{"id":89353,"date":"2016-03-07T11:11:53","date_gmt":"2016-03-07T10:11:53","guid":{"rendered":"http:\/\/www.ifun.de\/?p=89353"},"modified":"2016-03-07T11:57:21","modified_gmt":"2016-03-07T10:57:21","slug":"keranger-aufspueren-hier-versteckt-sich-der-erpressungstrojaner","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/keranger-aufspueren-hier-versteckt-sich-der-erpressungstrojaner-89353\/","title":{"rendered":"KeRanger aufsp\u00fcren: Hintergr\u00fcnde zum OS X-Erpressungstrojaner"},"content":{"rendered":"

Kurzer Nachtrag zum heute fr\u00fch ver\u00f6ffentlichten Artikel<\/a> „Transmission verteilt Erpressungstrojaner“. Mittlerweile hat das Sicherheitsunternehmen Palo Alto Networks<\/a> den Kontakt mit ifun.de aufgenommen und erg\u00e4nzt unseren Bericht \u00fcber den Erpressungstrojaner KeRanger um weitere Detail-Informationen.<\/p>\n

\"term\"<\/a><\/p>\n

Das Erpresser-Schreiben im Terminal<\/h6>\n

Nach Angaben der Security-Forscher handelt es sich bei KeRanger um die erste voll funktionsf\u00e4hige Ransomware, die auf die OS X-Plattform abzielt. Zwar wurde mit der Schaf- bzw. Schadsoftware „FileCoder“ ein \u00e4hnlicher Trojaner bereits im Jahr 2014 entdeckt, dieser war damals jedoch noch nicht einsatzbereit.<\/p>\n

Zudem interessant: Der Erpressungstrojaner KeRanger nutzte ein Entwicklungszertifikat f\u00fcr Mac Apps und konnte so die Gatekeeper-Funktion von Apple umgehen. In der Mail an ifun.de erkl\u00e4rt das Team der Palo Alto Networks:<\/p>\n

Wenn ein Benutzer die infizierten Apps installiert, kommt eine eingebettete ausf\u00fchrbare Datei auf dem System zum Einsatz. KeRanger wartet dann drei Tage, um sich mit den C2-Servern \u00fcber das f\u00fcr anonyme Aktivit\u00e4ten beliebte Tor-Netzwerk zu verbinden. Die Malware beginnt dann bestimmte Arten von Dokumenten und Dateien auf dem System zu verschl\u00fcsseln. Nachdem der Verschl\u00fcsselungsvorgang abgeschlossen ist, fordert KeRanger von den Opfern ein Bitcoin (ca. 370 Euro), um die Dateien zu entschl\u00fcsseln. Die Zahlung des L\u00f6segelds erfolgt \u00fcber eine spezielle Website im Tor-Netzwerk. KeRanger scheint sich noch in der aktiven Entwicklungsphase zu befinden. Die Malware versucht offensichtlich auch, Time-Machine-Dateien zu verschl\u00fcsseln, um zu verhindern, dass sich Opfer ihre Daten aus dem Backup wiederherstellen.<\/p><\/blockquote>\n

Zwar hat Apple das missbrauchte Zertifikat zwischenzeitlich als ung\u00fcltig deklariert, Mac-Anwender, die zwischen 4. M\u00e4rz, 20.00 Uhr, und 5. M\u00e4rz, 4.00 Uhr, das Transmission-Installationsprogramm von der offiziellen Website heruntergeladen haben, sollten dennoch f\u00fcnf Minuten Zeit in die h\u00e4ndische Suche nach dem b\u00f6sartigen St\u00fcck Software investieren.<\/p>\n

Drei-Schritt-Anleitung zur Infektionsbek\u00e4mpfung<\/h2>\n

Palo Alto Networks hat dazu eine Drei-Schritt-Anleitung erstellt und empfiehlt:<\/p>\n