trường hợp nhiễm ransomware đã được xác định trên máy Mac.
Bước 3:Không thanh toán
Như bạn sẽ thấy sau này khi chúng tôi kiểm tra một số đợt bùng phát ransomware hiện có ảnh hưởng đến máy Mac, rất có thể việc trả tiền sẽ không thực sự khôi phục được tệp của bạn!
Bước 4:Rút phích cắm và ngắt kết nối bộ nhớ
Một ví dụ về ransomware hiệu quả được thấy trên máy Mac cho đến nay - KeRanger - cũng đã cố gắng mã hóa các bản sao lưu của Time Machine, để cố gắng làm cho người dùng không thể chỉ khôi phục tệp từ bản sao lưu.
Do đó, khi phát hiện ra máy Mac của bạn đã bị nhiễm ransomware, bạn nên giảm thiểu khả năng các bản sao lưu cũng bị mã hóa bằng cách rút ngay bất kỳ bộ nhớ di động nào như ổ cứng ngoài và ngắt kết nối khỏi bất kỳ mạng chia sẻ nào bằng cách nhấp vào biểu tượng đẩy ra cùng với các mục nhập của chúng trong thanh bên của Công cụ tìm kiếm.
Bước 5:Cài đặt RansomWhere? ứng dụng
Cân nhắc cài đặt RansomWhere? ứng dụng. Ứng dụng miễn phí này chạy trong nền và theo dõi bất kỳ hoạt động nào giống như mã hóa tràn lan các tệp, chẳng hạn như diễn ra trong một cuộc tấn công ransomware. Sau đó, nó sẽ tạm dừng quá trình và cho bạn biết điều gì đang xảy ra. Được rồi, vì vậy một số tệp của bạn có thể bị mã hóa, nhưng hy vọng là không nhiều.
Bước 6:Tuân theo các quy tắc bảo vệ chống lừa đảo trực tuyến cơ bản
Như với nhiều ví dụ về ransomware và phần mềm độc hại, ban đầu, WannaCry đã lây nhiễm các mạng máy tính thông qua một cuộc tấn công lừa đảo. Không bao giờ mở tệp đính kèm email mà bạn không mong đợi, ngay cả khi nó đến từ một người nào đó mà bạn biết, và bất kể nó có vẻ quan trọng, thú vị hay khó hiểu đến mức nào.
Ngày 7 tháng 9:Không sử dụng phần mềm xảo quyệt
Phần mềm ransomware Mac gần đây nhất cố gắng phát tán thông qua các ứng dụng "bẻ khóa" hoặc ứng dụng vá lỗi được thiết kế để cho phép bạn sử dụng phần mềm thương mại miễn phí. Do đó, hãy tránh tất cả các phần mềm xảo quyệt như thế này.
Bước 8:Luôn đảm bảo hệ thống và ứng dụng của bạn được cập nhật
Trên máy Mac, bạn có thể định cấu hình cập nhật tự động bằng cách mở ứng dụng System Preferences, ứng dụng này bạn sẽ tìm thấy trong danh sách Ứng dụng của Finder và chọn biểu tượng App Store. Sau đó đánh dấu chọn cùng với Tự động kiểm tra bản cập nhật và đánh dấu vào tất cả các hộp ngay bên dưới tiêu đề này.
Bước 9:Chỉ cài đặt từ các trang web chính thức
Ví dụ:nếu bạn đột nhiên thấy cửa sổ bật lên cho biết một trong các plugin trình duyệt của bạn đã lỗi thời, thì hãy đảm bảo chỉ cập nhật từ trang web chính thức cho plugin đó - chẳng hạn như trang web của Adobe nếu đó là plugin Flash. Đừng bao giờ tin vào liên kết được cung cấp trong cửa sổ bật lên! Tin tặc thường xuyên sử dụng các cửa sổ bật lên và các trang web giả mạo như vậy để phát tán ransomware và các phần mềm độc hại khác.
Bước 10:Sao lưu thường xuyên và ngắt kết nối
Nếu bạn có bản sao lưu các tệp của mình thì vấn đề sẽ ít hơn nếu ransomware tấn công vì bạn có thể khôi phục đơn giản. Tuy nhiên, sự bùng phát của ransomware KeRanger đã cố gắng mã hóa cả các bản sao lưu của Time Machine, vì vậy bạn có thể chọn sử dụng ứng dụng của bên thứ ba như Carbon Copy Cloner để sao lưu các tệp của mình. Đọc thêm:Cách sao lưu máy Mac
Tuy nhiên, chỉ sao lưu máy Mac của bạn là không đủ. Để thực sự an toàn, bạn cũng nên ngắt kết nối ổ đĩa sao lưu của mình sau khi máy Mac đã sao lưu, bằng cách đó ổ đĩa không thể được mã hóa khi bị tấn công.
Làm cách nào để bảo vệ iPhone hoặc iPad của tôi khỏi ransomware?
Các thiết bị iOS như iPhone và iPad đã được xây dựng từ đầu để an toàn hơn nhiều so với Mac và ransomware thực sự thông qua một số loại lây nhiễm phần mềm độc hại sẽ cực kỳ khó khăn để loại bỏ. Chắc chắn chưa có bất kỳ ví dụ nào cho đến nay, hoặc ít nhất là trên các thiết bị iOS chưa được bẻ khóa.
Tuy nhiên, iPhone, iPad và thậm chí cả máy Mac đều có thể bị chiếm quyền điều khiển iCloud, một kiểu tấn công đòi tiền chuộc, theo đó tin tặc sử dụng lại mật khẩu được phát hiện thông qua một trong nhiều vụ vi phạm bảo mật quy mô lớn để đăng nhập và kiểm soát tài khoản iCloud của người dùng. Sau đó, họ thay đổi mật khẩu và sử dụng dịch vụ Tìm iPhone của tôi để khóa từ xa thiết bị iOS hoặc máy Mac, gửi cho người dùng yêu cầu đòi tiền chuộc để khôi phục quyền kiểm soát.
Ngoài ra, họ còn đe dọa xóa từ xa thiết bị hoặc máy Mac. Cuộc tấn công đầu tiên như vậy là cuộc tấn công Oleg Pliss vào năm 2014.
Việc xâm nhập iCloud dễ dàng bị cản trở bằng cách thiết lập xác thực hai yếu tố và bạn nên làm như vậy ngay bây giờ!
Tuy nhiên, bất kể việc lây nhiễm ransomware thực sự có thể xảy ra hay không, điều chắc chắn là đảm bảo bạn luôn cập nhật đầy đủ cho iPhone hoặc iPad của mình (đọc Cách cập nhật iOS trên iPhone hoặc iPad) để có được sự bảo vệ tốt nhất có thể trước bất kỳ mối đe dọa tiềm ẩn nào. Khi có bản cập nhật iOS mới, một thông báo sẽ xuất hiện cùng với ứng dụng Cài đặt và bạn sẽ có thể cập nhật bằng cách mở Cài đặt rồi nhấn vào Chung> Cập nhật phần mềm. (Lưu ý rằng không có cách nào để định cấu hình cập nhật hệ thống tự động trên iOS.)
Bất kỳ ứng dụng nào tuyên bố cung cấp tính năng quét chống vi-rút cho thiết bị iOS tốt nhất có thể là đáng ngờ vì tất cả các ứng dụng iOS đều được đóng hộp cát, do đó không thể quét hệ thống hoặc các ứng dụng khác để tìm phần mềm độc hại.
Tôi có nên chạy ứng dụng chống vi-rút mọi lúc không?
Nó có thể làm bạn ngạc nhiên nhưng máy Mac đã được tích hợp sẵn phần mềm chống phần mềm độc hại, nhờ sự hỗ trợ của Apple.
XProtect chạy ẩn trong nền và quét bất kỳ tệp nào bạn tải xuống như một phần của quy trình kiểm dịch tệp tiêu chuẩn. XProtect được Apple cập nhật thường xuyên với các định nghĩa phần mềm độc hại mới và bạn có thể xem tần suất cập nhật bằng cách làm theo các bước sau:
- Mở ứng dụng Thông tin hệ thống bằng cách nhấp vào Apple> Giới thiệu về máy Mac này, sau đó nhấp vào nút Báo cáo hệ thống.
- Chọn tiêu đề Phần mềm trong danh sách ở bên trái, sau đó chọn tiêu đề Cài đặt bên dưới.
- Nhấp vào tiêu đề cột Ngày cài đặt để sắp xếp danh sách theo gần đây nhất và tìm kiếm các mục nhập đọc XProtectPlistConfigData.
XProtect là cách Apple có thể đánh bại KeRanger, có lẽ là mối đe dọa ransomware dựa trên Mac nghiêm trọng nhất cho đến nay, trước khi nó có cơ hội trở thành đại dịch. Ngoài ra, phần mềm ransomware Mac gần đây nhất, Filezip, cũng đã được thêm vào XProtect.
Được kết hợp với các biện pháp bảo vệ tích hợp khác như kiểm dịch tệp và Gatekeeper - cả hai đều ngăn người dùng chạy nhanh ứng dụng hoặc mở tài liệu họ tải xuống từ các trang web lạ - Mac được bảo vệ chống lại ransomware tốt hơn bạn nghĩ.
Tuy nhiên, chắc chắn không có hại gì khi thỉnh thoảng chạy một trình quét vi-rút theo yêu cầu như Bitdefender Virus Scanner, ngay cả khi điều này có thể phát hiện nhiều dương tính giả dưới dạng vi-rút Windows trong những thứ như tệp đính kèm thư. Virus Windows vô hại đối với người dùng Mac. Đọc về phần mềm chống vi-rút Mac tốt nhất tại đây.