Mac用家小心！　爆发大型“勒索病毒”（附解救办法）

很多人一直有一个错误的理解，以为Mac电脑比传统Windows较“难”受到病毒感染，其实这只是一个美丽的误会。这几天Mac平台就爆发有史以来最大规模的“勒索病毒”感染，究竟事件是怎样发生，以下就为大家解释一下。

以往因为较少用户使用Mac电脑的关系，针对Mac平台而开发的恶意程式数量亦较少，所以才令不少朋友有“Mac机较难受感染”的误会。不过随着近年平台愈来愈普及，针对Mac的恶意程式亦愈来愈普遍；虽然Mac平台本身有App Store把关，但若果用户自己绕过App Store安装软件，始终得承受一定风险。近日颇多Mac用户安装的BitTorrent软件Transmission，官方网站的更新软件版本2.90竟然受到恶意程式感染，令到为数不少的Mac用户中招。

网络安全公司Palo Alto Networks发现有关攻击，并将恶意程式取名为“KeRanger”。由于KeRanger签署了一个有效的Mac应用程式开发证书，可以绕过苹果GateKeeper防护（会验证已签署开发者证书软件及拦截已知恶意软件）。KeRanger会将Mac电脑某些文档和资料夹加密，甚至加密Time Capsule‎中的备份档案，并向受害者发讯，要求支付一个比特币（Bitcoin、约港币$3,107）以赎回文件。

自救解决办法

现时，Transmission及Apple都已经更新，封锁了有关漏洞。不过，若果电脑已经或已怀疑感染KeRanger，可以试试以下做法。

1. 使用Terminal 或者Finder，检查/Applications/Transmission.app/Contents/Resources/路径下或 /Volumes/Transmission/Transmission.app/Contents/Resources/是否有档General.rtf存在。如果有，则表明Transmission应用已被感染，建议将该版本Transmission删除。

2. 借助预先安装在OS X的 Activity Monitor 功能，检查是否有一个名为“kernel_service”的程式在运行。如果是，再次检查该程式，选择“Open Files and Ports” 检查是否有这样一个档案名 “/Users/<username>/Library/kernel_service”。如果有，那么这个程式就是KeRanger的主程式，建议点击 “Quit -> Force Quit”来终止这个程式。

3. 经过以上检查后，建议使用者检查一下，在路径~/Library directory中是否有档案名为“.kernel_pid”,“.kernel_time”, “.kernel_complete” 和 “kernel_service”的档存在，如果有，请删除。

另外，由于Apple已经撤销了KeRanger签署的开发证书，并且更新了XProtect 签名，用户若试图打开一个受感染的Transmission，OS X就会出现警告框上，请按照“Transmission档无法打开，请弹出此硬碟映像”的警告指示操作，避免受感染。