Cách cài đặt lại OS X sau khi bị nhiễm phần mềm độc hại

Phần mềm độc hại Flashback gần đây cho OS X đã gây ra một sự xôn xao trong cộng đồng Mac và mặc dù nó chỉ ảnh hưởng đến một phần cơ sở cài đặt OS X, nhưng vẫn có những người thực sự tìm thấy phần mềm độc hại trên hệ thống của họ. đến CNET và trên diễn đàn thảo luận của Apple.

Phần lớn, mọi người đã tìm thấy phần mềm độc hại trên hệ thống của họ bằng cách cài đặt trình quét chống vi-rút hoặc tường lửa ngược như Little Snitch và đã được cảnh báo rằng phần mềm độc hại đã được tìm thấy hoặc tệp chương trình có tên ngắn bắt đầu với một khoảng thời gian cố gắng liên lạc với các máy chủ từ xa thông qua các tên miền nghe có vẻ kỳ quái như cuojshtbohnt.com và gangstaparadise.rr.nu.

Những nỗ lực rõ ràng này đã thúc đẩy điều tra về phần mềm độc hại và đã chỉ ra rằng hoạt động này là phần đầu tiên của cuộc tấn công phần mềm độc hại, nơi phần mềm độc hại đã phá vỡ hộp cát Java và chương trình đang cố tải xuống tải trọng mà sau đó sẽ cõng trên các ứng dụng cục bộ bằng cách thay đổi khởi chạy các biến môi trường trong chương trình hoặc trong tài khoản của người dùng.

Cho đến nay, phần mềm độc hại đã được mô tả khá tốt và về bản chất không phải là virus, vì vậy đối với bất kỳ biến thể cụ thể nào, nó sẽ cài đặt vào một vị trí duy nhất và chạy từ đó để ảnh hưởng đến hệ thống. Do đó, khi một biến thể đã được đặc trưng, ​​bạn sẽ có thể xóa nó khỏi hệ thống của mình bằng cách làm theo các hướng dẫn chi tiết. Tuy nhiên, phần mềm độc hại có thể thay đổi nhanh chóng (như Flashback đã chứng minh) và vì các biến thể mới có thể xuất hiện sẽ thay đổi các chế độ tấn công đã cố gắng, có thể có những người không thể xác định biến thể nào họ có thể gặp phải và nghi ngờ khả năng của họ có thể xóa phần mềm độc hại khỏi hệ thống của họ.

Trong những tình huống này, có hai cách tiếp cận bạn có thể thực hiện. Đầu tiên là để có được một trình quét phần mềm độc hại có uy tín như VirusBarrier, Sophos hoặc ClamXav, cài đặt và cập nhật nó, sau đó cho nó quét hệ thống để tìm các biến thể đã biết của phần mềm độc hại. Bằng cách này, bạn ít nhất có thể cách ly mọi tệp phần mềm độc hại được tìm thấy.

Đây là một cách tiếp cận được đề xuất; tuy nhiên, nó dựa vào các định nghĩa về phần mềm độc hại đã được xác định cho phần mềm độc hại, có thể tụt hậu so với các phát hiện ban đầu về phần mềm độc hại.

Cách tiếp cận thứ hai là từ bỏ nỗ lực quản lý phần mềm độc hại và thực hiện cài đặt lại hệ điều hành. Mặc dù điều này sẽ đảm bảo rằng bạn bắt đầu từ một bảng xếp hạng sạch sẽ, nhưng sẽ có một chút gánh nặng đối với một số người, đặc biệt là vì bạn không thể tin tưởng các bản sao lưu Time Machine hoặc bản sao hệ thống không có phần mềm độc hại và do đó có thể không thể khôi phục hệ thống của bạn từ bản sao lưu.

Nếu bạn có thể nhớ một ví dụ chính xác khi hệ thống của bạn bị ảnh hưởng bởi phần mềm độc hại, chẳng hạn như khi bạn cài đặt bản cập nhật gần đây cho Flash có thể là phần mềm độc hại hoặc khi bạn lần đầu tiên nhìn thấy bất kỳ dấu hiệu cảnh báo nào khác liên quan đến phần mềm độc hại, thì bạn có thể có thể cài đặt lại bằng cách sử dụng sao lưu từ trước khi sự cố xảy ra; tuy nhiên, trong nhiều trường hợp, bạn có thể không xác định được những trường hợp đó một cách đáng tin cậy.

Nếu bạn đã quyết định rằng tốt nhất là bạn nên chơi an toàn và xóa sạch hệ thống của bạn và bắt đầu lại, bằng cách làm theo quy trình này, bạn sẽ có thể làm như vậy trong khi bảo quản dữ liệu của mình.

  1. Đồng bộ hóa và sao lưu

    Trước tiên, hãy đảm bảo rằng hệ thống của bạn được đồng bộ hóa chính xác với các dịch vụ dựa trên Đám mây của bạn (iCloud, Google, Yahoo, v.v.) để đảm bảo các mục như danh bạ và lịch được lưu. Bạn cũng có thể truy cập Sổ địa chỉ, iCal và các chương trình khác mà bạn thường xuyên sử dụng và xuất lịch, danh bạ và dữ liệu khác để lưu vào ổ đĩa flash hoặc phương tiện lưu trữ riêng biệt khác. Những hành động như vậy sẽ đảm bảo bạn sẽ hủy bỏ để khôi phục một số mục này mà không cần dựa vào các dịch vụ đồng bộ hóa để quản lý chúng cho bạn.

    Ngoài việc đồng bộ hóa, hãy đảm bảo hệ thống của bạn được sao lưu. Sử dụng Time Machine hoặc công cụ nhân bản để sao lưu các tệp của bạn hoặc ít nhất là sao chép thủ công tất cả các thư mục từ thư mục chính của bạn vào ổ cứng ngoài và thực hiện việc này cho mọi tài khoản đang hoạt động trên hệ thống bằng cách đăng nhập vào từng tài khoản hành động.

    Khi bạn đã sao lưu xong, hãy ngắt kết nối và tháo ổ cứng ngoài mà bạn đã sử dụng để sao lưu.

  2. Hủy cấp phép hoặc hủy đăng ký ứng dụng Một số ứng dụng phổ biến như iTunes có các tính năng ủy quyền và đăng ký để xem và quản lý nội dung, do đó hãy chắc chắn ủy quyền lại các tính năng này trước khi tiếp tục vì bạn có thể gặp sự cố khi định cấu hình lại chương trình. Chẳng hạn, iTunes chỉ cho phép 5 máy tính được ủy quyền cho một tài khoản iTunes Store cụ thể, do đó bạn có thể hủy cấp phép cho máy tính bằng cách chọn tùy chọn để làm như vậy trong menu "Store" để ngăn cửa hàng cho rằng bạn có nhiều hệ thống hơn bạn sở hữu.
  3. Định dạng ổ đĩa

    Khởi động lại hệ thống vào DVD cài đặt OS X cho OS X 10.6 trở về trước (giữ phím C khi khởi động với DVD trong ổ đĩa quang) hoặc khởi động lại bằng các phím Command-R được giữ cho OS X 10.7. Khi trình cài đặt OS X tải, chọn ngôn ngữ của bạn và sau đó mở Disk Utility (có sẵn trong menu Tiện ích nếu nó không được hiển thị trong cửa sổ Công cụ).

    Trong Disk Utility, chọn khối lượng khởi động của bạn và sau đó sử dụng tab Xóa để định dạng nó thành "Mac OS X Extended (đã ghi nhật ký)." Quá trình này sẽ khá nhanh chóng và khi hoàn thành sẽ để lại cho bạn một đĩa cứng trống.

  4. Cài đặt lại OS X

    Thoát khỏi Disk Utility và sau đó mở trình cài đặt OS X. Không chọn bất kỳ tùy chọn để khôi phục từ bản sao lưu. Làm theo các hướng dẫn trên màn hình để chọn ổ cứng mới được định dạng của bạn và cài đặt lại OS X, sau đó đợi quá trình cài đặt hoàn tất.

  5. Tạo tài khoản mới

    Khi OS X được cài đặt mới, nó sẽ hỏi bạn liệu bạn có muốn di chuyển dữ liệu từ bản sao lưu hoặc từ một máy tính khác không. Tránh làm điều này, và thay vào đó hãy tạo một tài khoản người dùng mới cho chính bạn (bạn có thể sử dụng cùng tên tài khoản và thông tin khác).

  6. Cập nhật hệ thống

    Khi bạn đăng nhập lần đầu vào tài khoản của mình, hãy truy cập Cập nhật phần mềm (trong menu Apple) và cập nhật hệ thống lên phiên bản mới nhất. Chạy Cập nhật phần mềm nhiều lần cho đến khi không còn cập nhật nữa.

  7. Vô hiệu hóa Java

    Phần mềm độc hại Flashback mới nhất đe dọa các hệ thống nhắm mục tiêu có lỗ hổng Java. Mặc dù Apple đã ngừng vận chuyển Java với OS X Lion, các phiên bản trước của OS X đã cài đặt nó theo mặc định. Thường thì Java không cần thiết để chạy các ứng dụng trong OS X, vì vậy trừ khi bạn có nhu cầu cụ thể về nó, thì hãy tắt nó đi. Ngay cả khi bạn nghi ngờ bạn có thể cần Java, bạn có thể xem xét bắt đầu với nó bị vô hiệu hóa và sau đó chỉ kích hoạt nó dựa trên nhu cầu.

    Có hai cách chung để quản lý Java trong OS X. Đầu tiên là thông qua các cài đặt dành riêng cho ứng dụng, chẳng hạn như các tùy chọn cho Safari, Firefox và các trình duyệt Web khác, nơi bạn có thể định vị các cài đặt để vô hiệu hóa trình cắm Java và quản lý Java ( không tắt JavaScript). Các cài đặt này sẽ đảm bảo các chương trình đặc biệt không sử dụng Java và phần lớn sẽ đủ để ngăn Java khỏi bị lợi dụng trên hệ thống; tuy nhiên, nếu bạn đặt lại Safari hoặc cài đặt trình duyệt Web mới thì bạn có thể vô tình sử dụng Java.

    Để ngăn chặn việc sử dụng Java vô tình bởi các chương trình, bạn có thể mở tiện ích Tùy chọn Java trong thư mục / Ứng dụng / Tiện ích / và bỏ chọn các thời gian chạy Java được liệt kê để vô hiệu hóa chúng trên toàn hệ thống. Nếu khi mở các tùy chọn Java, bạn nhận được cảnh báo về việc cần cài đặt Java, thì hệ thống của bạn không được cài đặt và bạn không cần phải làm gì khác.

    Nếu bạn cần cài đặt và kích hoạt Java trên hệ thống của mình, thì hãy chắc chắn áp dụng bản cập nhật phần mềm Java mới nhất và xem xét việc vô hiệu hóa nó trong các trình duyệt Web.

  8. Khôi phục dữ liệu của bạn từ bản sao lưu

    Bước tiếp theo là sao chép dữ liệu của bạn trở lại hệ thống của bạn từ bản sao lưu của bạn. Không sử dụng công cụ Trợ lý di chuyển của Apple để thực hiện việc này vì nó sẽ khôi phục các thư mục và ứng dụng có thể đã bị phần mềm độc hại thay đổi, vì vậy thay vào đó hãy sao chép các tệp từ Tài liệu, Phim, Nhạc và các thư mục thư mục chính khác vào vị trí tương ứng của chúng tài khoản người dùng.

    Phần mềm độc hại Flashback hiện tại đã ảnh hưởng đến nội dung của thư viện người dùng, đặc biệt là thư mục Launch Agents và trong khi bạn có thể khôi phục nội dung của thư mục vào Thư viện người dùng mới của mình để bảo vệ một số cài đặt và cấu hình, vì cần phải cẩn thận hơn Cách tiếp cận này, tốt nhất là để thư mục đó một mình và chỉ khôi phục các mục riêng lẻ ra khỏi nó khi cần thiết.

    Tại thời điểm này, bạn có thể thiết lập iCloud hoặc các dịch vụ đồng bộ hóa khác trong tùy chọn hệ thống, sau đó khởi chạy Sổ địa chỉ, Thư, iCal và các chương trình khác mà bạn sử dụng để định cấu hình các chương trình đó và tài khoản bạn sử dụng với chúng. Nếu danh bạ và lịch của bạn bị thiếu, thì bạn có thể nhập lại chúng từ bản sao lưu thủ công bạn đã tạo trước đó.

    Thực hiện các bước 6 và 7 cho bất kỳ tài khoản người dùng bổ sung nào trên hệ thống bằng cách trước tiên tạo tài khoản, hủy kích hoạt Java và sau đó khôi phục dữ liệu tài khoản từ bản sao lưu.

  9. Cài đặt lại ứng dụng

    Bước tiếp theo sau khi khôi phục tài khoản của bạn là cài đặt lại các ứng dụng bạn sử dụng. Mặc dù bộ ứng dụng trước đó của bạn đã được sao lưu trước khi bạn bắt đầu quy trình này, tránh khôi phục chúng hoặc mở chúng vì trong một chế độ lây nhiễm, phần mềm độc hại Flashback sẽ trực tiếp thay đổi một số chương trình này. Thay vào đó, hãy sử dụng bản sao lưu làm tài liệu tham khảo cho những ứng dụng bạn đã có trước đây và cài đặt lại chúng từ đĩa cài đặt của chúng, Mac App Store hoặc các phương tiện khác mà ban đầu bạn có được chúng.

    Khi bạn đã cài đặt ứng dụng của mình, hãy đảm bảo cập nhật đầy đủ, sau đó mở và định cấu hình chúng theo sở thích của bạn.

    Tại thời điểm này, hệ thống của bạn sẽ được sao lưu về trạng thái có thể sử dụng được và bạn sẽ có thể tiếp tục quy trình làm việc của mình như trước khi cài đặt lại. Nếu bạn thấy bạn đang thiếu một số phông chữ, âm thanh hoặc các tệp khác mà ứng dụng của bạn cần, thì bạn có thể truy cập chúng từ thư mục toàn cầu / Thư viện từ bản sao lưu hoặc trong thư mục / Thư viện từ tài khoản người dùng của bạn.

Bước cuối cùng trong quy trình này là bảo vệ bạn khỏi bị nhiễm trùng thêm. Mặc dù vô hiệu hóa Java như đã đề cập ở trên là một bước, bạn có thể thực hiện các bước bổ sung để giúp bảo mật hệ thống của mình. Cài đặt một tường lửa đảo ngược như Little Snitch để giúp phát hiện và chặn các chương trình từ việc gọi điện về nhà đến các máy chủ từ xa và xem xét việc cài đặt một tiện ích chống vi-rút.

Mặc dù bạn không phải định cấu hình công cụ chống vi-rút để siêng năng quét tất cả các tệp theo yêu cầu, bạn chỉ có thể thiết lập nó để quét các thư mục tải xuống phổ biến (như Bàn làm việc hoặc thư mục Tải xuống trong tài khoản người dùng của bạn) mỗi tháng một lần nó quét toàn bộ hệ thống. Hiện tại, mặc dù có tin tức về phần mềm độc hại mới nhất, nhưng điều này là đủ để tránh phần mềm độc hại và cung cấp cho bạn sự bảo vệ rộng rãi.

CẬP NHẬT: 4/8/2012, 12:30 tối - Đã thêm thông tin về việc hủy cấp phép các ứng dụng trước khi định dạng (nhờ trình đọc MacFixIt Michael N.)


 

Để LạI Bình LuậN CủA BạN