V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jiangzhizhou
V2EX  ›  macOS

大家对这个 OS X 病毒有什么看法么?我觉得不是盗版的原因。希望能有详细的分析和防范。

  •  
  •   jiangzhizhou · 2015-10-02 21:17:54 +08:00 via iPhone · 7610 次点击
    这是一个创建于 3358 天前的主题,其中的信息可能已经有所发展或是发生改变。
    74 条回复    2015-10-04 19:05:53 +08:00
    est
        1
    est  
       2015-10-02 21:22:20 +08:00
    还需要猜? LZ 你是来 SEO 的吧。原 po 点进就能看到

    http://weibo.com/douwacorn

    est
        2
    est  
       2015-10-02 21:23:24 +08:00
    sinxccc
        3
    sinxccc  
       2015-10-02 21:23:43 +08:00
    要么是 bootcamp Windows 要么是 Parallels ,总之是 Windows 被感染,然后把挂载或者是共享在上面的 OS X 目录都加密了。
    nbndco
        4
    nbndco  
       2015-10-02 21:24:18 +08:00
    这个东西能算病毒么?只是一个普通软件而已,只不过它偷偷加密了你的文件……
    没什么办法可防范的,在操作系统的角度,这只是一个读写了一些文件的普通程序,所以不要乱运行乱七八糟的软件
    holong2000
        5
    holong2000  
       2015-10-02 21:26:00 +08:00
    只能说,这个贴主真是 too simple, naive 了。随便下了个可执行文件就敢点。
    sinxccc
        6
    sinxccc  
       2015-10-02 21:27:05 +08:00
    @est Mackeeper...我觉得有些人就是天生爱用流氓软件和病毒吧…
    chaucerling
        7
    chaucerling  
       2015-10-02 21:32:53 +08:00
    看到一半才发现是剑三软文
    CRH
        8
    CRH  
       2015-10-02 21:35:46 +08:00
    这明显是 Parallels Desktop 里面的 Windows 虚拟机被病毒感染了然后把 Mac 共享给虚拟机的文件都加密了,跟 Mac 半点关系没有。这哥们这样也能把所有文件都丢了也真是够了
    1ychee
        9
    1ychee  
       2015-10-02 21:35:58 +08:00
    @sinxccc 嗯。。 MacKeeper 。。。
    justahappy
        10
    justahappy  
       2015-10-02 21:37:16 +08:00
    Parallels 千万别再开共享了。。。。 mac 都用 app store 的,有沙盒系统。
    goodbest
        11
    goodbest  
       2015-10-02 21:41:06 +08:00
    “我刚刚下了一个 mackeeper...”


    哼哼哼
    holong2000
        12
    holong2000  
       2015-10-02 21:42:41 +08:00
    @justahappy 不开共享,连两边复制粘贴都用不了
    canautumn
        13
    canautumn  
       2015-10-02 21:43:13 +08:00
    整个过程就不吐槽了。 Parallels 会挂载整个 Mac 磁盘,说到底还是 Windows 恶意软件。而且一看就是初级玩家,居然问要不要买 MacKeeper 这种问题。不过也算给大家提个醒,一是要注意备份(就算没有恶意软件,万一 Mac 磁盘崩溃了效果差不多),二是不要以为在虚拟机里运行就没问题了,三是要小心勒索软件。
    allan1st
        14
    allan1st  
       2015-10-02 21:58:58 +08:00
    偏个题,你们没人觉得这种『长微博』实在是太恶心了么?在电脑和平板上怎么看?
    Deeer
        15
    Deeer  
       2015-10-02 22:17:07 +08:00
    逛微博的时候也看到了这个。。还好我有备份的习惯,还特意在外接硬盘上格了个专用空间做备份。说实话,目前为止我还没在 mac 上遇到什么病毒。唯一 的防范也只是备份罢了。。。
    zander
        16
    zander  
       2015-10-02 22:26:38 +08:00
    最近全世界这种恶意加密软件超级多,很多国家的企业甚至是政府部门都中招了,都是交钱了事,解密不了的。
    忠告,文稿也好照片也好,放一份放云端没坏处的。
    zander
        17
    zander  
       2015-10-02 22:55:45 +08:00
    另外面对这类恶意软件 OSX 顶多就比 Windows 好那么一丁点(得益于沙盒策略)。
    它们的原理很简单,遍历你硬盘上所有文件,满足后缀是 JPG DOC PPT 等等的文件就加个密。因为是你手动运行的,加密大部分文件需要用的权限它们已经有了。
    面对这类恶意程序,安全软件其实是很有效果的,但它们没有人能保证 100%预防。(我觉得安全软件公司可以展开个新服务,为那些用了自己的软件但仍然中招了的用户提供赔付,换句话说卖保险)
    因为不能保证 100%预防,还是裸奔算了吧,管住自己的手最重要。
    likuku
        18
    likuku  
       2015-10-02 23:03:38 +08:00
    没有备份么?
    Time Machine 从来不用么?
    重要文档为什么不在 Google Doc / Evernote /OneNote 上写?
    likuku
        19
    likuku  
       2015-10-02 23:05:20 +08:00   ❤️ 1
    即便虚拟机也不敢随便开数据互通吧,最多只能让 Mac 和 虚拟机可以双向访问剪贴板就算很开恩了吧。
    likuku
        20
    likuku  
       2015-10-02 23:07:40 +08:00
    照片,推荐的备份方案:
    本机放一份
    Time Machine 备份一份
    NAS 备份一份
    flickr 备份一份
    google photos 备份一份
    sunyang
        21
    sunyang  
       2015-10-02 23:11:23 +08:00
    虚拟机文件互通的事情,本质上是 Windows 病毒,你这个有点标题党了。
    187j3x1
        22
    187j3x1  
       2015-10-02 23:12:24 +08:00
    第一作死 看都不看就打开
    第二作死 跟 pd 共享全盘
    第三作死 重要文件没备份
    想起了空中浩劫的一句话 每个事故都是由无数个失误组成
    话说 1 楼能删图吗 滚轮已坏
    4faramita
        23
    4faramita  
       2015-10-02 23:39:57 +08:00
    吓得我赶紧插上了时间机器
    pynix
        24
    pynix  
       2015-10-03 00:20:43 +08:00
    给钱吧。。。。。
    dndx
        25
    dndx  
       2015-10-03 00:41:47 +08:00 via iPad
    没错。明显是全盘共享后被 Windows 病毒连累了。连那个网站上都说 "download the software and run in the encrypted PC"。

    我用 VmWare Fusion 但是从来不开共享。否则虚拟机的隔离意义完全没了。
    Yvette
        26
    Yvette  
       2015-10-03 04:17:57 +08:00
    PD 的锅
    coldear
        27
    coldear  
       2015-10-03 06:19:22 +08:00
    这个用了云存储也没办法吧,加密后的给同步到云端一样没用。
    感觉只有 time machine 能救
    zhouzm
        28
    zhouzm  
       2015-10-03 07:30:24 +08:00
    楼主愿意花这么多功夫写长文,居然看到下载的 exe 毫不犹豫的就双击了,完全不像是一个人干的事儿嘛
    zander
        29
    zander  
       2015-10-03 07:50:43 +08:00
    @coldear Dropbox 有数据回滚。 Apple 当年收购 Dropbox 没成功太可惜了,现在 iCloud Drive 这么蠢。
    windirt
        30
    windirt  
       2015-10-03 07:54:00 +08:00 via iPhone
    加密以后 hash 变了,加上后缀也变了,云端无非多一份废文件
    GKLuke
        31
    GKLuke  
       2015-10-03 08:33:35 +08:00
    卧槽,原来还是 windows 的锅,吓得我昨天花了 2 小时,用一个古老的硬盘做了 time machine 。所以说, Mac 本身还是很安全的。
    imxieke
        32
    imxieke  
       2015-10-03 08:40:19 +08:00 via Android
    楼主哪里人?
    echo1937
        33
    echo1937  
       2015-10-03 08:55:24 +08:00
    我有个疑问,这个恶意软件有 mac 或者 linux 版本吗?
    Autonomous
        34
    Autonomous  
       2015-10-03 09:10:06 +08:00
    再一次体现了 Time Machine 的重要性,原 PO 主我看还是乖乖交钱当学费算了。
    coldear
        35
    coldear  
       2015-10-03 09:10:30 +08:00
    @zander 赞,刚知道 dropbox 有这个功能
    coldear
        36
    coldear  
       2015-10-03 09:13:13 +08:00
    @windirt 如果没有版本控制,原来的文件就没了,人家不会给你留一份原来的
    holulu
        37
    holulu  
       2015-10-03 09:17:26 +08:00
    反正都会装杀毒软件,从来不觉得 OS X 比其他系统安全多少。
    Mirage09
        38
    Mirage09  
       2015-10-03 09:18:24 +08:00 via iPhone
    上面说 Parallel Desktop 的.. Parallel Desktop 不开融合不好玩啊
    Anhedonia
        39
    Anhedonia  
       2015-10-03 09:23:19 +08:00
    原 PO 也是智商堪忧
    justtoxic
        40
    justtoxic  
       2015-10-03 09:27:28 +08:00 via iPad
    @echo1937 准确的说没有
    gongziheng1995
        41
    gongziheng1995  
       2015-10-03 09:42:49 +08:00
    读了半天我觉得最后问题是不是出在 PD 的文件权限太大的原因,进了 Windows 后 OS X 的文件随便读……
    TakanashiAzusa
        42
    TakanashiAzusa  
       2015-10-03 09:43:54 +08:00 via Android
    @justtoxic 感觉只是给文件加密的话,做个 mac 版好像也不难?
    jukka
        43
    jukka  
       2015-10-03 09:49:26 +08:00
    我想说,论坛上之前有人就被勒索过的。。。
    sincway
        44
    sincway  
       2015-10-03 09:54:39 +08:00
    写论文还不在线同步... 每年都有学生笔记本丢了以后寻物启事里说除了毕业论文,其他什么都可以不要的...
    sincway
        45
    sincway  
       2015-10-03 09:56:30 +08:00
    @coldear 基本常见的网盘都有回收站功能吧(忽略 iCloud )。如果直接改名的话,应该原来的文件在回收站里,最怕的就是原文件名上重写,然后又不提供历史版本
    zonghua
        46
    zonghua  
       2015-10-03 10:07:10 +08:00 via iPhone
    这锅又是 Windows 背?
    squid157
        47
    squid157  
       2015-10-03 10:18:10 +08:00
    @sincway
    现在国内网盘都提供历史版本了,几个知名的国内外网盘都有了


    @TakanashiAzusa
    确实很简单。不过反过来说虽然 Mac 的 Gatekeeper 脑残至极,但不会像 Windows 那样只主动提示需要 UAC 的程序的签名,而且因为签名证书基本算是半实名,通常就不会给恶意软件签名,这样一来——像微博里那个用户那么蠢的用户还是会右键点运行跳过签名检查然后中招。


    @gongziheng1995
    PD 似乎是默认推荐全盘共享的么?要是这样那挺坑爹。


    @GKLuke
    单论安全性设计, Mac 其实很多地方不如 Windows 。我说的还只是设计。不过这是个人观点。

    至于这种用户态的恶意软件,只是读写用户的个别文件,然后有一点网络访问,跟其他正常的程序,没太大本质区别,写个 Mac 版本也是分分钟的事情。

    重点是提升自己的安全意识,别随随便便上钓鱼网站下各种破东西运行。
    Mirage09
        48
    Mirage09  
       2015-10-03 10:21:25 +08:00 via iPhone
    @zonghua 这锅原 po 自己背妥妥的 跟 OS X 还是 Windows 都没一毛钱关系
    gongziheng1995
        49
    gongziheng1995  
       2015-10-03 10:28:17 +08:00
    @squid157 默认 /Users 是全部共享的
    kenis
        50
    kenis  
       2015-10-03 10:52:06 +08:00
    Parallel 首先就要先设置系统隔离,文件互访是方便但不安全。
    skylancer
        51
    skylancer  
       2015-10-03 11:15:08 +08:00
    @est 人家很明显是用手机版网页来看微博,这怎么能和 SEO 扯上关系
    FradSer
        52
    FradSer  
       2015-10-03 11:35:47 +08:00
    稍稍留意了一下整个事件,原 PO 主习惯非常不好:使用盗版软件、随便下载文件打开。

    同学,你的 Time Machine 为什么不用? CCC 为什么不用?
    mille
        53
    mille  
       2015-10-03 12:26:26 +08:00
    這位同學的慘痛經歷告訴我們:
    1:遠離 Microsoft 體系、遠離 exe
    2:遠離盜版
    做不到以上兩點就是自作死、不可活
    =====
    另外,說兩個我的習慣:
    1 、關於備份
    //我的備份機制是: riMac 、 rMbp 、 dropbox 、 iCloud Drive 、 time capsule 所有文件,保持鏡像級備份
    //照片還加多一個 flickr pro
    2 、關於來源
    //隱私裡“ Mac Apple Store 和已識別的開發者”這個設置從未改變過,不瞞著這個條件的,不用,找替代
    //不論是 iOS 還是 Mac ,任何電影、美劇、音樂, app 的來源, iTunes Store & YouTube only ,因為不支持 html5 播放器,也從不去如 youku 這類網站看片
    icreeper
        54
    icreeper  
       2015-10-03 12:34:05 +08:00 via iPhone
    看到 mackeeper 我就不想看下去了。。。
    jarlyyn
        55
    jarlyyn  
       2015-10-03 12:38:26 +08:00
    @mille

    这锅都能甩给微软啊。

    微软真是怎么哭都哭不出来。
    maemolee
        56
    maemolee  
       2015-10-03 12:39:12 +08:00
    元 po 习惯太感人, TM 也不开, iCloud 也不用,全都放本地还敢跟 PD 开共享,不仅如此还要运行来历不明的软件啊……
    难倒就没有听说过不要把灯泡塞进嘴里吗!
    mille
        57
    mille  
       2015-10-03 12:39:41 +08:00
    @jarlyyn 其實,我一直認為,整個 Microsoft 生態就是一個大病毒,圈養著無數的小病毒,讓互聯網生活多了一抹驚險和刺激,年紀大了,受不了這種刺激,所以轉投 Apple 生態
    maemolee
        58
    maemolee  
       2015-10-03 12:40:48 +08:00
    @jarlyyn 的确,这个真心不是微软的锅……智力问题怎么也赖不到别人身上啊……
    jarlyyn
        59
    jarlyyn  
       2015-10-03 12:43:00 +08:00
    @mille

    如果 mac 病毒不够多,只能说明 mac 还够不上生态圈而已。

    这不过是软件多来源多的副作用罢了……
    RqPS6rhmP3Nyn3Tm
        60
    RqPS6rhmP3Nyn3Tm  
       2015-10-03 12:47:19 +08:00 via iPad
    @mille 这都能黑微软? Windows 安全性比 Mac 好得多了。开了 UAC 病毒几乎没可能运行,除非自己作死给权限。
    Laforet
        61
    Laforet  
       2015-10-03 13:14:43 +08:00
    @echo1937 有一份代码出现过,但是没有发现能传染的野生版本。

    技术上来说并没有任何困难,有读写权限就行了。
    zhaowmm
        62
    zhaowmm  
       2015-10-03 14:16:57 +08:00
    老实给虚拟机装个杀毒软件吧, PD 直接有个安装杀毒的选项。
    ryd994
        63
    ryd994  
       2015-10-03 14:26:22 +08:00
    @echo1937 你可以 wine 跑跑看
    @BXIA UAC 防不了这个,用户读写自己的文件,操作系统不会管的
    RqPS6rhmP3Nyn3Tm
        64
    RqPS6rhmP3Nyn3Tm  
       2015-10-03 14:50:56 +08:00
    @ryd994 我指的“病毒”是通常意义上破坏系统的病毒啊,这个只能说是“恶意软件”吧,虽然手法也很老套了
    cuthead
        65
    cuthead  
       2015-10-03 15:46:55 +08:00
    我的重要文档都放 Google Docs ,除了 Windows 的游戏外不习惯任何 Windows 的东西,不知道这位妹子如何习惯使用 Windows 的。
    secondwtq
        66
    secondwtq  
       2015-10-03 16:28:28 +08:00
    @allan1st 我觉得现在网上为了手机,牺牲电脑和平板的东西,远远不止“长微博”一个。
    secondwtq
        67
    secondwtq  
       2015-10-03 16:34:08 +08:00
    @BXIA 所谓“破坏系统的病毒”,我印象中至少已经淡出我们视线若干年了。

    然而“病毒”这个神秘的概念一直留存在大众心中,就像什么乱七八糟的“西方敌对势力”。
    RqPS6rhmP3Nyn3Tm
        68
    RqPS6rhmP3Nyn3Tm  
       2015-10-03 16:36:04 +08:00
    @secondwtq 如果把各类全家桶都算进去的话,恐怕现在病毒们比以前还要多了吧
    secondwtq
        69
    secondwtq  
       2015-10-03 16:38:08 +08:00
    @BXIA 大多数用户总是希望远离所谓的“病毒”,甚至达到了草木皆兵的地步,但是并不是如此排斥“全家桶”
    Mirage09
        70
    Mirage09  
       2015-10-03 18:09:30 +08:00
    @mille 这锅真不能让微软背..我一果粉都看不下去了..
    a656088752
        71
    a656088752  
       2015-10-03 20:11:30 +08:00
    这还是自己个人不注意导致的问题吧不能怪微软, mac 也好 windows 也好注意下自己下载的东西就好,估计你就是典型的下一步党= =
    bjdchwr
        72
    bjdchwr  
       2015-10-03 20:23:32 +08:00
    我可能说的有点无关,但感觉楼主既然在澳洲,还刻意把系统调成中文的。。。

    用中文系统写 E 文论文感觉很别扭的说。
    likuku
        73
    likuku  
       2015-10-04 01:14:07 +08:00
    给数据文件恶意加密,这方式在刚完结第一季的美剧 MR ROBOT 里演示的很好哇。
    aksoft
        74
    aksoft  
       2015-10-04 19:05:53 +08:00
    国内真好。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1007 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 18:33 · PVG 02:33 · LAX 10:33 · JFK 13:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.