OS X : Ransomware KeRanger infiziert Mac-Plattformen

, 80 Kommentare
OS X: Ransomware KeRanger infiziert Mac-Plattformen
Bild: david pacey (CC BY 2.0)

Experten des Sicherheitsanbieters Palo Alto Networks haben im BitTorrent-Client Transmission 2.90 die Ransomware KeRanger gefunden. Somit besteht für Nutzer, die den Client installiert haben, die Gefahr, sich mit dem Schädling infiziert zu haben. Dieser soll die erste funktionsfähige Erpresser-Software für OS X darstellen.

Laut dem Sicherheitsunternehmen ist es Angreifern gelungen, besagte Version zu manipulieren und durch das Versehen der Installationsdatei mit einem Mac-App-Entwickler-Zertifikat den Gatekeeper-Schutz zu umgehen. Somit entspricht die Signatur nicht mehr dem bisher für den Client verwendeten Zertifikat. Das jetzt verwendete Zertifikat soll vom 4. März 2016 stammen und zu einer anderen Developer-ID gehören, womit es sich von der bisher verwendeten Entwickler-ID unterscheidet. Die jetzt verwendete ID soll laut Aussagen der Experten zu einem türkischen Farbenhersteller gleichen Namens gehören.

Apple hat nach Bekanntwerden das Zertifikat zurückgezogen, dennoch stand die Schadsoftware ab dem 4. März 11.00 Uhr PST (20.00 Uhr unserer Zeit) über einen Zeitraum von 32 Stunden zum Download bereit. Darüber hinaus hat das Unternehmen aus Cupertino den Malware-Schutz XProtect aktualisiert, so dass KeRanger erkannt und vor allem auch entfernt werden kann. Auf seiner Homepage weist das Transmission-Projekt ebenfalls auf die Problematik hin und stellt zudem die bereinigte Version 2.92 des BitTorrent-Client zur Verfügung, welche ebenfalls den Schädling entfernen können soll.

Ein Bitcoin für das Entschlüsseln der Dateien

Geschädigte Nutzer werden die Infizierung dabei nicht sofort bemerken. Während der Installation des BitTorrent-Clients wird zunächst die Malware über eine eingebettete Datei ausgeführt, welche jedoch zunächst drei Tage inaktiv bleibt. Nach Ablauf dieser Zeit verbindet sich der Schädling mit einem C2-Server (Command and Control) und erhält über diesen einen öffentlichen Schlüssel. Anschließend durchläuft die Software die Verzeichnisse „/Users“ und „/Volumes“, wobei unter der Verwendung der Open-Source-Verschlüsselungsbibliothek mbed TLS im ersten Ordner alle und im zweiten Ordner nur bestimmte Dateien verschlüsselt werden. Mit der gefundenen Version ist KeRanger in der Lage, über 300 Dateitypen verarbeiten zu können. Den benötigten privaten Schlüssel zum Wiederherstellen der Dateien erhält der Nutzer erst nach Zahlung eines Lösegelds in Höhe von einem Bitcoin (nach aktuellem Kurs rund 373 Euro).

Nutzern, die die besagte Version installiert haben, wird empfohlen die Ordner Applications/Transmission.app/Contents/Resources oder Volumes/Transmission/Transmission.app/Contents/Resources auf die Datei „General.rtf“ zu prüfen. Sollte diese vorhanden sein, gibt Paolo Alto auf der eigenen Website Anweisungen, wie der Schädling entfernt werden kann.

Bereits im Juni 2014 wurde mit „FileCoder“ von Kaspersky Lab die erste Ransomware für die OS-X-Plattform entdeckt. Da es sich laut dem Hersteller für Antiviren-Software jedoch um eine zum Zeitpunkt der Veröffentlichung unfertige Version des Schädlings handelte, hielt sich die Gefahr bei diesem in Grenzen.