Mac-Erpressungs-Trojaner KeRanger basiert auf Linux.Encoder

Nach Analyse eines AV-Herstellers zufolge ist die auf OS-X-Nutzer abzielende Schad-Software "nahezu identisch" mit Linux.Encoder – es handele sich um die allererste Plattform-übergreifende Ransomware.

In Pocket speichern vorlesen Druckansicht 66 Kommentare lesen
Apple Mac KeRanger

(Bild: dpa, Karl-Josef Hildenbrand/Archiv)

Lesezeit: 2 Min.
Von
  • Leo Becker

Der Mac-Erpressungs-Trojaner KeRanger ist "nahezu identisch" mit der Linux-Ransomware Linux.Encoder.4, wie aus einer Analyse des AV-Herstellers BitDefender hervorgeht. In der für OS X angepassten Version der Malware seien beispielsweise die gleichen Namen für Veschlüsselungsfunktionen zu finden, darunter encrypt_file, recursive_task, currentTimestamp und createDaemon. "Die gesamte Verschlüsselungsroutine ist identisch", betont die Sicherheitsfirma.

Entweder haben sich die Entwickler von Linux.Encoder nun auch auf OS X eingestellt oder aber ihren Code an andere, auf Apples Desktop-Betriebssystem spezialisierte Kriminelle lizenziert, merkt BitDefender an.

Damit sei KeRanger nicht nur die erste voll funktionsfähige OS-X-Ransomware, sondern der erste plattformübergreifende Erpressungs-Trojaner überhaupt. Linux.Encoder treibt seit vergangenem Herbst sein Unwesen, zuvor waren nur Windows- und Android-Nutzer von Ransomware bedroht. Die anfangs noch stümperhafte Malware hat in ihrer jüngsten Version 4 laut BitDefender seit Anfang 2016 "Tausende von Linux-Servern" infiziert.

Dem AV-Hersteller sei aber gelungen, "den Verschlüsselungsalgorithmus auszuhebeln und Entschlüsselungswerkzeuge für alle vier Varianten der Schadsoftware bereitzustellen". Dies gilt "im Prinzip" auch für die von KeRanger verschlüsselten Dateien, erklärte die Firma gegenüber heise Security.

KeRanger hat sich als Bestandteil einer Version des BitTorrent-Clients Transmission verbreitet. Zur ungehinderten Installation haben die Angreifer ein von Apple ausgegebenes Entwickler-Zertifikat eingesetzt.

Drei Tage nach der Installation soll die Malware mit dem Verschlüsseln von Nutzerdateien beginnen, um diese zu entsperren wird ein Lösegeld in Höhe von 1 Bitcoin für den Schlüssel gefordert. KeRanger hat offenbar auch geplant, Time-Machine-Backups zu verschlüsseln, diese Funktion war in den bislang analysierten Varianten aber noch nicht aktiv. Nach Angabe der Transmission-Entwickler wurde die infizierte Version des Programms rund 6500 Mal heruntergeladen.

Lesen Sie dazu auch:

(lbe)