起因
前几天下载某些 vr 资源的时候,下载了 Mac 上比较常用的 bt 客户端。Transmission
官网 https://www.transmissionbt.com/
之后安装完启动了一次之后就没怎么用,
前几天早上打开 rss,看到了新闻 http://www.feng.com/Story/Mac-was-kidnapped-blackmail-_640618.shtml
看到就惊了,赶紧看看自己下载的时候是不是在官网被黑的时间段。然后发现自己下载的时候,正好是官网恢复1小时之后。当时也没有发现文件被加密,保险起见,只是卸载了软件,删除了下载文件。
爆发
昨天回家太晚没有开电脑,今天早上到公司的时候,正在看rss,突然发现屏幕下面 Dock 里的下载目录图标一直在闪,点击图标也看,卧槽!!!
所有文件的后缀全部变成了.encrypted ,联想到之前的新闻,我中招了!
被加密的文件:
抢劫!
当时不知道怎么解决,立马关机,然后询问 joy 怎么办。
解决
后来 joy 帮我查看了相关资料,按照文章上的来做。
·寻找一个叫做“Applications/Transmission.app/Contents/Resources/General.rtf”或者“/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf”的文件。如果你发现其存在,直接删除你的Transmission应用。
·使用Activity Monitor检查“kernel_service”进程是否在运行。如果是,选择应用程序中的“打开文件及端口”,搜索一个名字类似“Users/<username>/Library/kernel_service”的文件,然后终止进程。
.检查~/Library 下是否存在 “.kernel_pid”, “.kernel_time”, “.kernel_complete” 或者 “kernel_service”文件,存在则全部删除实际过程中,因为我前几天就卸载了软件并且删除了下载的安装文件,所以并没有找到kernel_service文件,只是清除了~/Library的那些存在文件。
步骤
- 开机按照上述过程清理文件
- 查看自己的损失(我后来在这个过程中发现,这个恶意软件加密你的软件的时候,是按照字母排序来加密的,首先是加密你的 ~/ 下的所有目录,从隐藏目录开始也就是
.目录,然后按照字母顺序加密普通目录,正好加密到 Download 目录的时候,被我看到图标发现了。。) - 恢复文件,其实最惨的就是我的所有配置文件都被加密了,造成很多软件启动不了或者启动不正常。 首先先显示所有的隐藏目录和文件,然后把后缀是encrypted的全部删掉,然后使用 Time Machine恢复对应的目录即可。
Transmission官方已经贴出警告
相关:
Comments