Как да преинсталирате OS X след инфекция със зловреден софтуер

Скорошният вредоносен софтуер Flashback за OS X предизвика малко раздвижване в общността на Mac и въпреки че засегна само част от базата за инсталиране на OS X, все още има хора, които наистина са намерили злонамерен софтуер на техните системи в CNET и в дискусиите на Apple.

В по-голямата си част, хората намират зловредния софтуер на своите системи, като имат инсталиран антивирусен скенер или обратна защитна стена, като Little Snitch, и са получили предупреждение, че зловредният софтуер е намерен или програмният файл започва с кратко име с период, който се опитва да се свърже с отдалечени сървъри чрез странни имена на домейни като cuojshtbohnt.com и gangstaparadise.rr.nu.

Тези ясни опити доведоха до разследване на зловредния софтуер и показаха, че тази дейност е първата част от атаката със злонамерен софтуер, където зловредният софтуер е нарушил пясъка на Java, а програмата се опитва да изтегли полезния товар, който впоследствие ще се прехвърли върху местните приложения, като промени стартирайте променливи на средата в рамките на програмата или в акаунта на потребителя.

Досега зловредният софтуер е доста добре описан и не е вирусен по природа, така че за всеки конкретен вариант той се инсталира на едно място и се изпълнява от там, за да повлияе на системата. В резултат на това, когато даден вариант е охарактеризиран, трябва да можете да го премахнете от системата си, като следвате подробни инструкции. Въпреки това, зловредният софтуер може да се променя бързо (както демонстрира Flashback) и тъй като могат да се появят нови варианти, които ще променят опитваните начини на атака, може да има хора, които не могат да определят кой вариант са се сблъскали, и се съмняват в способността им да изчистят зловредния софтуер от техните системи.

В такива ситуации има два подхода. Първият е да получите надежден скенер за зловреден софтуер като VirusBarrier, Sophos или ClamXav, да го инсталирате и актуализирате, след което да сканира системата за известни варианти на зловредния софтуер. По този начин можете най-малкото да поставите под карантина всички намерени зловредни програми.

Това е препоръчителен подход; въпреки това, той разчита на дефиниции за зловреден софтуер, дефинирани за зловреден софтуер, който може да изостава от първоначалните открития на злонамерен софтуер.

Вторият подход е да се откаже от опит за управление на зловредния софтуер и да се извърши преинсталиране на операционната система. Макар че това ще гарантира, че ще започнете от чист плот, това ще бъде малко натоварване за някои хора, особено след като може да не сте в състояние да се доверите на резервни копия на Time Machine или системни клонове, за да бъдат свободни от зловредния софтуер и следователно не може просто да възстановите системата от архив.

Ако можете да запомните точно такъв случай, когато системата ви е била засегната от злонамерен софтуер, например когато сте инсталирали скорошна актуализация на Flash, която може да е била зловредният софтуер, или когато за първи път видяхте други предупредителни знаци, свързани със зловредния софтуер, тогава може да може да преинсталира резервно копие, преди да е възникнал проблемът; въпреки това в много случаи може да не сте в състояние надеждно да идентифицирате такива случаи.

Ако сте решили, че ще бъде най-добре да го играете безопасно и да изтриете вашата система и да започнете отначало, като следвате тази процедура, трябва да сте в състояние да го направите, като запазите данните си.

  1. Синхронизирайте и архивирайте

    Първо се уверете, че вашата система е правилно синхронизирана с услугите, базирани на Cloud (iCloud, Google, Yahoo и т.н.), за да се гарантира запазването на елементи като контакти и календари. Можете също да отидете в Адресна книга, iCal и други програми, които редовно използвате, и да експортирате календари, контакти и други данни, за да ги запазите на флаш устройство или друг отделен носител. Тези действия ще гарантират, че ще можете да възстановите някои от тези елементи, без да разчитате на услугите за синхронизиране, за да ги управлявате вместо вас.

    Освен синхронизиране, уверете се, че системата е архивирана. Използвайте Time Machine или инструмент за клониране, за да архивирате файловете си или поне ръчно да копирате всички папки от домашната си директория на външен твърд диск и да го направите за всеки активен акаунт в системата, като влезете във всеки и изпълните тези действия.

    Когато приключите с архивирането, демонтирайте и откачете външния твърд диск, който сте използвали за архивирането.

  2. Деавторизиране или отписване на приложения Някои често срещани приложения, като iTunes, имат функции за оторизация и регистрация за преглед и управление на съдържание, така че не забравяйте да преоторизирате тези функции, преди да продължите, тъй като може да срещнете проблеми при повторното конфигуриране на програмите. Например, iTunes позволява само 5 компютъра да бъдат оторизирани за определен профил в iTunes Store, така че можете да деавторизирате компютъра, като изберете опцията да го направите в менюто „Магазин“, за да попречите на магазина да приеме, че сте разрешили повече системи от вас собствен.
  3. Форматирайте устройството

    Рестартирайте системата до инсталационния DVD диск на OS X за OS X 10.6 или по-ранна версия (задръжте клавиша C при стартиране с DVD в оптичното устройство) или рестартирайте с клавишите Command-R за OS X 10.7. Когато се инсталира инсталаторът на OS X, изберете вашия език и след това отворете Disk Utility (налично в менюто Utilities, ако не е представено в прозореца Tools).

    В Disk Utility изберете вашия багажник и след това използвайте раздела Erase, за да го форматирате в "Mac OS X Extended (журналиран)". Този процес трябва да бъде доста бърз и когато сте готови, трябва да ви остави празен твърд диск.

  4. Преинсталирайте OS X

    Затворете Disk Utility и отворете инсталатора на OS X. Не избирайте опция за възстановяване от архив. Следвайте инструкциите на екрана, за да изберете ново форматирания твърд диск и преинсталирайте OS X, след което изчакайте инсталацията да приключи.

  5. Създаване на нов акаунт

    Когато OS X се инсталира наскоро, ще ви попита дали искате да мигрирате данни от архив или от друг компютър. Избягвайте да правите това и вместо това създайте нов потребителски акаунт за себе си (можете да използвате едно и също име на акаунт и друга информация).

  6. Актуализирайте системата

    Когато за първи път влезете в профила си, отидете на Software Update (в менюто Apple) и актуализирайте системата до най-новата версия. Изпълнете актуализацията на софтуера няколко пъти, докато не са налични повече актуализации.

  7. Деактивирайте Java

    Най-новите Flashback заплахи са насочени към системи с уязвимости в Java. Докато Apple спря доставката на Java с OS X Lion, предишните версии на OS X го инсталираха по подразбиране. Често Java не е необходима за стартиране на приложения в OS X, така че освен ако нямате конкретна нужда от нея, изключете го. Дори и да подозирате, че може да имате нужда от Java, може да помислите да започнете с него и да я активирате само въз основа на търсенето.

    Има два основни начина за управление на Java в OS X. Първата е чрез специфични за приложението настройки, като предпочитанията за Safari, Firefox и други уеб браузъри, където можете да намерите настройки, за да забраните приставката Java и управлението на Java ( не деактивирайте JavaScript). Тези настройки ще гарантират, че специалните програми не използват Java, и в по-голямата си част ще са достатъчни, за да попречат на Java да се възползва от системата; Ако обаче възстановите Safari или инсталирате нов уеб браузър, можете по невнимание да използвате Java.

    За да предотвратите неволно използване на Java от програми, можете да отворите помощната програма Java Preferences в папката / Applications / Utilities / и махнете отметките от изброените Java runtimes, за да ги деактивирате в цялата система. Ако при отварянето на Java предпочитанията получавате предупреждение, че трябва да инсталирате Java, тогава вашата система няма инсталирана и не е необходимо да правите нищо друго.

    Ако имате нужда от инсталирана и активна Java на вашата система, тогава не забравяйте да приложите най-новата актуализация на софтуера на Java и да я изключите в уеб браузърите.

  8. Възстановете данните си от архива

    Следващата стъпка е да копирате данните си обратно в системата си от архивите ви. За да направите това, не използвайте инструмента на помощника за миграция на Apple, тъй като той ще възстанови папки и приложения, които може да са били променени от злонамерения софтуер, така че вместо това копирайте файловете от папките „Документи“, „Филми“, „Музика“ и други домашни директории в съответните им местоположения в потребителски акаунт.

    Текущият зловреден софтуер на Flashback е засегнал съдържанието на потребителската библиотека, особено папката „Стартиращи агенти“, и докато можете да възстановите съдържанието на папката в новата си потребителска библиотека, за да запазите някои настройки и конфигурации, заради допълнителните грижи в Този подход е най-добре да оставите тази папка самостоятелно и да възстановявате отделни елементи от нея само при необходимост.

    В този момент можете да настроите iCloud или други услуги за синхронизиране в системните предпочитания и след това да стартирате Address Book, Mail, iCal и други програми, които използвате за конфигуриране на тези програми и акаунтите, които използвате с тях. Ако вашите контакти и календари липсват, можете да ги импортирате отново от създадените преди това ръчни архиви.

    Изпълнете стъпки 6 и 7 за всякакви допълнителни потребителски акаунти в системата, като първо създадете акаунта, деактивирате Java и след това възстановите данните за профила от архива.

  9. Преинсталирайте приложенията

    Следващата стъпка след възстановяване на профилите ви е да преинсталирате приложенията, които използвате. Докато предишният ви набор от приложения беше архивиран преди да започнете тази процедура, избягвайте възстановяването им или отварянето им, защото в един от начините на заразяване софтуерът Flashback директно променя някои от тези програми. Вместо това използвайте архива като отправна точка за приложенията, които сте имали преди, и ги преинсталирайте от техните инсталационни дискове, Mac App Store или други средства, с които първоначално сте ги получили.

    Когато инсталирате приложенията си, не забравяйте да ги актуализирате напълно и след това да ги отворите и конфигурирате според предпочитанията си.

    На този етап системата ви трябва да се върне в състояние, което може да се използва, и трябва да можете да продължите работния си процес, както беше преди преинсталирането. Ако установите, че липсват някои необходими шрифтове, звуци или други файлове, от които се нуждаят вашите приложения, можете да получите достъп до тях от глобалната / библиотечна папка от архива или от папката / Library от потребителския си акаунт.

Последната стъпка в този процес е да се предпазите от по-нататъшна инфекция. Докато деактивирането на Java, както е споменато по-горе, е една стъпка, можете да вземете допълнителни, за да защитите системата си. Инсталирайте обратна защитна стена, като Little Snitch, за да откриете и блокирате програми от обаждане до отдалечени сървъри и да обмислите инсталирането на антивирусна програма.

Въпреки че не е необходимо да конфигурирате антивирусния инструмент, за да сканирате старателно всички файлове при поискване, можете да го настроите да сканира само обикновени папки за изтегляне (като работния плот или папката за изтегляния в потребителския ви профил) и след това веднъж седмично или може би веднъж месечно да сканира цялата система. Засега, въпреки най-новите новини за зловреден софтуер, това би трябвало да е достатъчно, за да предотврати злонамерен софтуер и да ви осигури достатъчна защита.

АКТУАЛИЗИРАНО: 4/8/2012, 12:30 pm - Добавена е информация за деавторизиране на приложения преди форматирането (благодарение на четеца на MacFixIt Michael N.)


 

Оставете Коментар