ifun.de — Apple News seit 2001. 36 799 Artikel
   

KeRanger aufspüren: Hintergründe zum OS X-Erpressungstrojaner

Artikel auf Mastodon teilen.
18 Kommentare 18

Kurzer Nachtrag zum heute früh veröffentlichten Artikel „Transmission verteilt Erpressungstrojaner“. Mittlerweile hat das Sicherheitsunternehmen Palo Alto Networks den Kontakt mit ifun.de aufgenommen und ergänzt unseren Bericht über den Erpressungstrojaner KeRanger um weitere Detail-Informationen.

term

Das Erpresser-Schreiben im Terminal

Nach Angaben der Security-Forscher handelt es sich bei KeRanger um die erste voll funktionsfähige Ransomware, die auf die OS X-Plattform abzielt. Zwar wurde mit der Schaf- bzw. Schadsoftware „FileCoder“ ein ähnlicher Trojaner bereits im Jahr 2014 entdeckt, dieser war damals jedoch noch nicht einsatzbereit.

Zudem interessant: Der Erpressungstrojaner KeRanger nutzte ein Entwicklungszertifikat für Mac Apps und konnte so die Gatekeeper-Funktion von Apple umgehen. In der Mail an ifun.de erklärt das Team der Palo Alto Networks:

Wenn ein Benutzer die infizierten Apps installiert, kommt eine eingebettete ausführbare Datei auf dem System zum Einsatz. KeRanger wartet dann drei Tage, um sich mit den C2-Servern über das für anonyme Aktivitäten beliebte Tor-Netzwerk zu verbinden. Die Malware beginnt dann bestimmte Arten von Dokumenten und Dateien auf dem System zu verschlüsseln. Nachdem der Verschlüsselungsvorgang abgeschlossen ist, fordert KeRanger von den Opfern ein Bitcoin (ca. 370 Euro), um die Dateien zu entschlüsseln. Die Zahlung des Lösegelds erfolgt über eine spezielle Website im Tor-Netzwerk. KeRanger scheint sich noch in der aktiven Entwicklungsphase zu befinden. Die Malware versucht offensichtlich auch, Time-Machine-Dateien zu verschlüsseln, um zu verhindern, dass sich Opfer ihre Daten aus dem Backup wiederherstellen.

Zwar hat Apple das missbrauchte Zertifikat zwischenzeitlich als ungültig deklariert, Mac-Anwender, die zwischen 4. März, 20.00 Uhr, und 5. März, 4.00 Uhr, das Transmission-Installationsprogramm von der offiziellen Website heruntergeladen haben, sollten dennoch fünf Minuten Zeit in die händische Suche nach dem bösartigen Stück Software investieren.

Drei-Schritt-Anleitung zur Infektionsbekämpfung

Palo Alto Networks hat dazu eine Drei-Schritt-Anleitung erstellt und empfiehlt:

  • Überprüfen Sie mittels Terminal oder Finder, ob /Applications /Transmission.app /Contents /Resources / General.rtf oder /Volumes /Transmission /Transmission.app /Contents /Resources / General.rtf existieren. Wenn einer dieser Fälle zutrifft, ist die Transmission-Anwendung infiziert und diese Version sollte daher gelöscht werden.
  • Mittels „Activity Monitor“, vorinstalliert in OS X, überprüfen Sie, ob ein Prozess namens kernel_service läuft. Wenn ja, überprüfen Sie den Prozess, wählen Sie die „Open Files and Ports“ ( (Öffnen von Dateien und Ports) und prüfen Sie, ob ein Dateiname /Users//Library/kernel_service vorhanden ist. Wenn ja, ist dies der KeRanger-Hauptprozess. Diesen gilt es mit „Quit -> Force Quit“ sofort zu beenden.
  • Nach diesen Schritten wird Benutzern euch empfohlen, zu überprüfen, ob die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service im ~/Library-Verzeichnis vorhanden sind. Wenn ja, sollten diese ebenfalls gelöscht werden.
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
07. Mrz 2016 um 11:11 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    18 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    18 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 36799 Artikel in den vergangenen 8009 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven