2180965

Was gegen Ransomware für den Mac hilft

22.04.2016 | 10:43 Uhr |

Die Ransomware KeRanger ist unschädlich gemacht, gegen den nächsten Versuch könnte aber die App RansomWhere? weiterhelfen.

Update vom 22. April 2016:

Der Sicherheitsexperte Patrick Wardle von der Firma Synack hat das Tool RansomWhere? entwickelt, das Ransomware auf dem Mac erkennen und stoppen soll. Dazu beobachtet es die Dateien auf dem Rechner des Nutzers und schaltet sich ein, wenn ein bestimmter Prozess anfängt, Dateien zu verschlüsseln. Erlaubt ist dies nur Software, die entweder ein Zertifikat des Mac App Store mitbringt oder schon auf dem Rechner war, als RansomWhere? installiert wurde. Schmuggelt sich also Erpressersoftware über ein legitimes Zertifikat auf den Mac, ist auch diese Verteidigung machtlos.

Originalmeldung vom 11. März 2016

Anfang März ist erstmals eine Art von Malware auf dem Mac aufgetaucht, mit welcher Windows-Nutzer bereits vertraut sind. KeRanger verschlüsselt Dateien auf dem Mac und gibt sie erst wieder frei, wenn das Opfer an die Erpresser ein Lösegeld (Ransom) bezahlt hat. Der Sicherheitsexperte Ryan Olson von Palo Alto Networks bestätigt gegenüber der Nachrichtenagentur Reuters , dass diese Software in der freien Wildbahn aktiv sei und tatsächlich funktioniere. Apple hat unmittelbar nach Entdeckung  Maßnahmen ergriffen und das Entwicklerzertifikat, über das sich KeRanger einschlich, deaktiviert. Neuinfektionen sollten daher nicht mehr möglich sein, solange Gatekeeper und das Schutzsystem Xprotect aktiv ist, doch verschlüsselt KeRanger Dateien mit drei Tagen Verzögerung auf dem Mac. Enthalten war die Malware im Installer des Bit-Torrent-Client Transmission 2.90, dessen Hersteller hat mittlerweile die saubere neue Version 2.92 veröffentlicht.

Wie John Clay vom Softwarehersteller Transmission dem Magazin Forbes verriet , hatte es einen Angriff auf den Hauptserver des Unternehmens gegeben, wobei anscheinend die Malware in den dort zum Download angebotenen FTP-Client eingeschmuggelt wurde. Details nannte Clay nicht, versicherte aber, man hätte Sicherheitsmaßnahmen ergriffen, um weitere Angriffe zu verhindern. Clay konnte auch sagen, wie häufig die manipulierte Datei heruntergeladen wurde, demnach habe KeRanger rund 6500 Macs infiziert. Bei der bisher heftigsten Attacke mit Ransomware hatte vor etwas mehr als zwei Jahren die Malware Cryptolocker rund 230.000 Windows-Maschinen befallen.

Was gegen Ransomware wie KeRanger auf dem Mac hilft

Dass sich Ransomware und andere Schadsoftware innerhalb einer legitimen Software versteckt, ist ein üblicher Weg.  Wie aber die Urheber der von KeRanger es geschafft haben, ihre Ransomware in Transmission zu verstecken, ist nach wie vor nicht bekannt. Die Erpresser verlangen von ihren Opfern die Überweisung einer Bitcoin, die derzeit um die 400 US-Dollar wert ist.

Gegen Ransomware im Allgemeinen hilft Antivirsusoftware nicht immer zuverlässig, zu geschickt ändern die Hacker regelmäßig ihre Tarnung. Opfer eines derartigen Erpressungsversuches können aber die bei der Attacke verschlüsselten Dateien auch einfach verloren geben und sie aus ihrem Time-Machne-Backup wiederherstellen, sofern dieses aktuell ist und auf einem isolierten System vorliegt, das nicht auch Opfer der Verschlüsselung wurde. Wie Palo Alto Networks vermeldet, ist KeRanger aber auch auf Time-Machine-Backups losgegangen.

Die Methodik, mit Ransomware arglose Computernutzer zu erpressen, zieht immer weitere Kreise. Windows-Anwender mussten sich zuletzt des Angriffs durch den Virus Locky erwehren, ein Krankenhaus in Los Angeles zahlte kürzlich 17.000 US-Dollar, um seine Computersysteme wieder nutzbar zu machen. Aus Sicht der Kriminellen ist Ransomware also nicht nur einträglich, sondern auch relativ simpel: Anstatt auf dem Computer des Opfers eine Verschlüsselung zu knacken, um etwa an Bankdaten zu kommen, verschlüsselt der Angreifer seinerseits die Daten und lässt sich für Hilfestellung beim Wiederaufsperren bezahlen

Wenn es Angreifern gelingt, ihre Malware in ein an sich sauberes Programm eines zertifizierten Entwicklern zu schmuggeln, wäre es ihnen auch ein leichtes, Checksummen zu manipulieren. Anhand dieser Hash-Werte kann man ermitteln, ob eine Software manipuliert wurde und etwa darin bestimmte Dateien ausgetauscht sind. Wird aber neben der Software auch ihre Checksumme gefälscht, fällt keinem System beim Download und beim Installieren die Manipulation auf. Unser Macworld-Kollege Glenn Fleishmann rät daher zur Geduld als einzige Möglichkeit, derart geschickt versteckter Malware auszuweichen. Gerade wenn kleinere Softwarehersteller ihre Projekte aktualisieren, sollte man nicht gleich die Updates installieren. Prinzipiell sei aber der Mac App Store eine vertrauenswürdige Quelle für Software und die Sicherheitsvorkehrungen in OS X arbeiteten zuverlässig.

Lesetipps für mehr Sicherheit am Mac:

So funktionieren Gatekeeper, Firewall und Sandboxes auf dem Mac

Die 10 besten Antivirusprogramme für den Mac

0 Kommentare zu diesem Artikel
2180965