Ransomware KeRanger hat Macs im Visier

wp_ransomware_macErpressungs-Trojaner sind nun endlich auch auf MacOS angekommen. Sind bislang die Mac-User weitgehend von vielen der bösartigen Ransomware-Varianten verschont geblieben, ist nun den Experten der Sicherheitsfirma Palo Alto Networks eine Ransomware mit Namen “KeRanger” ins Netz gegangen, die in der von Mac-Usern beliebten Software “BitTorrent-Client Transmission – Version 2.90″ integriert wurde.

Bislang ist den Experten völlig unklar, wie es Kriminellen gelungen ist, die offiziell angebotene Software zu infiltrieren und auf den offiziellen Servern von Transmission abzulegen. Transmission warnt bereits auf eigenen Seiten und rät umgehend die die kompromittierte Software 2.90 zu entfernen und durch die neu veröffentliche Version 2.92 zu ersetzen!

Bildschirmfoto 2016-03-07 um 08.54.21

Bild: bleepingcomputer.com – Transmission

Was könnte passiert sein?

Laut den Experten von Palo Alto Networks wurde bereits am 04. März die originale Version, durch die mit Schadcode versetzte Version ersetzt und über verschaffte Zugangsdaten auf den offiziellen Transmission Webserver zum Download abgelegt. Über ein offizielles Apple Entwickler-Zertifikat ist es der infizierten Version des BitTorrent-Client Transmission 2.90 möglich, vorbei an installierten Sicherheitsfunktionen wie des Gatekeeper, auf das System zu gelangen.

Wurde die infizierte Version des BitTorrent-Client Transmission 2.90 auf dem Mac installiert, startet der Erpressungs-Trojaner “KeRanger” sein verheerendes Werk vorerst nicht! Laut den Experten nimmt der Trojaner erst nach drei Tagen Kontakt mit mit seinem Command und Control-Server über gesicherte Tor-Verbindung auf und beginnt Laufwerke und Partitionen des System auf über 300 Datei-Erweiterung zu überprüfen und letztendlich zu verschlüsseln. Weiterhin hinterlassen die Kriminellen übliche Warnung mit einer Lösegeldforderung von 1 Bitcoin (ca. 400 Euro) für die Freigabe der Daten.

Wie auch bei den Windows-Versionen der Ransomware ist hier auch Angst und Einschüchterung die Motivation der Kriminellen: Kommen Sie einer Lösegeldforderung bitte nicht nach!! Eine Entschlüsselung nach Bezahlung kann nicht garantiert werden!

Fazit:  Gab es bislang hauptsächlich MacOS-Ransomware in Konzeptphasen, also mögliche Infektionen auf dem Mac unter Laborbedingungen, so sind diese nun endgültig in der Öffentlichkeit angekommen. Seien Sie besonders vorsichtig, da bislang die Ransomware “KeRanger” von keiner Antiviren-Scanner gefunden wird. Anwendern wird dringend die Installation der aktualisierten Version des BitTorrent-Client Transmission 2.92 empfohlen. Machen Sie regelmäßige Backups von Ihren daten und dem System – Bleibt da nur noch die Überlegung, ob überhaupt ein BitTorrent-Client installiert werden muß, da  bekannterweise auch viele Schadprogramme über diese Clients verteilt werden.

Lesen Sie auch unseren Beitrag “Mac-Systeme sind nicht immun gegen Ransomware

Tipps vom Botfrei-Team, wie sie den Mac schützen können:

  • Wichtiger den je, machen Sie regelmäßige Backups von ihrem System!
  • Installieren Sie auch auf dem Mac eine Antiviren-Software z.B. den kostenfreien von Avira.
  • Halten Sie das System und darauf installierte Programme immer „Up To Date“ – auf „Apfel“ – „Softwareaktualisierung“
  • Überprüfen Sie, ob die Firewall aktiviert ist mit „Apfel“ – „Systemeinstellungen“ – „Sicherheit“.
  • Surfen Sie nicht mit dem Administratorkonto! Erstellen Sie sich einenStandardbenutzer, mit dem Sie im Internet surfen. In der Regel sind Sie so erheblich sicherer unterwegs.
  • Java ist häufig ein Einfallstor und wird von den wenigsten Anwendern verwendet. Deaktivieren Sie Java, indem Sie unter „Programme“ – „Dienstprogramme“ – „Java-Einstellungen“ die Haken entfernen.
  • Legen Sie regelmäßig Backups von Ihren persönlichen Daten und dem System an und bewahren Sie diese separat vom Mac auf.

Bild: bleepingcomputer.com

Update: Eset legt nach und kann mit seinem ESET Cyber Security für MacOS diese Ransomware erkennen und löschen.

3 thoughts on “Ransomware KeRanger hat Macs im Visier”

  1. Tach auch,

    für diejenigen die lieber ohne virenscanner auskommen möchten, hier ein workthrou.

    Überprüfen, ob eine infizierte Version von Transmission auf dem Mac liegt
    1) Wählen Sie Transmission im Programme-Ordner oder auf dem Disk Image an, führen Sie einen Rechtsklick auf das Programm aus, klicken Sie auf “Paketinhalt zeigen”.
    2) Öffnen Sie “Contents”, dann “Resources”
    3) Überprüfen Sie, ob eine Datei namens “General.rtf” vorhanden ist. Falls ja, dann handelt es sich um eine infizierte Version

    Überprüfen, ob KeRanger schon aktiv ist
    1) Öffnen Sie die Aktivitätsanzeige
    2) Suchen Sie nach dem Prozess “kernel_service”
    3) Doppelklicken Sie diesen (falls vorhanden) und wählen Sie “Geöffnete Dateien und Ports”
    4) Sollte an dieser Stelle der Pfad /Users/IhrNutzername/Library/kernel_service” aufgelistet sein, ist KeRanger installiert
    5) Es ist dringend zu empfehlen, den Prozess kernel_Service dann via Aktivitätsanzeige “sofort zu beenden” (Button links oben im Hauptfenster)
    6) Überprüfen Sie außerdem, ob in Ihrer Nutzer-Library die Dateien .kernel_pid”, “.kernel_time”, “.kernel_complete” oder “kernel_service” liegen. Dazu müssen Sie “defaults write com.apple.finder AppleShowAllFiles 1” im Terminal eingeben. Sollten Sie diese Dateien finden, löschen Sie diese umgehend.

    viel spass noch

    1. Hallo kleinotto,

      danke für deinen Beitrag, dennoch empfehlen wir auch auf dem Mac eine Antiviren-Lösung, schaut euch dazu mal den kostenfreien von Malwarebytes an.

      Viele Grüsse,
      TB | botfrei.de

Kommentare sind geschlossen.