Erpressungstrojaner und Mac-Malware: Schützen statt zahlen
Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.
- Tobias Engler
Artikel aus Mac & i Heft 2/2016, S. 142, aktualisiert und ergänzt
Wer sich am 4. März den beliebten BitTorrent-Client Transmission in der damals neuen Version 2.90 von der offiziellen Seite transmissionbt.com herunterlud, ahnte nicht, welchen Ärger er sich damit ins Haus holte. Kriminelle hatten den Server gehackt und den Transmission-Installer durch eine eigene Variante ausgetauscht, welche KeRanger auf dem Mac platziert. Es ist zu befürchten, dass ein solcher Erpressungs-Trojaner und ähnliche Malware demnächst öfter auftaucht.
Ist eine Schadsoftware wie KeRanger erst einmal auf den Rechner gelangt und aktiviert worden, beispielsweise durch den Aufruf des infizierten Transmission-Installers, hängen mögliche Gegenmaßnahmen vom Einzelfall ab.
KeRanger identifizieren und löschen
KeRanger lässt sich in der Aktivitätsanzeige leicht identifizieren, der Name des Prozesses lautet „kernel_service“ (Achtung, nicht „kernel_task“!). Diesen Prozess können Sie sofort beenden. Sind im Verzeichnis ~/Library zudem die Dateien .kernel_complete, .kernel_pid, .kernel_time oder .kernel_service vorhanden, löschen Sie diese. Da es sich um unsichtbare Dateien handelt, machen Sie diese im Finder zuerst mit dem Terminal-Befehl
defaults write com.apple.finder AppleShowAllFiles TRUE; killall Finder
sichtbar. (FALSE statt TRUE macht sie anschließend wieder unsichtbar). Transmission 2.92 entfernt KeRanger übrigens selbsttätig.
Im Falle von KeRanger könnte es auch helfen, schnellstmöglich den Netzzugang zu blockieren, sei es durch physisches Abziehen eines LAN-Kabels oder durch Abschalten der WiFi-Verbindung. KeRanger erfragt nämlich über das Tor-Netzwerk einen öffentlichen Schlüssel zum Kodieren des geheimen AES-Keys vom sogenannten Command- und Control-Server.
Natürlich unterscheiden sich die Details von Trojaner zu Trojaner. Sollte Ihr Mac befallen sein oder Sie auch nur den Verdacht haben, suchen Sie im Netz nach Hinweisen. Oft verraten Sicherheitsspezialisten wie Palo Alto Networks oder BitDefender nicht nur mögliche Maßnahmen, sondern auch, wie man herausfindet, ob der Rechner infiziert ist. KeRanger beispielsweise basiert auf der Linux-Schadsoftware Linux.Encoder 4. Für die ursprüngliche Variante Linux.Encoder 1 stellt Bitdefender ein Entschlüsselungstool bereit, das von einem Umsetzungsfehler in der Ransomware profitiert und den AES-Schlüssel rekonstruieren kann.
