问题描述
昨天我妈妈打电话给我说她在她的 iPhone 上收到一条消息,说它被盗了(iCloud Find My Phone)。然后,她必须在 MacBook 上的文本字段中输入安全代码(双重身份验证)。当时我不在场,所以我无法真正证明这一点。我认为这已经是勒索软件的网络钓鱼窗口。
她正在使用我的旧 MacBook,这是 2011 年初的 13 英寸,配备更新的 SSD 和 16 GB RAM,安装了10.10。
当我到达时,MacBook 已经被入侵并在启动后显示以下消息:
该消息是德语,并说:
Ihr Computer ist deaktiviert. Versuchen Sie es in 59 Minuten erneut.
(Translation: Your computer is deactivated. Try it again in 59 minutes.)
write to email: apple.help@gmx.com
apple.help@gmx.com绝对不是有效的苹果邮件地址。
我用谷歌搜索了完全相同的消息,但并没有真正得到任何好的结果。我发现的唯一结果是:
如何解决?
我的想法是它只是一个屏幕覆盖,应该可以启动到另一个操作系统(live Ubuntu)来访问数据。我想找到勒索软件的踪迹。也许我可以找出它是如何被调用的或者它对数据做了什么。
当我尝试启动到另一台设备时,Mac 被EFI 固件保护密码锁定(出现带有小锁的同一屏幕)。我从来没有设置过这个,我真的怀疑我妈妈做的。所以它可能只是勒索软件。
所以我首先不得不重置固件密码。幸运的是,我找到了一篇博客文章,其中描述了一种方法,您必须更改系统中 RAM 棒的数量,然后重置PRAM / NVRAM。我觉得这听起来有点像魔术,但另一方面,系统也不会变得更糟。
我移除了一个 RAM 棒,使用CTRL+ALT+P+R启动并等待了三个重新启动。
之后,固件锁消失了,可以启动到 U 盘上。我检查了 mac 分区上最近的文件更改,但找不到任何东西。主文件夹的数据未加密(因此可能是骗局)。
所以我备份了她的数据,然后尝试再次正常启动。令人惊讶的是,勒索软件消息消失了!我可以像往常一样启动系统。
我运行了 Bitdefender 扫描,但没有找到任何东西。这真的很神秘,我不知道到底发生了什么。
问题
所以我现在的问题是,有人知道这个问题或这种攻击吗?我不知道攻击者如何设置固件密码以及勒索软件的运行位置。
也许它在自己的分区上,但我找不到它。MacOS 似乎没有损坏。
更新
我今天问了一位 Apple Store 工作人员,他对这样的黑客一无所知。但是他告诉我应该无法重置固件密码。只有苹果能够做到这一点。