Hoe OS X opnieuw te installeren na een malware-infectie

De recente Flashback-malware voor OS X veroorzaakte nogal wat opschudding in de Mac-gemeenschap, en hoewel het maar een fractie van de OS X-installatiebasis heeft beïnvloed, heeft het nog steeds mensen gehad die de malware inderdaad op hun systemen hebben aangetroffen. op CNET en op de Apple Discussion-boards.

De meeste mensen hebben de malware op hun systemen gevonden door een antivirusscanner of een omgekeerde firewall zoals Little Snitch geïnstalleerd te hebben en een waarschuwing te hebben ontvangen dat de malware is gevonden of een programmabestand met een korte naam die begint met een periode die probeert contact te maken met externe servers via bizar klinkende domeinnamen zoals cuojshtbohnt.com en gangstaparadise.rr.nu.

Deze duidelijke pogingen hebben tot een onderzoek naar de malware geleid en hebben aangetoond dat deze activiteit het eerste deel is van de malwareaanval, waarbij de malware de Java-sandbox heeft verbroken en het programma de payload probeert te downloaden die vervolgens op lokale applicaties meelift door wijzigingen aan te brengen start omgevingsvariabelen binnen het programma of in het account van de gebruiker.

Tot nu toe is de malware redelijk goed beschreven en is niet van virale aard, dus voor een bepaalde variant wordt het op één locatie geïnstalleerd en wordt vanaf daar uitgevoerd om het systeem te beïnvloeden. Als gevolg hiervan, wanneer een variant is gekarakteriseerd, moet u deze uit uw systeem kunnen verwijderen door gedetailleerde instructies te volgen. Malware kan echter snel veranderen (zoals Flashback heeft aangetoond) en omdat er nieuwe varianten kunnen verschijnen die de geprobeerde aanvalstypes zullen veranderen, kunnen er mensen zijn die niet kunnen bepalen welke variant ze mogelijk zijn tegengekomen en twijfelen aan hun mogelijkheden om de malware handmatig te verwijderen van hun systemen.

In deze situaties zijn er twee benaderingen die u kunt nemen. De eerste is om een ​​betrouwbare malwarescanner te krijgen, zoals VirusBarrier, Sophos of ClamXav, deze te installeren en bij te werken en het systeem vervolgens te laten scannen op bekende varianten van de malware. Op deze manier kunt u alle gevonden malwarebestanden op zijn minst in quarantaine plaatsen.

Dit is een aanbevolen aanpak; het is echter afhankelijk van malwaredefinities die zijn gedefinieerd voor de malware, die mogelijk achterblijft bij de eerste bevindingen van malware.

De tweede benadering is afzien van pogingen om de malware te beheren en een OS-herinstallatie uit te voeren. Hoewel dit ervoor zal zorgen dat u begint met een schone lei, zal het een last voor sommige mensen zijn om te doen, vooral omdat u niet kunt vertrouwen op Time Machine-back-ups of systeemklonen om vrij te zijn van de malware en daarom mogelijk niet in staat om eenvoudig uw systeem te herstellen vanaf een back-up.

Als u zich een exacte keer kunt herinneren wanneer uw systeem door de malware werd getroffen, bijvoorbeeld toen u een recente update van Flash installeerde die mogelijk de malware was, of wanneer u voor het eerst andere waarschuwingssignalen zag met betrekking tot de malware, dan kan mogelijk de back-up opnieuw installeren voordat het probleem zich voordeed; In veel gevallen kunt u dergelijke instanties echter niet betrouwbaar identificeren.

Als u hebt besloten dat het het beste voor u is om het veilig te spelen en uw systeem te wissen en opnieuw te beginnen, kunt u dit doen door uw procedure te volgen terwijl u uw gegevens behoudt.

  1. Synchroniseren en een back-up maken

    Zorg er eerst voor dat uw systeem correct is gesynchroniseerd met uw cloudservices (iCloud, Google, Yahoo, enz.) Om ervoor te zorgen dat items zoals contacten en agenda's worden opgeslagen. U kunt ook naar Adresboek, iCal en andere programma's gaan die u regelmatig gebruikt en de agenda's, contactpersonen en andere gegevens exporteren om op te slaan op een flashstation of een ander afzonderlijk opslagmedium. Dergelijke acties zorgen ervoor dat u enkele van deze items kunt herstellen zonder afhankelijk te zijn van synchronisatieservices om ze voor u te beheren.

    Zorg er naast synchronisatie voor dat er een back-up van uw systeem wordt gemaakt. Gebruik Time Machine of een kloonhulpmiddel om een ​​back-up van uw bestanden te maken, of kopieer op zijn minst handmatig alle mappen van uw thuismap naar een externe harde schijf, en doe dit voor elk actief account op het systeem door u bij elk account aan te melden en deze uit te voeren acties.

    Wanneer u klaar bent met het maken van een back-up, ontkoppelt u en koppelt u de externe harde schijf los die u voor de back-up hebt gebruikt.

  2. De autorisatie van toepassingen intrekken of de registratie ongedaan maken Sommige algemene applicaties zoals iTunes hebben autorisatie- en registratiefuncties voor het bekijken en beheren van inhoud, dus zorg ervoor dat u deze functies opnieuw autoriseert voordat u doorgaat, omdat u mogelijk problemen ondervindt bij het opnieuw configureren van de programma's. ITunes staat bijvoorbeeld toe dat slechts 5 computers geautoriseerd zijn voor een specifiek iTunes Store-account, dus u kunt de autorisatie van de computer intrekken door de optie te kiezen in het menu 'Store' om te voorkomen dat de winkel ervan uitgaat dat u meer systemen geautoriseerd hebt dan u eigen.
  3. Formatteer de drive

    Start het systeem opnieuw op de OS X-installatie-dvd voor OS X 10.6 of lager (houd de C-toets ingedrukt tijdens het opstarten met de dvd in het optische station) of start opnieuw op met de Command-R-toetsen die worden vastgehouden voor OS X 10.7. Wanneer het OS X-installatieprogramma wordt geladen, selecteert u uw taal en vervolgens Schijfhulpprogramma (beschikbaar in het menu Hulpprogramma's als dit niet wordt weergegeven in een venster Tools).

    Selecteer in Schijfhulpprogramma uw opstartvolume en gebruik vervolgens het tabblad Wissen om het te formatteren naar "Mac OS X Extended (journaled)." Dit proces moet redelijk snel zijn en als je klaar bent, zou je een lege harde schijf moeten hebben.

  4. Installeer OS X opnieuw

    Sluit Schijfhulpprogramma en open vervolgens het OS X-installatieprogramma. Kies geen optie om te herstellen vanaf een back-up. Volg de instructies op het scherm om uw nieuw geformatteerde harde schijf te selecteren en OS X opnieuw te installeren en wacht vervolgens totdat de installatie is voltooid.

  5. Maak een nieuw account

    Wanneer OS X opnieuw is geïnstalleerd, wordt u gevraagd of u gegevens van een back-up of van een andere computer wilt migreren. Vermijd dit en maak in plaats daarvan een vers gebruikersaccount voor uzelf (u kunt dezelfde accountnaam en andere informatie gebruiken).

  6. Werk het systeem bij

    Wanneer u zich voor het eerst aanmeldt bij uw account, gaat u naar Software-update (in het Apple-menu) en werkt u het systeem bij met de nieuwste versie. Voer Software-update meerdere malen uit totdat er geen updates meer beschikbaar zijn.

  7. Deactiveer Java

    De nieuwste Flashback-malwarebedreigingen zijn gericht op systemen met Java-kwetsbaarheden. Hoewel Apple de verzending van Java met OS X Lion stopzet, hebben oudere versies van OS X het wel standaard geïnstalleerd. Vaak is Java niet nodig voor het draaien van applicaties in OS X, dus tenzij je het specifiek nodig hebt, schakel het dan uit. Zelfs als u vermoedt dat u misschien Java nodig heeft, kunt u overwegen ermee te starten omdat het uitgeschakeld is en vervolgens alleen activeren op basis van vraag.

    Er zijn twee algemene manieren om Java te beheren in OS X. De eerste is door applicatiespecifieke instellingen zoals de voorkeuren voor Safari, Firefox en andere webbrowsers, waar je instellingen kunt vinden om de Java-plug-in en Java-beheer uit te schakelen ( schakel JavaScript niet uit). Deze instellingen zorgen ervoor dat specifieke programma's geen Java gebruiken en voor het grootste deel voldoende zijn om te voorkomen dat Java misbruik van het systeem maakt; Als u echter Safari opnieuw instelt of een nieuwe webbrowser installeert, kunt u Java onbedoeld gebruiken.

    Om onbedoeld gebruik van Java door programma's te voorkomen, kunt u het hulpprogramma Java-voorkeuren openen in de map / Programma's / Hulpprogramma's / / en de weergegeven Java-runtimes uitschakelen om ze systematisch uit te schakelen. Als u bij het openen van de Java-voorkeuren een waarschuwing krijgt dat u Java moet installeren, dan heeft uw systeem het niet geïnstalleerd en hoeft u niets anders te doen.

    Als u Java op uw systeem geïnstalleerd en actief moet hebben, zorg er dan voor dat u de nieuwste Java-software-update toepast en overweeg dit uit te schakelen in webbrowsers.

  8. Herstel uw gegevens van een back-up

    De volgende stap is om uw gegevens vanaf uw back-ups terug naar uw systeem te kopiëren. Gebruik hiervoor niet het hulpprogramma Migratieassistent van Apple, omdat het mappen en toepassingen herstelt die mogelijk zijn gewijzigd door de malware, dus kopieer de bestanden in uw mappen Documenten, Films, Muziek en andere basismappen naar de respectieve locaties in uw map gebruikers account.

    De huidige Flashback-malware heeft de inhoud van de gebruikersbibliotheek beïnvloed, met name de map Launch Agents, en terwijl u de inhoud van de map naar uw nieuwe gebruikersbibliotheek kunt herstellen om bepaalde instellingen en configuraties te behouden, omwille van de extra zorg die wordt besteed aan In deze benadering is het het beste om die map met rust te laten en alleen individuele items alleen te herstellen als dat nodig is.

    Op dit punt kunt u iCloud of andere synchronisatieservices instellen in de systeemvoorkeuren en vervolgens Adresboek, Mail, iCal en andere programma's die u gebruikt om deze programma's en de accounts die u ermee gebruikt, te starten. Als uw contactpersonen en agenda's ontbreken, kunt u ze opnieuw importeren uit de handmatige back-ups die u eerder hebt gemaakt.

    Voer de stappen 6 en 7 uit voor eventuele extra gebruikersaccounts op het systeem door eerst het account aan te maken, Java te deactiveren en vervolgens de accountgegevens uit de back-up te herstellen.

  9. Installeer applicaties opnieuw

    De volgende stap na het herstellen van uw accounts is het opnieuw installeren van de applicaties die u gebruikt. Hoewel u een back-up hebt gemaakt van uw eerdere set van toepassingen voordat u deze procedure startte, moet u ze niet terugzetten of openen, omdat in een bepaalde infectie de Flashback-malware sommige van deze programma's rechtstreeks wijzigt. Gebruik in plaats daarvan de back-up als referentie voor de toepassingen die u eerder had en installeer ze opnieuw vanaf hun installatieschijven, de Mac App Store of andere manieren waarop u ze oorspronkelijk hebt verkregen.

    Wanneer u uw toepassingen hebt geïnstalleerd, moet u ze volledig bijwerken en ze vervolgens openen en configureren volgens uw voorkeuren.

    Op dit moment moet uw systeem weer bruikbaar zijn en moet u uw werkstroom kunnen voortzetten zoals deze was voordat u het opnieuw installeerde. Als u merkt dat u sommige vereiste lettertypen, geluiden of andere bestanden mist die uw toepassingen nodig hebben, kunt u deze vanuit de map global / Library openen vanuit de back-up of in de map / Library vanuit uw gebruikersaccount.

De laatste stap in dit proces is om jezelf te beschermen tegen verdere infecties. Hoewel het uitschakelen van Java, zoals hierboven genoemd, één stap is, kunt u extra uitvoeren om uw systeem te beveiligen. Installeer een omgekeerde firewall zoals Little Snitch om te helpen bij het detecteren en blokkeren van programma's van het naar huis bellen naar externe servers en overweeg een antivirusprogramma te installeren.

Hoewel u de antivirustool niet hoeft te configureren om alle bestanden op aanvraag zorgvuldig te scannen, kunt u deze instellen om alleen veelgebruikte downloadmappen te scannen (zoals het bureaublad of de map Downloads in uw gebruikersaccount) en vervolgens eenmaal per week of misschien eens per maand laat het het hele systeem scannen. Voor nu, ondanks het laatste nieuws over malware, zou dit voldoende moeten zijn om malware af te weren en u voldoende bescherming te bieden.

UPDATE: 4/8/2012, 12:30 uur - Informatie toegevoegd over het niet langer autoriseren van applicaties voor het formatteren (met dank aan MacFixIt-lezer Michael N.)


 

Laat Een Reactie Achter