如何移除間諜軟件:偵測及完整清除指南
間諜軟件在您毫不知情的情況下監控您的活動、竊取憑證並向第三方傳送您的個人資料。本指南涵蓋如何偵測間諜軟件、徹底清除及防止再次感染。
間諜軟件在您毫不知情的情況下監控您的活動、竊取憑證並向第三方傳送您的個人資料。本指南涵蓋如何偵測間諜軟件、徹底清除及防止再次感染。
間諜軟件是一種惡意軟件,旨在秘密監控設備活動,並在用戶不知情或未同意的情況下將收集到的資料傳送給攻擊者。收集的資訊因間諜軟件類型而異:鍵盤記錄器記錄每一個按鍵(捕捉密碼、銀行憑證和私人通訊);螢幕截圖間諜軟件定期截取用戶顯示器的截圖;憑證竊取器從瀏覽器和密碼管理器中提取已儲存的密碼;銀行木馬在瀏覽器中攔截財務交易;而跟蹤軟件(一種特別具侵入性的類別)追蹤 GPS 位置、通話記錄、訊息及麥克風/攝像頭存取,通常由施虐的伴侶或雇主安裝在目標設備上。
間諜軟件透過多種傳播機制到達設備。捆綁安裝很常見——看似合法的免費軟件在安裝過程中安裝間諜軟件元件,通常在用戶不會閱讀的冗長服務條款協議中予以披露。惡意或被入侵網站的開車式下載,在用戶只是瀏覽頁面時,透過瀏覽器漏洞安裝間諜軟件。釣魚電郵以偽裝成發票、送貨通知或政府文件的電郵附件傳送間諜軟件。在針對個人的定向攻擊中,對設備的實體存取(由伴侶或雇主安裝跟蹤軟件)或複雜的漏洞利用鏈(如透過零點擊 iMessage 漏洞入侵 iPhone 的 Pegasus 間諜軟件)也是攻擊途徑。
間諜軟件特別陰險,因為它被設計成隱形的。與自我宣告的勒索軟件不同,設計精良的間諜軟件完全在後台運行。它通常使用低系統資源消耗以避免被偵測,以類似合法系統進程的名稱偽裝自己,並使用加密通訊以躲避基於網絡的偵測。以「家長監控」或「員工監控」工具為名銷售的商業跟蹤軟件尤為複雜,具有專門設計用於隱藏監控應用程式圖示並防止被發現的功能。合法監控軟件與跟蹤軟件之間的界線,主要由同意與否來界定——在被監控者知情的情況下進行監控,與秘密監視有根本上的不同。
有幾個警示訊號可能表明間諜軟件感染,但許多症狀與正常效能問題重疊。無法解釋的效能下降——設備在沒有明顯原因的情況下明顯變慢——可能表明間諜軟件正在消耗後台資源進行數據收集和傳輸。超出正常應用活動的數據使用量增加,可能表明某個進程正在傳輸捕獲的數據。流動設備電池耗盡速度明顯快於正常,可能表明有監控應用程式在後台持續運行。您未進行的瀏覽器首頁或搜尋引擎更改、出現新的工具欄擴充功能,或持續重定向至意外網站,表明存在以瀏覽器為目標的間諜軟件或廣告軟件。
更具體的指標包括:工作管理員(Windows)或活動監視器(Mac)中使用 CPU 或網絡資源的陌生進程;您未創建的新用戶帳號;安全軟件被停用或拒絕更新;帳號顯示來自陌生位置或時間的登入活動;以及在跟蹤軟件的情況下,備用狀態時手機莫名發熱(後台應用程式活躍)、在沒有應用活動的情況下麥克風或攝像頭指示燈亮起,或收到顯示發送者知道他們本不應知道的資訊的訊息。對於 Android 設備,請查看設定 > 應用程式,尋找名稱可疑的應用程式、過多的權限(同時擁有攝像頭、麥克風、位置、聯絡人存取,且沒有明確的使用理由),或從未知來源安裝的應用程式。
在 Windows 上,查閱啟動程式列表(工作管理員 > 啟動標籤)中在開機時運行的陌生項目——間諜軟件通常在此安裝持久化機制。查看已安裝程式,尋找您不認識的軟件。查閱所有已安裝瀏覽器的擴充功能——惡意擴充功能是常見的間諜軟件傳播媒介,用戶通常以為是生產力工具而自願安裝。在 Mac 上,查看系統設定 > 私隱與安全性,查閱哪些應用程式可存取位置、麥克風、攝像頭和聯絡人——合法應用程式對這些權限有合理的解釋;間諜軟件通常沒有。對於智能手機,當懷疑有全面的間諜軟件感染時,恢復原廠設定通常是最可靠的完整清除方法。
對於 Windows 間諜軟件清除,先進入帶有網絡功能的安全模式(按住 Shift 點擊重新啟動 > 疑難排解 > 進階選項 > 啟動設定 > 重新啟動 > F5)。安全模式只載入基本系統元件,阻止大多數間諜軟件在掃描期間運行。下載並執行 Malwarebytes Free(即使您已有其他防毒軟件——對於疑似主動感染,二次意見掃描方法很有價值)。執行完整掃描並隔離所有偵測到的威脅。Malwarebytes 完成後,同樣執行主要防毒軟件的完整掃描。查閱並清除每個已安裝瀏覽器的擴充功能,如發現擴充功能,請將每個瀏覽器重設為預設設定。重新啟動至正常模式,驗證可疑進程是否已消失。
對於 Mac 間諜軟件清除,查看應用程式資料夾中的陌生應用程式,將任何不認識的拖至廢紙簍。查看登入項目(系統設定 > 一般 > 登入項目),尋找陌生的啟動程式。使用 Malwarebytes for Mac(提供免費版本)掃描包括間諜軟件在內的已知惡意軟件。查閱 Safari 擴充功能(Safari > 設定 > 擴充功能),如已安裝 Chrome 和 Firefox 也同樣查閱。查看系統設定 > 私隱與安全性,撤銷任何擁有不應有的存取權限的應用程式的許可。如果您懷疑有複雜的感染(特別是如果您認為可能是監控目標),考慮透過復原模式重新安裝 macOS,以確保系統處於乾淨狀態。
對於 Android 間諜軟件清除,先查閱設定 > 應用程式 > 查看所有應用程式,尋找您不認識或擁有異常廣泛權限的應用程式。特別查看擁有設備管理員存取權限的應用程式(設定 > 安全 > 設備管理員應用程式)——跟蹤軟件通常授予自己管理員狀態以阻止被移除。嘗試解除安裝前先撤銷管理員狀態。查看設定 > 應用程式 >(三點選單)> 特殊應用程式存取 > 安裝未知應用程式——這顯示設備是否已被配置為允許安裝旁載的 APK,這是跟蹤軟件的傳播方法。對於嚴重感染或疑似由他人安裝的跟蹤軟件,恢復原廠設定是最可靠的清除方法。重設後,僅從疑似感染日期前的備份還原,並在存取已清理設備上的帳號前,先從另一台設備更改所有密碼。
清除間諜軟件後,更改所有可能已被洩露帳號的密碼——先從電郵(可為所有其他服務啟用密碼重設)開始,然後是銀行及財務帳號,以及任何在受感染設備上存取過的帳號。請從乾淨的設備或在確認間諜軟件清除後執行此操作,而不是在可能仍受感染的設備上進行。在所有重要帳號上啟用雙重驗證——即使攻擊者仍持有竊取的密碼,他們也無法在沒有第二重驗證因素的情況下存取受雙重驗證保護的帳號。查閱您的銀行及信用卡記錄,確認間諜軟件可能活躍期間有否未授權交易。
安裝具有反間諜軟件功能的優質即時防毒產品,可提供持續防護。Bitdefender、Norton 及 ESET 等產品會監控間諜軟件行為,並在安裝期間封鎖已知的間諜軟件。對於 Android 設備,尤其要保持 Google Play 保護 ↗ 啟用狀態(它會對照 Google 的惡意軟件資料庫掃描已安裝的應用程式),並避免安裝 Play 商店以外的 APK 檔案——大多數 Android 間諜軟件透過旁載應用程式而非官方 Play 商店應用程式到達設備。對於 iPhone 用戶,封閉的 iOS 生態系統提供對大多數間諜軟件的強大保護,但 Pegasus 等複雜的國家級工具已證明即使是 iPhone 也可能被入侵;有更新時請立即更新 iOS。
行為習慣可大幅降低間諜軟件暴露風險。避免從非官方來源下載免費軟件——軟件捆綁是間諜軟件的主要傳播機制。在安裝瀏覽器擴充功能前仔細查閱權限;一個申請存取所有瀏覽數據的天氣擴充功能是警示訊號。使用 DNS 過濾服務(如適合家庭使用的 Cloudflare Gateway,或 NextDNS),封鎖已知的惡意和追蹤域名,阻止開車式下載間諜軟件建立所需的網絡連線。對於高風險個人——記者、活動人士、處理敏感案件的律師——可考慮使用跟蹤軟件反對聯盟(stopstalkerware.org)的資源,並在懷疑遭受定向監控時尋求專業取證協助。
