Abo
  • Services:
Anzeige
Transmission warnt vor den infizierten Installationsdateien.
Transmission warnt vor den infizierten Installationsdateien. (Bild: Screenshot Golem.de)

Security: Erste funktionierende Ransomware für Mac ist im Umlauf

Transmission warnt vor den infizierten Installationsdateien.
Transmission warnt vor den infizierten Installationsdateien. (Bild: Screenshot Golem.de)

Die Ransomware Keranger hat am Wochenende die Rechner von Mac-Nutzern befallen. Die Malware verschlüsselt die Dateien der Nutzer und umgeht Apples Gatekeeper-Schutz. Verteilt wurde der Schadcode über ein beliebtes Filesharing-Programm.

Mac-Nutzer, die am Wochenende den Transmission-Bittorent-Client heruntergeladen haben, haben sich möglicherweise mit Malware infiziert, berichtet die Sicherheitsfirma Palo Alto Networks. Offenbar wurde die Webseite übernommen und die Installationsdateien von Transmission durch infizierte Versionen ausgetauscht. Weil die kompromittierten Dateien mit einem gültigen Entwicklerzertifikat signiert waren, schützt Gatekeeper nicht vor der Ausführung. Transmission warnt mittlerweile auf seiner Webseite vor den fehlerhaften Dateien und fordert alle Nutzer der betroffenen Versionen 2.90 und 2.91 zum Update auf.

Anzeige

Wurde die infizierte Installationsdatei heruntergeladen und ausgeführt, wird während der Installation die Malware geladen. Diese wartet dann nach Angaben der Sicherheitsfirma drei Tage, um sich dann mit einem im Tor-Netzwerk gehosteten Command-und-Control-Server zu verbinden. Dann beginnt der Verschlüsselungsprozess der Dateien. Wer sich am Wochenende infiziert hat, hat also noch Zeit, zu reagieren. Ein Update auf die aktuelle Version 2.92. soll das Problem laut Transmission beheben.

Ist die Verschlüsselung abgeschlossen, fordert Keranger einen Bitcoin als Lösegeld, was derzeit ungefähr 370 Euro entspricht. Offenbar versucht die Malware auch, Time-Machine-Backups zu verschlüsseln. Laut Palo Alto Networks befindet sich die Malware noch in der aktiven Entwicklungsphase.

Malware lässt sich leicht entdecken

Wer überprüfen will, ob sein Rechner betroffen ist, sollte in den folgenden Dateipfaden nach der Datei General.rtf suchen: /Applications/Transmission.app/Contents/Resources/ und /Volumes/Transmission/Transmission.app/Contents/Resources/. Ist die Datei in einem der beiden Pfade vorhanden, wurde eine infizierte Version heruntergeladen. Außerdem kann im Activity Monitor von OS X überprüft werden, ob der Prozess kernel_service aktiv ist. Wenn ja, sollte unter "Open File and Ports" geprüft werden, ob der Dateiname /Users/"username"/Library/kernel_service vorhanden ist. Falls das der Fall ist, sollte der Prozess mit Force Quit umgehend beendet werden.

Keranger ist nach Angaben von Palo Alto Networks die erste weit verbreitete Ransomware für Mac. Wie die Sicherheitsfirma schreibt, gab es bereits im Jahr 2014 die Software Filecoder, die aber nicht voll funktionsfähig gewesen sei. Apple hat das verwendete Entwicklerzertifikat mittlerweile widerrufen, so dass infizierte Transmission-Versionen mittlerweile vor der Installation warnen sollten.


eye home zur Startseite
Ext3h 08. Mär 2016

Falsch. Ransomware kann das sehr wohl überschreiben oder die Sicherung komplett nuken...

Freiheit statt... 07. Mär 2016

Wieso? Dass man BackUps machen sollte ist seit über 20 Jahren ein Gemeinplatz. Trotzdem...

lixxbox 07. Mär 2016

Kein Ding. Hatte den Artikel etwa eine Stunde vor deinem Post gelesen und hatte die Infos...

Thaodan 07. Mär 2016

C) funktioniert aber auch nur so lang so lang dich die Einschränkungen was Sandbox...

lixxbox 07. Mär 2016

"Offenbar wurde die Webseite übernommen und die Installationsdateien von Transmission...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Frankfurt am Main, Bonn, Leinfelden-Echterdingen, München
  2. PROJECT Immobilien GmbH, Nürnberg
  3. INCONY AG, Paderborn
  4. T-Systems International GmbH, München, Darmstadt, Bonn, Leinfelden-Echterdingen


Anzeige
Hardware-Angebote
  1. und bis zu 150€ zurück erhalten
  2. 699,00€
  3. ab 229,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Daten-GAU

    hyperlord | 22:20

  2. Re: Desktop-Android - Clickbait at it's best!

    Pjörn | 21:40

  3. Re: Was? Kann doch gar nicht sein.

    bombinho | 21:36

  4. Re: Bestellt

    Bla_GN | 21:36

  5. Re: Unterschied zu V7?

    Bla_GN | 21:34


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel