Mac用家小心！　爆發大型「勒索病毒」（附解救辦法）

很多人一直有一個錯誤的理解，以為Mac電腦比傳統Windows較「難」受到病毒感染，其實這只是一個美麗的誤會。這幾天Mac平台就爆發有史以來最大規模的「勒索病毒」感染，究竟事件是怎樣發生，以下就為大家解釋一下。

以往因為較少用戶使用Mac電腦的關係，針對Mac平台而開發的惡意程式數量亦較少，所以才令不少朋友有「Mac機較難受感染」的誤會。不過隨着近年平台愈來愈普及，針對Mac的惡意程式亦愈來愈普遍；雖然Mac平台本身有App Store把關，但若果用戶自己繞過App Store安裝軟件，始終得承受一定風險。近日頗多Mac用戶安裝的BitTorrent軟件Transmission，官方網站的更新軟件版本2.90竟然受到惡意程式感染，令到為數不少的Mac用戶中招。

網絡安全公司Palo Alto Networks發現有關攻擊，並將惡意程式取名為「KeRanger」。由於KeRanger簽署了一個有效的Mac應用程式開發證書，可以繞過蘋果GateKeeper防護（會驗證已簽署開發者證書軟件及攔截已知惡意軟件）。KeRanger會將Mac電腦某些文檔和資料夾加密，甚至加密Time Capsule‎中的備份檔案，並向受害者發訊，要求支付一個比特幣（Bitcoin、約港幣$3,107）以贖回文件。

自救解決辦法

現時，Transmission及Apple都已經更新，封鎖了有關漏洞。不過，若果電腦已經或已懷疑感染KeRanger，可以試試以下做法。

1. 使用Terminal 或者Finder，檢查/Applications/Transmission.app/Contents/Resources/路徑下或 /Volumes/Transmission/Transmission.app/Contents/Resources/是否有檔General.rtf存在。如果有，則表明Transmission應用已被感染，建議將該版本Transmission刪除。

2. 借助預先安裝在OS X的 Activity Monitor 功能，檢查是否有一個名為「kernel_service」的程式在運行。如果是，再次檢查該程式，選擇「Open Files and Ports」 檢查是否有這樣一個檔案名 「/Users/<username>/Library/kernel_service」。如果有，那麼這個程式就是KeRanger的主程式，建議點擊 「Quit -> Force Quit」來終止這個程式。

3. 經過以上檢查後，建議使用者檢查一下，在路徑~/Library directory中是否有檔案名為「.kernel_pid」,「.kernel_time」, 「.kernel_complete」 和 「kernel_service」的檔存在，如果有，請刪除。

另外，由於Apple已經撤銷了KeRanger簽署的開發證書，並且更新了XProtect 簽名，用戶若試圖打開一個受感染的Transmission，OS X就會出現警告框上，請按照「Transmission檔無法打開，請彈出此硬碟映像」的警告指示操作，避免受感染。