Hackern ist es offenbar gelungen, einen Virus auf Mac-Systeme einzuschleusen. Die wohl erste erfolgreiche Ransomware auf dem Mac verschlüsselt die Daten des Besitzers. Wer die Kontrolle zurückerlangen will, muss ein Lösegeld zahlen.
Wer auf seinem Mac jüngst den BitTorrent-Client Transmission heruntergeladen und installiert hat, könnte Opfer eines neuen Virus geworden sein. Das sagten die Sicherheitsspezialisten von Palo Alto Networks der Nachrichtenagentur Reuters. Angreifern ist es offenbar gelungen, die Installationsdateien des Clients Transmission in der Version 2.90 zu manipulieren. Wird die Schad-Software auf dem Computer installiert, fängt man sich die Ransomware KeRanger ein. Ransomware ist eine Erpresser-Software, die Daten auf einem Computer verschlüsselt und erst nach Bezahlung eines Lösegelds wieder entsperrt.
Ransomware KeRanger verlangt Zahlung von einem Bitcoin
Apples Gatekeeper-Schutz konnte offenbar umgangen werden, da der KeRanger mit einem gültigen Entwicklerzertifikat versehen war. Nach der Installation der Schadsoftware wird eine eingebettete Datei ausgeführt. Erst nach drei Tagen verbindet sich das Tool mit einem Befehlsserver über das Tor-Netzwerk – und verschlüsselt anschließend bestimmte Dateien des Besitzers. Geschädigte, die wieder auf ihre Dateien zugreifen wollen, müssen ein Lösegeld an die Erpresser zahlen, und zwar in Form von einem Bitcoin (etwa 400 US-Dollar).
Apple reagierte zügig und zog das Entwicklerzertifikat zurück
Damit ist es die erste vollständig funktionsfähige Ransomware auf einem Mac. Apple reagierte prompt, zog das Entwicklerzertifikat zurück und aktualisierte sein Malware-Schutzprogramm XProtect. Auch der Entwickler von Transmission warnt auf seiner Webseite vor der Ransomware und empfiehlt allen Usern, dringend ein Update auf Version 2.92. Mithilfe dieser aktualisierten Software soll auch das Löschen des KeRanger möglich sein. Der Zeitraum der infizierten Software: Freitagabend ab 20 Uhr bis einschließlich die Nacht von Samstag auf Sonntag um 4 Uhr. Etwa 34 Stunden Zeit hatte der KeRanger also, entsprechende Macs zu infizieren.
Wer prüfen will, ob er selbst von dem Virus betroffen ist, kann laut Palo Alto wie folgt vorgehen:
- Prüfen, ob die Datei /Applications/Transmission.app/Contents/Resources/ General.rtf oder /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf vorhanden ist
- Sollte die Datei existieren, ist der Mac mit der Ransomware infiziert
- Der Client Transmission sollte unbedingt gelöscht werden
Außerdem beschreibt die Sicherheitsfirma, wie der betroffene Systemprozess gestoppt und der KeRanger manuell gelöscht werden kann.
