Neue Mac-Ransomware kursiert in illegalen Kopien
Der "EvilQuest"-Schädling kann Festplatte oder SSD verschlüsseln, soll aber so schlecht programmiert sein, dass die Lösegeldforderung nicht übermittelt wird.
Wenn die Lösegeldforderung kommt, soll sie so aussehen.
(Bild: Screenshot Forum RU Tracker / via Malwarebytes)
In einem russischen Forum ist ein neuer Verschlüsselungsschädling aufgetaucht, der es auf Mac-Nutzer abgesehen hat. Die von Malwarebytes "EvilQuest" getaufte Ransomware steckt in illegalen Kopien von macOS-Apps – erstmals entdeckt wurde sie in einem Paket, in dem angeblich das beliebte Sicherheitswerkzeug Little Snitch steckt.
Versteckt in der Aktivitätsanzeige
EvilQuest stellt sich allerdings nicht besonders schlau an. So ist der Installer generisch, was zu Little Snitch nicht passt. Dennoch wird das Tool offenbar installiert. Daneben landet aber auch eine ausführbare Datei namens "Patch" im Verzeichnis "/Users/Shared". Ein im Installer steckendes Skript kopiert die Datei dann um und benennt sie als "CrashReporter", so dass ihr Aktivsein in der Aktivitätsanzeige von macOS nicht auffällt.
Schließlich vermehrt sich "Patch" auf dem Rechner weiter und beginnt dann damit, verschiedene Dateien zu verschlüsseln. Dabei geht die Ransomware recht grob vor und "sichert" neben wichtigen Dateien wie dem Schlüsselbund auch Systemfiles, die für den Rechnerbetrieb benötigt werden – so gibt es anschließend Schwierigkeiten bei der Verwendung des Docks oder des Finders.
50 Dollar – wenn der Dialog auftaucht
Zudem gelang es Malwarebytes in seinen Tests nicht, sich die Anweisungen anzeigen zu lassen, um das Lösegeld zu zahlen. In dem russischen Forum wurden aber entsprechende Screenshots (siehe oben) gepostet. Darin heißt es, es koste "50 US-Dollar ohne zusätzliche Gebühren", wenn man innerhalb von drei Tagen zahle. Oftmals ist aber auch dies ein schlichter Betrug und die Dateien bleiben auch nach Zahlung verschlüsselt.
Neben der Verschlüsselungsroutine installiert EvilQuest offenbar auch noch einen Keylogger zum Mitschreiben von Tastatureingaben wie Passwörtern. Malwarebytes hat seinen eigenen Virenschutz bereits um eine Erkennungsroutine für den Schädling ergänzt; andere Mac-Sicherheitswerkzeuge dürften folgen. Wie üblich bleibt für Nutzer der Rat, Programme nicht aus problematischen Quellen herunterzuladen und zu installieren. Weitere Tipps zum Umgang mit Ransomware auf dem Mac finden Sie in einem Artikel auf heise+.
Lesen Sie auch
So geht's: Mac, iPhone und iPad richtig absichern
(bsc)