Tool: "RansomWhere?" soll Mac-Nutzer vor Erpressungstrojanern schützen
Das von einem Sicherheitsforscher entwickelte Tool RansomWhere? prüft, ob suspekte Systemprozesse in OS X plötzlich versuchen, Dateien zu verschlüsseln. Der Nutzer kann dies dann unterbinden.
(Bild: Entwickler)
- Leo Becker
Der Sicherheitsforscher Patrick Wardle hat ein Programm für OS X entwickelt, das vor Erpressungstrojanern schützen soll: Die RansomWhere? genannte Anwendung beobachtet, ob verdächtige Systemprozesse Dateien verschlüsseln wollen und informiert den Nutzer über diesen Vorgang. Dieser kann den Prozess dann beenden oder – falls es sich um eine gewollte Verschlüsselung von Dateien durch ein legitimes Programm handelt – auch zulassen.
Verschlüsselungsversuch schlägt Alarm
Der Versuch, Dateien zu verschlüsseln ist aller Ransomware gemein, erklärt Wardle – das Tool unterbinde diese Versuche deshalb generell und schlage Alarm. Von Apple signierte Prozessen traut RansomWhere? grundsätzlich, merkt der Sicherheitsforscher an, das gleiche gilt für Prozesse, die der Nutzer einmal zugelassen hat. Das Programm vertraut auch sämtlichen Binaries, die bei der Installation bereits präsent waren – dies lässt sich aber manuell zurücksetzen.
RansomWhere? prüfe nur Verschlüsselungsvorgänge in den Verzeichnissen des Nutzers, schränkt Wardle ein. Zudem kann es ein Erpressungstrojaner schaffen, mehrere Dateien zu verschlüsseln, bevor das Programm den Warnungsdialog anzeigt. Und natürlich könne eine Ransomware gezielt versuchen, die Prüfroutinen des Tools zu umgehen.
Erster Mac-Erpressungstrojaner
Erpressungstrojaner für OS X sind bislang noch eine Seltenheit, jüngst sorgte KeRanger als erste "voll funktionsfähige" Ransomware für Aufsehen. Bei KeRanger handelt es sich um die für den Mac angepasste Variante eines Linux-Trojaners, die für kurze Zeit als Teil des BitTorrent-Clients Transmission auf Mac-Systeme gelangte. Rund 6500 Downloads der infizierten Version haben die Entwickler gezählt.
Wardle ist für die Unternehmensberatung Synack tätig, der zuvor auch bei der NASA sowie NSA angestellte Entwickler hat bereits mehrere Sicherheits-Tools für OS X veröffentlicht. Apples in OS X integrierte Schutzmechanismen bezeichnet der Sicherheitsforscher als weitestgehend nutzlos – sie würden sich zu leicht überlisten lassen. (lbe)
