KeRanger aufspüren: Hintergründe zum OS X-Erpressungstrojaner

Kurzer Nachtrag zum heute früh veröffentlichten Artikel „Transmission verteilt Erpressungstrojaner“. Mittlerweile hat das Sicherheitsunternehmen Palo Alto Networks den Kontakt mit ifun.de aufgenommen und ergänzt unseren Bericht über den Erpressungstrojaner KeRanger um weitere Detail-Informationen.

Das Erpresser-Schreiben im Terminal

Nach Angaben der Security-Forscher handelt es sich bei KeRanger um die erste voll funktionsfähige Ransomware, die auf die OS X-Plattform abzielt. Zwar wurde mit der Schaf- bzw. Schadsoftware „FileCoder“ ein ähnlicher Trojaner bereits im Jahr 2014 entdeckt, dieser war damals jedoch noch nicht einsatzbereit.

Zudem interessant: Der Erpressungstrojaner KeRanger nutzte ein Entwicklungszertifikat für Mac Apps und konnte so die Gatekeeper-Funktion von Apple umgehen. In der Mail an ifun.de erklärt das Team der Palo Alto Networks:

Wenn ein Benutzer die infizierten Apps installiert, kommt eine eingebettete ausführbare Datei auf dem System zum Einsatz. KeRanger wartet dann drei Tage, um sich mit den C2-Servern über das für anonyme Aktivitäten beliebte Tor-Netzwerk zu verbinden. Die Malware beginnt dann bestimmte Arten von Dokumenten und Dateien auf dem System zu verschlüsseln. Nachdem der Verschlüsselungsvorgang abgeschlossen ist, fordert KeRanger von den Opfern ein Bitcoin (ca. 370 Euro), um die Dateien zu entschlüsseln. Die Zahlung des Lösegelds erfolgt über eine spezielle Website im Tor-Netzwerk. KeRanger scheint sich noch in der aktiven Entwicklungsphase zu befinden. Die Malware versucht offensichtlich auch, Time-Machine-Dateien zu verschlüsseln, um zu verhindern, dass sich Opfer ihre Daten aus dem Backup wiederherstellen.

Zwar hat Apple das missbrauchte Zertifikat zwischenzeitlich als ungültig deklariert, Mac-Anwender, die zwischen 4. März, 20.00 Uhr, und 5. März, 4.00 Uhr, das Transmission-Installationsprogramm von der offiziellen Website heruntergeladen haben, sollten dennoch fünf Minuten Zeit in die händische Suche nach dem bösartigen Stück Software investieren.

Drei-Schritt-Anleitung zur Infektionsbekämpfung

Palo Alto Networks hat dazu eine Drei-Schritt-Anleitung erstellt und empfiehlt:

• Überprüfen Sie mittels Terminal oder Finder, ob /Applications /Transmission.app /Contents /Resources / General.rtf oder /Volumes /Transmission /Transmission.app /Contents /Resources / General.rtf existieren. Wenn einer dieser Fälle zutrifft, ist die Transmission-Anwendung infiziert und diese Version sollte daher gelöscht werden.
• Mittels „Activity Monitor“, vorinstalliert in OS X, überprüfen Sie, ob ein Prozess namens kernel_service läuft. Wenn ja, überprüfen Sie den Prozess, wählen Sie die „Open Files and Ports“ ( (Öffnen von Dateien und Ports) und prüfen Sie, ob ein Dateiname /Users//Library/kernel_service vorhanden ist. Wenn ja, ist dies der KeRanger-Hauptprozess. Diesen gilt es mit „Quit -> Force Quit“ sofort zu beenden.
• Nach diesen Schritten wird Benutzern euch empfohlen, zu überprüfen, ob die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service im ~/Library-Verzeichnis vorhanden sind. Wenn ja, sollten diese ebenfalls gelöscht werden.