Erpressungstrojaner und Mac-Malware: SchĂĽtzen statt zahlen

Seite 7: HintergrĂĽnde zur Ransomware Keranger

Inhaltsverzeichnis

Die Schadsoftware nistet sich zunächst unbemerkt im System ein und wartet drei Tage lang untätig ab. Dann beginnt sie, alle Dateien unter /Users und an die 300 Dateiformate unter /Volumes mit dem sehr sicheren AES-Verfahren zu verschlüsseln. Der Anwender sieht eine Fehlermeldung und kommt nur wieder an seine Daten, wenn er 1 Bitcoin Lösegeld zahlt, also aktuell um die 380 Euro. In der Sicherheitsszene hat sich der Gattungsname „Ransomware“ für solche Trojaner etabliert (ransom; engl. für Erpressung). Wer zahlt, erhält – mit Glück – den Dekodierschlüssel vom Erpresser und kann seine Daten wiederherstellen. Wer nicht zahlt, bleibt auf einem Haufen Binärschrott sitzen.

Die Transmission-Entwickler schoben schnell ein weiteres Update hinterher.

Das Sicherheitsunternehmen Palo Alto Networks, das unter anderem Firewalls herstellt, entdeckte den Angriff noch am selben Tag und meldete ihn an die Transmission-Entwickler und an Apple. Transmission tauschte die beiden infizierten Installer kurz darauf wieder gegen die Originale aus, Apple passte seine Schadsoftware-Signatur-Datei XProtect umgehend an und startete mit der Verteilung.

In der Zwischenzeit waren 6500 Downloads gezählt worden, die Zahl der Infektionen ist nicht bekannt. Das ist nicht viel, verglichen mit den Millionen PCs, die regelmäßig von Trojanern befallen werden, aber allemal ärgerlich. Für Windows- und Android-Nutzer sind solche Erpressungsmethoden und auch der Verbreitungsweg über manipulierte Downloads schon länger ein Problem. Glücklicherweise lässt sich mit den geschilderten Maßnahmen einem solchen Angriff vorbeugen.

Besteht Anlass zur Panik? Nein. Aber die Zeit, in der man als Mac-Nutzer unbehelligt öffnen konnte, was immer man wollte, scheint vorbei. Denken Sie also stets mit und informieren Sie sich, sobald Sie Verdacht schöpfen. Meist finden Sie mit den richtigen Schlüsselwörtern in einer Google-Suche sehr schnell mehr heraus. Bleibt zu hoffen, dass KeRanger ein Einzelfall war und Apple weiterhin die XProtect-Liste regelmäßig und zeitnah pflegt, dann können wir auch in Zukunft auf Virenscanner verzichten. (wre)