Security: Erste funktionierende Ransomware für Mac ist im Umlauf
Mac-Nutzer, die am Wochenende den Transmission-Bittorent-Client heruntergeladen haben, haben sich möglicherweise mit Malware infiziert, berichtet die Sicherheitsfirma Palo Alto Networks(öffnet im neuen Fenster) . Offenbar wurde die Webseite übernommen und die Installationsdateien von Transmission durch infizierte Versionen ausgetauscht. Weil die kompromittierten Dateien mit einem gültigen Entwicklerzertifikat signiert waren, schützt Gatekeeper nicht vor der Ausführung. Transmission warnt mittlerweile auf seiner Webseite(öffnet im neuen Fenster) vor den fehlerhaften Dateien und fordert alle Nutzer der betroffenen Versionen 2.90 und 2.91 zum Update auf.
Wurde die infizierte Installationsdatei heruntergeladen und ausgeführt, wird während der Installation die Malware geladen. Diese wartet dann nach Angaben der Sicherheitsfirma drei Tage, um sich dann mit einem im Tor-Netzwerk gehosteten Command-und-Control-Server zu verbinden. Dann beginnt der Verschlüsselungsprozess der Dateien. Wer sich am Wochenende infiziert hat, hat also noch Zeit, zu reagieren. Ein Update auf die aktuelle Version 2.92. soll das Problem laut Transmission beheben.
Ist die Verschlüsselung abgeschlossen, fordert Keranger einen Bitcoin als Lösegeld, was derzeit ungefähr 370 Euro entspricht. Offenbar versucht die Malware auch, Time-Machine-Backups zu verschlüsseln. Laut Palo Alto Networks befindet sich die Malware noch in der aktiven Entwicklungsphase.
Malware lässt sich leicht entdecken
Wer überprüfen will, ob sein Rechner betroffen ist, sollte in den folgenden Dateipfaden nach der Datei General.rtf suchen: /Applications/Transmission.app/Contents/Resources/ und /Volumes/Transmission/Transmission.app/Contents/Resources/. Ist die Datei in einem der beiden Pfade vorhanden, wurde eine infizierte Version heruntergeladen. Außerdem kann im Activity Monitor von OS X überprüft werden, ob der Prozess kernel_service aktiv ist. Wenn ja, sollte unter "Open File and Ports" geprüft werden, ob der Dateiname /Users/"username"/Library/kernel_service vorhanden ist. Falls das der Fall ist, sollte der Prozess mit Force Quit umgehend beendet werden.
Keranger ist nach Angaben von Palo Alto Networks die erste weit verbreitete Ransomware für Mac. Wie die Sicherheitsfirma schreibt, gab es bereits im Jahr 2014 die Software Filecoder, die aber nicht voll funktionsfähig gewesen sei. Apple hat das verwendete Entwicklerzertifikat mittlerweile widerrufen, so dass infizierte Transmission-Versionen mittlerweile vor der Installation warnen sollten.