Abo
  • IT-Karriere:

Security: Erste funktionierende Ransomware für Mac ist im Umlauf

Die Ransomware Keranger hat am Wochenende die Rechner von Mac-Nutzern befallen. Die Malware verschlüsselt die Dateien der Nutzer und umgeht Apples Gatekeeper-Schutz. Verteilt wurde der Schadcode über ein beliebtes Filesharing-Programm.

Artikel veröffentlicht am ,
Transmission warnt vor den infizierten Installationsdateien.
Transmission warnt vor den infizierten Installationsdateien. (Bild: Screenshot Golem.de)

Mac-Nutzer, die am Wochenende den Transmission-Bittorent-Client heruntergeladen haben, haben sich möglicherweise mit Malware infiziert, berichtet die Sicherheitsfirma Palo Alto Networks. Offenbar wurde die Webseite übernommen und die Installationsdateien von Transmission durch infizierte Versionen ausgetauscht. Weil die kompromittierten Dateien mit einem gültigen Entwicklerzertifikat signiert waren, schützt Gatekeeper nicht vor der Ausführung. Transmission warnt mittlerweile auf seiner Webseite vor den fehlerhaften Dateien und fordert alle Nutzer der betroffenen Versionen 2.90 und 2.91 zum Update auf.

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, Hamburg
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Wurde die infizierte Installationsdatei heruntergeladen und ausgeführt, wird während der Installation die Malware geladen. Diese wartet dann nach Angaben der Sicherheitsfirma drei Tage, um sich dann mit einem im Tor-Netzwerk gehosteten Command-und-Control-Server zu verbinden. Dann beginnt der Verschlüsselungsprozess der Dateien. Wer sich am Wochenende infiziert hat, hat also noch Zeit, zu reagieren. Ein Update auf die aktuelle Version 2.92. soll das Problem laut Transmission beheben.

Ist die Verschlüsselung abgeschlossen, fordert Keranger einen Bitcoin als Lösegeld, was derzeit ungefähr 370 Euro entspricht. Offenbar versucht die Malware auch, Time-Machine-Backups zu verschlüsseln. Laut Palo Alto Networks befindet sich die Malware noch in der aktiven Entwicklungsphase.

Malware lässt sich leicht entdecken

Wer überprüfen will, ob sein Rechner betroffen ist, sollte in den folgenden Dateipfaden nach der Datei General.rtf suchen: /Applications/Transmission.app/Contents/Resources/ und /Volumes/Transmission/Transmission.app/Contents/Resources/. Ist die Datei in einem der beiden Pfade vorhanden, wurde eine infizierte Version heruntergeladen. Außerdem kann im Activity Monitor von OS X überprüft werden, ob der Prozess kernel_service aktiv ist. Wenn ja, sollte unter "Open File and Ports" geprüft werden, ob der Dateiname /Users/"username"/Library/kernel_service vorhanden ist. Falls das der Fall ist, sollte der Prozess mit Force Quit umgehend beendet werden.

Keranger ist nach Angaben von Palo Alto Networks die erste weit verbreitete Ransomware für Mac. Wie die Sicherheitsfirma schreibt, gab es bereits im Jahr 2014 die Software Filecoder, die aber nicht voll funktionsfähig gewesen sei. Apple hat das verwendete Entwicklerzertifikat mittlerweile widerrufen, so dass infizierte Transmission-Versionen mittlerweile vor der Installation warnen sollten.



Anzeige
Spiele-Angebote
  1. (-81%) 3,75€
  2. 2,19€
  3. 1,72€
  4. 3,74€

Ext3h 08. Mär 2016

Falsch. Ransomware kann das sehr wohl überschreiben oder die Sicherung komplett nuken...

Freiheit statt... 07. Mär 2016

Wieso? Dass man BackUps machen sollte ist seit über 20 Jahren ein Gemeinplatz. Trotzdem...

lixxbox 07. Mär 2016

Kein Ding. Hatte den Artikel etwa eine Stunde vor deinem Post gelesen und hatte die Infos...

Thaodan 07. Mär 2016

C) funktioniert aber auch nur so lang so lang dich die Einschränkungen was Sandbox...

lixxbox 07. Mär 2016

"Offenbar wurde die Webseite übernommen und die Installationsdateien von Transmission...


Folgen Sie uns
       


ANC-Kopfhörer im Lautstärkevergleich

Wir haben Microsofts Surface Headphones und die Jabra Elite 85h bei der ANC-Leistung verglichen. Für einen besseren Vergleich zeigen wir auch die besonders leistungsfähigen ANC-Kopfhörer von Sony und Bose, die WH-1000XM3 und die Quiet Comfort 35 II.

ANC-Kopfhörer im Lautstärkevergleich Video aufrufen
In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    •  /