您可能听说过 WannaCry，这是 2017 年 5 月导致 NHS 计算机瘫痪的勒索软件，以及 2017 年 6 月底发生的 Petya 勒索软件攻击。这些备受瞩目的案例仅对PC 用户，但您可能想知道，作为 Mac 用户，您是否应该采取任何措施来保护自己免受此类威胁，以及如果受到勒索软件攻击，如何修复问题。

以下是您需要了解的有关检测、避免和删除 Mac 上勒索软件的所有信息。

什么是勒索软件?

在查看 Mac 上的勒索软件案例之前，我们先解释一下勒索软件到底是什么。这是一种恶意软件攻击，您的文件会在违背您意愿的情况下被加密，并且如果您想再次解密文件，则会向您索要赎金，要求您支付一定的费用。

如上所述，勒索软件是 Windows 用户所关心的问题，WannaCry 和 Petya 是该平台上的知名示例，但如果您使用 Mac，还需要担心吗?

好吧，如果您在 Mac 上使用 Windows，您显然应该像在 PC 上使用 Windows 一样谨慎，但如果您使用 macOS，Apple 内置了许多安全措施来保护您，对吗?

不幸的是，即使是 Mac 也受到了勒索软件攻击的影响，尽管这种情况非常罕见，如果您继续阅读，您就会发现。

这是 Macworld 上几篇涉及 Mac 安全性的深入文章之一。如果您正在寻找 AV 购买建议，请阅读我们的最佳 Mac 防病毒软件综述 和 Mac 会感染病毒吗?;一般建议可以在我们的 Mac 安全提示；那些认为自己受到病毒攻击的人应该尝试如何删除 Mac 病毒.我们还有一个完整的Mac 病毒列表.

Mac 会感染勒索软件吗?

Mac 会感染勒索软件吗?曾经有过 Mac 勒索软件的案例吗?

答案是肯定的，但这种情况非常罕见。迄今为止，安全研究人员已经发现了一些 Mac 勒索软件示例，但没有一个示例导致严重的爆发，而且几乎没有 Mac 受到影响。然而，该列表对于了解未来勒索软件爆发可能如何传播以及如何运作非常有趣。

ThiefQuest / EvilQuest（2020 年 6 月/7 月）

Malwarebytes 强调恶意代码正在 Little Snitch 和其他 Mac 程序的盗版副本中传播俄罗斯洪流论坛 Rutracker。

该程序尝试将自身安装在系统中的多个位置，隐藏在”com.apple.questd”和”CrashReporter”等名称后面。如果您将其安装在计算机上，它将开始加密文件，然后向您显示一条勒索消息，要求您支付 50 美元比特币来解密文件。在这里阅读更多相关信息：Mac 勒索软件可以加密您的马克。

据认为，该恶意软件的勒索软件元素可能只是其目的的一部分 – 该恶意软件似乎会搜索某些文件类型，然后再将其发送到中央服务器，然后再对任何文件进行加密。

FileCoder / Filezip / Patcher（2017 年 2 月）

安全研究人员发现并识别Filezip 勒索软件伪装成可从盗版网站下载的”修补程序”应用程序。修补程序应用程序旨在非法修改 Adob​​e Photoshop 或 Microsoft Office 等流行的商业软件，以便无需购买和/或许可代码即可使用它们。

当用户尝试使用修补程序应用程序时，Filezip 会加密用户的文件，然后在列出赎金要求的每个文件夹中放置”README!.txt”、”DECRYPT.txt”或”HOW_TO_DECRYPT.txt”文件（ 0.25 比特币；2017 年 5 月撰写本文时约为 335 英镑）。值得注意的是，与许多基于 Windows 的勒索软件示例一样，Filezip 无法实际解密任何文件，因此支付赎金毫无意义。

KeRanger（2016 年 3 月）

安全研究人员发现并识别KeRanger 勒索软件位于 Transmission BitTorrent 客户端的授权更新中。 Mac 勒索软件的第一个真实示例，这一次勒索软件的创建者显然是在努力制造真正的威胁。

KeRanger 使用授权的安全证书进行签名，因此不会被 macOS Gatekeeper 安全系统阻止。 KeRanger 对文件进行加密，然后在目录中留下一个 README_FOR_DECRYPT.txt 文件，在该文件中提出赎金要求（一枚比特币；2017 年 5 月撰写本文时约为 1,338.62 英镑）。

然而，由于研究人员和苹果公司的迅速行动，他们立即吊销了安全证书，KeRanger 在成为严重威胁之前就被阻止了。然而，如果两家机构没有那么快地做出反应，情况可能会大不相同。

Gopher（2015 年 9 月）和 Mabouia（2015 年 11 月）

两名安全研究人员独立工作，分别创建Gopher 和 Mabouia，两个示例专门针对 Mac 的勒索软件。然而，这两者都只是概念验证演示，旨在表明 Mac 上完全成熟的勒索软件是完全可能的。

除了与安全研究人员共享供他们学习的副本之外，两者都不会离开研究人员的计算机，因此无法传播。

FileCoder（2014 年 6 月）

安全研究人员发现并识别了FileCoder 通过 Virus Total 病毒扫描网站，尽管那时 FileCoder 已经很旧了，已经两年前，该网站的恶意软件扫描程序首次检测到该病毒。

专门针对 OS X/macOS，FileCoder 尚未完成，也不是威胁，因为它实际上并不加密用户的数据。它确实会显示一个应用程序窗口，要求支付 30 欧元的赎金（相当厚颜无耻的是，如果使用信用卡而不是 PayPal 或西联汇款，则赎金可折扣至 20 欧元）。

目前尚不清楚 FileCoder 起源于何处，也不知道它是如何传播的。

FBI 骗局（2013 年 7 月）

十多年来，基于网站的勒索软件一直试图通过将网络浏览器”锁定”到一个声称的执法网站来向容易上当受骗的 Windows 用户勒索金钱。然而，这始终只是雾里看花，而且很容易克服。

但在 2013 年 7 月，安全研究人员发现了类似的骗局专门针对 Mac 的 Safari 浏览器。用户通过一个对话框被锁定到一个虚假的”FBI”网页，不允许他们离开该网站，并要求支付 300 美元的”罚款”才能解锁系统。

退出浏览器是不可能的。如果用户强制退出 Safari，勒索软件页面会在下次 Safari 启动时重新加载。

Apple 此后修复了 Mac 和 iPhone/iPad 上的 Safari，这样基于浏览器的勒索软件就更难操作了。但是，您可能仍然会遇到毒性较小的示例。

Mac 可以获取 WannaCry 吗?

简单地说，不。 WannaCry 利用了 Microsoft Windows 网络文件共享系统（一种称为 SMB 的技术）中的错误。一旦 WannaCry 侵入网络上的一台计算机（通常是因为某个人打开了恶意电子邮件附件），它就会利用 SMB 中的错误将自身注入到网络上尚未修补的所有其他计算机中。

Mac 还使用 SMB 作为默认网络文件共享技术，因此您最初可能认为 Mac 也会受到影响。然而，Apple 使用自己定制的 SMB 实现。虽然它与 Microsoft 的版本完全兼容，但它不会遇到相同的错误或安全漏洞，因此不会受到 WannaCry 的影响，或者至少在 WannaCry 当前的表现形式中不会受到影响。

iPhone、iPad、Apple TV 甚至 Apple Watch 都不使用 SMB 文件共享，因此理论上不会受到 WannaCry 的威胁。

Mac 可以获取 Petya 吗?

Petya 是另一种勒索软件攻击，与 WannaCry 类似，于 2017 年 6 月底袭击了欧洲和美国的计算机。

Petya 攻击了一些大公司，就像之前影响英国 NHS 的 WannaCry 勒索软件攻击一样，它迅速传播到同一网络上的 Windows 计算机。

计算机因 Windows 中的漏洞而被感染，微软已针对该漏洞发布了补丁。

大多数防病毒公司已更新其软件以防范 Petya。

Petya 勒索软件要求支付 300 美元的比特币作为赎金，才能重新获得对计算机的访问权限。然而，犯罪者被认为是业余爱好者，因为勒索信为每个受害者提供了相同的比特币地址，并且只提供了一个用于通信的电子邮件地址 – 当然，该电子邮件地址已经被关闭。

这次攻击可能是针对乌克兰政府的，而不是作为赚钱的手段。

如何保护 Mac 免受勒索软件侵害

尽管在撰写本文时，Mac（或任何 Apple 硬件）上尚未爆发严重的勒索软件爆发，但安全研究人员认为这种可能性确实存在。

在著名的 WannaCry 勒索软件攻击之后，SecurityScorecard 首席执行官 Aleksandr Yampolskiy 在 CNBC 的”Squawk Box”节目中发表讲话，坚称 Apple 用户容易受到 WannaCry 类型的攻击，即使该特定事件影响了 Windows仅限系统。

“这次攻击恰好针对的是 Windows 计算机，”他说。 “但苹果绝对容易受到类似类型的攻击。”

所以，我们假设您已被感染。你应该做什么?

第 1 步：不要惊慌

慢慢来，避免本能反应。

第 2 步：清理

使用恶意软件扫描程序，例如免费的 Bitdefender 病毒扫描程序 搜索勒索软件并将其删除。

您不太可能是唯一受到勒索软件影响的人，因此请密切关注 Macworld 等网站，以了解有关勒索软件感染的性质的更多信息。如果病毒扫描程序无法做到这一点，您很可能会找到有关如何清除感染的具体说明。

您可能会发现安全研究人员已经找到了一种免费解密您文件的方法，最近在 Mac 上发现的少数勒索软件感染示例中就发生了这种情况。

第 3 步：不付款

正如您稍后在我们检查影响 Mac 的少数现有勒索软件爆发时所看到的那样，付费很可能无法真正恢复您的文件！

第 4 步：拔下并断开存储连接

迄今为止在 Mac 上发现的有效勒索软件的一个例子是 KeRanger，它还尝试对 Time Machine 备份进行加密，试图使用户无法简单地从备份中恢复文件。

因此，在发现您的 Mac 已被勒索软件感染后，您应该立即拔掉任何可移动存储（例如外部硬盘），并通过单击条目旁边的弹出图标来断开与任何网络共享的连接，从而最大程度地减少备份被加密的可能性。 Finder 的侧边栏。

第 5 步：安装 RansomWhere?应用程序

考虑安装勒索在哪里?应用程序。这个免费的应用程序在后台运行，并监视任何类似于猖獗的文件加密的活动，例如勒索软件攻击期间发生的活动。然后它会停止该过程并告诉您发生了什么。好的，您的某些文件最终可能会被加密，但希望不会太多。

第 6 步：遵循基本的网络钓鱼防护规则

与许多勒索软件和恶意软件的例子一样，WannaCry 最初通过网络钓鱼攻击感染计算机网络。切勿打开您不期望的电子邮件附件，即使它似乎来自您认识的人，也无论它看起来多么重要、有趣或粗俗。

9 月 7 日：不要使用狡猾的软件

最新的 Mac 勒索软件尝试通过”破解”或修补程序应用程序进行传播，这些应用程序旨在让您免费使用商业软件。因此，请避免使用所有此类狡猾的软件。

第 8 步：始终确保您的系统和应用已更新

在 Mac 上，您可以通过打开系统偏好设置应用程序（您可以在 Finder 的应用程序列表中找到该应用程序）并选择 App Store 图标来配置自动更新。然后在”自动检查更新”旁边打勾，并在此标题正下方的所有框中打勾。

第9步：仅从官方网站安装

例如，如果您突然看到一个弹出窗口，提示您的某个浏览器插件已过期，请务必仅从该插件的官方网页进行更新 – 例如 Adobe 网站（如果是 Flash 插件）。永远不要相信弹出窗口中提供的链接！黑客经常利用此类弹出窗口和虚假网站来传播勒索软件和其他恶意软件。

第 10 步：经常备份，并断开连接

如果您有文件备份，那么勒索软件攻击就不那么重要了，因为您可以轻松恢复。但是，KeRanger 勒索软件爆发还尝试加密 Time Machine 备份，因此您可能会选择使用第三方应用程序，例如 碳复制 Cloner 来备份您的文件。了解更多：如何备份 Mac

仅备份 Mac 还不够。为了真正安全起见，您还应该在 Mac 备份后断开备份驱动器的连接，这样驱动器就无法在攻击中被加密。

如何保护我的 iPhone 或 iPad 免受勒索软件侵害?

iPhone 和 iPad 等 iOS 设备是从头开始构建的，比 Mac 安全得多，而通过某种恶意软件感染实现真正的勒索软件将极其困难。到目前为止当然还没有任何例子，或者至少在未越狱的 iOS 设备上是这样。

但是，iPhone、iPad 甚至 Mac 均受 iCloud 劫持，一种勒索攻击，黑客重复使用通过众多 大规模安全漏洞，以登录并控制用户的 iCloud 帐户。然后，他们更改密码并使用”查找我的 iPhone”服务远程锁定 iOS 设备或 Mac，向用户发送赎金要求以恢复控制。

除此之外，他们通常还威胁要远程擦除设备或 Mac。此类性质的第一次攻击是 2014 年的 Oleg Pliss 攻击。

通过 设置双因素身份验证，您现在就应该这样做！

但是，无论实际的勒索软件感染是否可能，确保您的 iPhone 或 iPad 完全更新当然是有意义的（请阅读如何更新 iPhone 或 iPad 上的 iOS），以便针对任何潜在威胁提供最佳保护。当新的 iOS 更新可用时，”设置”应用程序旁边会出现一条通知，您可以通过打开”设置”然后点击”常规”>”软件更新”来进行更新。 （请注意，无法在 iOS 上配置自动系统更新。）

任何声称为 iOS 设备提供防病毒扫描的应用程序充其量都可能是可疑的，因为所有 iOS 应用程序都经过沙盒处理，因此无法扫描系统或其他应用程序是否存在恶意软件。

我应该一直运行防病毒应用吗?

Mac 已经内置了反恶意软件，这可能会让您感到惊讶，这是由 Apple 提供的。

XProtect 在后台隐形运行，并扫描您作为标准文件隔离过程的一部分下载的任何文件。 Apple 会定期使用 XProtect 更新新的恶意软件定义，您可以按照以下步骤查看更新频率：

1. 依次点击”Apple”>”关于本机”，然后点击”系统报告”按钮，打开”系统信息”应用。
2. 选择左侧列表中的”软件”标题，然后选择其下方的”安装”标题。
3. 点击”安装日期”列标题可按最新顺序对列表进行排序，并查找读取 XProtectPlistConfigData 的条目。

XProtect 是苹果公司在 KeRanger 有机会成为流行病之前击败它的方法，KeRanger 也许是迄今为止最严重的基于 Mac 的勒索软件威胁。此外，最新的 Mac 勒索软件 Filezip 也已添加到 XProtect 中。

结合文件隔离和 Gatekeeper 等其他内置保护措施（这两种保护措施都可以阻止用户随意运行应用程序或打开从陌生网站下载的文档），Mac 能够比您想象的更好地防御勒索软件。

但是，偶尔运行按需病毒扫描程序（例如 Bitdefender Virus Scanner）肯定没有什么坏处，即使这很可能会在邮件附件等内容中发现许多 Windows 病毒形式的误报。 Windows 病毒对 Mac 用户无害。了解此处的最佳 Mac 防病毒软件。