Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

KeRanger: Lösegeld-Erpressung auf dem Mac via Transmission 2.9

Zahlreiche Nutzer des beliebten BitTorrent-Clients Transmission beförderten zusammen mit der Installation auch Schadsoftware auf ihren Mac - Angreifern war es nämlich gelungen, zwei offizielle Installer von Transmission 2.9 mit Malware zu infizieren. Es handelt sich bei "KeRanger" um den ersten Fall funktionierender Ransomware auf dem Mac. Ransomware kann am besten als "digitale Lösegelderpressung" beschrieben werden. Teile der Nutzerdaten oder gar wichtige Systemdateien werden verschlüsselt und der Nutzer zur Zahlung eines Geldbetrags aufgefordert. Entrichtet er diesen nicht, gelangt er auch nicht mehr an die Daten.


Lösegelderpresung per KeRanger
Im aktuellen Fall liegen die Kosten zur Entschlüsselung bei einem Bitcoin, was momentan ungefähr 350 Euro entspricht. Den Sicherheitsexperten von Palo Alto Networks zufolge wird "KeRanger" aktiv weiterentwickelt und wird daher wohl noch in weiteren Varianten auftauchen. Angeblich versucht "KeRanger" auch, das TimeMachine-Backup des Nutzers unlesbar zu machen, um auch die Wiederherstellung einer Sicherheitskopie zu verhindern.

Apple reagierte sofort auf KeRanger
Noch am selben Tag, an dem Palo Alto Networks vor der Gefahr warnte, sperrte Apple bereits das beim infizierten Programm verwendete Zertifikat. Auf allen Macs, die GateKeeper aktiviert haben, lässt sich das Programm daher nicht mehr starten. Auch "XProtect", Apples hauseigene und automatisch auf Macs verbreitete Auflistung schädlicher Software, wurde aktualisiert. Bereits heruntergeladene, infizierte Programme lassen sich damit unter Quarantäne stellen.

Downloads vom 4. und 5. März betroffen
Palo Alto Networks zufolge gelangte die infizierte Version von Transmission am 4. und 5. März in Umlauf. Jeder, der in diesem Zeitraum Transmission 2.9 installierte, ist möglicherweise mit KeRanger infiziert. Eine aktualisierte Version von Transmission (2.9.2) steht bereits zur Verfügung und kann auf der Webseite des Herstellers geladen werden. Um festzustellen, ob man eine infizierte Version hat, sind folgende Schritte erforderlich:

Überprüfen, ob eine infizierte Version von Transmission auf dem Mac liegt
1) Wählen Sie Transmission im Programme-Ordner oder auf dem Disk Image an, führen Sie einen Rechtsklick auf das Programm aus, klicken Sie auf "Paketinhalt zeigen".
2) Öffnen Sie "Contents", dann "Resources"
3) Überprüfen Sie, ob eine Datei namens "General.rtf" vorhanden ist. Falls ja, dann handelt es sich um eine infizierte Version

Überprüfen, ob KeRanger schon aktiv ist
1) Öffnen Sie die Aktivitätsanzeige
2) Suchen Sie nach dem Prozess "kernel_service"
3) Doppelklicken Sie diesen (falls vorhanden) und wählen Sie "Geöffnete Dateien und Ports"
4) Sollte an dieser Stelle der Pfad /Users/IhrNutzername/Library/kernel_service" aufgelistet sein, ist KeRanger installiert
5) Es ist dringend zu empfehlen, den Prozess kernel_Service dann via Aktivitätsanzeige "sofort zu beenden" (Button links oben im Hauptfenster)
6) Überprüfen Sie außerdem, ob in Ihrer Nutzer-Library die Dateien .kernel_pid”, “.kernel_time”, “.kernel_complete” oder “kernel_service” liegen. Dazu müssen Sie "defaults write com.apple.finder AppleShowAllFiles 1" im Terminal eingeben. Sollten Sie diese Dateien finden, löschen Sie diese umgehend.
Linsenspiegelungen: Bekommt Apple das Problem mit dem iPhone 16 in den Griff?
Linsenspiegelungen: Bekommt Apple das Problem m...
Warum Apple den GameBoy-Emulator iGBA direkt wieder aus dem Store warf
Warum Apple den GameBoy-Emulator iGBA direkt wi...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Fragwürdiges Gerücht: iOS 18 mit neu gestalteter Benutzeroberfläche, inspiriert durch visionOS
Fragwürdiges Gerücht: iOS 18 mit neu gestaltete...
Test Kopfhörer FiiO FT5
Test Kopfhörer FiiO FT5
AirPower lädt Apple Watch: Vorgang erstmals in Video festgehalten
AirPower lädt Apple Watch: Vorgang erstmals in ...
iOS 18: Bild soll neues Oberflächendesign zeigen (Aktualisierung)
iOS 18: Bild soll neues Oberflächendesign zeige...
Netflix-CEO: Deswegen wird die Apple Vision Pro nicht unterstützt
Netflix-CEO: Deswegen wird die Apple Vision Pro...

Kommentare

MetallSnake
MetallSnake07.03.16 09:36
6) Überprüfen Sie außerdem, ob in Ihrer Nutzer-Library die Dateien .kernel_pid”, “.kernel_time”, “.kernel_complete” oder “kernel_service” liegen. Dazu müssen Sie "defaults write com.apple.finder AppleShowAllFiles 1" im Terminal eingeben

Und den Finder neustarten und dann überall die nervigen Dateien sehen, nein geht viel einfacher indem man folgendes ins Terminal tippt und dann die Liste durchguckt die ausgegeben wird.

ls -a ~/Library/

(erster Buchstabe ist ein kleines L)
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
dapo7707.03.16 09:44
Mal so eine allgemeine Frage:

Wie ist das wenn ich meine Festplatte verschlüsselt habe, kann mir die Datei dann trotzdem erfolgreich untergeschoben werden?

Ich frage mal so als Nicht-Nerd
0
MikeMuc07.03.16 09:54
Natürlich, warum nicht? Denn solange du siehst was auf deiner Platte ist sieht es auch jedes andere Programm.
0
Frell07.03.16 09:55
dapo77
Mal so eine allgemeine Frage:

Wie ist das wenn ich meine Festplatte verschlüsselt habe, kann mir die Datei dann trotzdem erfolgreich untergeschoben werden?

Ich frage mal so als Nicht-Nerd

Das eine hat mit dem anderen nicht so viel zu tun. Kurzgesagt, ja. Ausführlicher, die Malware hat sich (wie auch immer) in einen offiziellen Installer von einem Programm dem du vertraust geschmuggelt. Du installierst das Programm und damit auch den Trojaner. Der hat dann abhängig von den Rechten Zugriff auf deine zur Zeit aktivierten/gemounteten Festplatten/Volumes. Es ist irrelevant ob das verschlüsselt ist, da du die Festplatte ja gerade entschlüsselt nutzt und das Programm drauf zugreifen kann. Dagegen schützen ganz gut physisch getrennte Backups (z.B. externe USB Festplatte die abgezogen wird nach dem Backup). Damit kann man, wenn das Backup aktuell ist, zumindest die Daten schnell wieder einspielen ohne Lösegeld zu zahlen.
0
john
john07.03.16 09:59
dem artikel fehlt die nicht ganz unwesentliche info, dass man nur betroffen wäre, wenn man besagte schadhafte version von transmission als direktdownload von der page geladen hätte.
die version über den autoupdater war/ist sauber.
biete support. kostenlos, kompetent und freundlich. wähle zwei.
0
aragorn07.03.16 10:27
Was mir nicht klar ist: Warum nicht einfach Rechner plattmachen, Backup zurückspielen und damit dem Erpresser eine lange Nase zeigen?
0
MetallSnake
MetallSnake07.03.16 10:31
aragorn
Was mir nicht klar ist: Warum nicht einfach Rechner plattmachen, Backup zurückspielen und damit dem Erpresser eine lange Nase zeigen?

Teilweise werden auch die Backups verschlüsselt, und der Virus kann schon einen Monat lang im System schlummern ohne dass man es merkt, aber im Hintergrund bereitet er schon alles so vor dass du auch kein brauchbares Backup mehr hast.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
Schweizer
Schweizer07.03.16 10:31
aragorn
Was mir nicht klar ist: Warum nicht einfach Rechner plattmachen, Backup zurückspielen und damit dem Erpresser eine lange Nase zeigen?

Weil nicht jeder ein Backup hat.
Um so mehr Daten man hat desto weniger Backups hat man.

Wer möchte schon 6 TB Backupen.

Zu dem wird alles verschlüsselt was am Rechner hängt, USB Sticks, Festplatten, Netzwerklaufwerke einfach alles auf das du auch zugreifen kannst.
0
mitzlaff07.03.16 10:35
Schweizer

Das stimmt nur fürs erste Backup, danach werden "inkrementiell" ja nur die Änderungen festgehalten.
0
Schweizer
Schweizer07.03.16 10:38
mitzlaff
Schweizer

Das stimmt nur fürs erste Backup, danach werden "inkrementiell" ja nur die Änderungen festgehalten.

Ändert nichts daran wenn du 6 TB Daten hast, das du 6TB sichern musst ob Inkrementiell oder nicht.
Und es ändert auch nichts daran dass das Backup genauso verschlüsselt und damit nutzlos ist.
0
SchaubFD07.03.16 10:59
Es sind einige Dinge hierbei zu beachten:
1) Gehören wirklich wichtige Daten auf einen Client?
2) Sollten Backups auf Time Machine erfolgen, wenn Time Machine permanent angeschlossen ist?
3) Sollte Jeder generell Admin auf dem Mac sein und unter dieser Kennung Arbeiten?

---

Kleine Info, zu dem was mit Teslacrypt derzeit auf der Windows-Seite läuft. Dieser Schädling verschlüsselt nicht nur lokale Dateien, sondern auch alles was erreichbar ist, also USB, Firewire und Netzlaufwerke ... Die Dateinamen werden ebenso verschlüsselt. Dieser Typ sieht dort sogar in historischen Freigaben nach und versucht diese ebenso zu verschlüsseln. Erst nachdem er schon kräftig verschlüsselt hat, meldet dieser sich mit der Erpressungsmeldung.

---

Firmen können derzeit nur dafür sorgen, dass die Freigaben nicht auf Windows Rechnern liegen und das Freigaben selbst unter einer zyklischen Datensicherung und besser auch noch mit zyklischen Snapshots gesichert werden.

Alle CopyOnWrite Speichersysteme (ZFS, WAFL oder BTRFS) auf der Freigabeseite helfen hierbei sehr und ja, für alle die jetzt wieder einen Kommentar schreiben, wichtiger wäre es schon auf der Verursacher Seite dies in den Griff zu bekommen!
0
SchaubFD07.03.16 11:06
@schweizer, es kommt darauf an, wie lange das Zeitfenster der Rücksicherung ist. Deine Antwort ist sehr gut, weil es gleich noch eine andere Frage indirekt aufwirft, an die heute kaum jemand denkt. Was sichert man, wenn die Quelldaten korrupt aber lesbar sind? und Was sichert man dann zurück? Wundervolle Heilung durch Backup gibt es noch nicht.

Mir ist derzeit nur ZFS und BTRFS bekannt, die solche Fehlsicherungen verhindern können.
0
chessboard
chessboard07.03.16 11:21
MTN
Auch "XProtect", Apples hauseigene und automatisch auf Macs verbreitete Auflistung schädlicher Software, wurde aktualisiert.
Müsste es dazu nicht ein Update von Apple geben. Der Mac App Store zeigt bei mir nichts an (10.10.5).

Wie sieht es eigentlich mit NAS-Geräten aus, die permanent im LAN erreichbar sind. Sind solche Geräte auch gefährdet. Dort läuft doch ein ganz eigenes OS drauf. Oder kann so eine Malware die Daten dort finden, herunterladen, verschlüsseln und wieder hochladen?
0
mao1109
mao110907.03.16 11:33
Vielleicht auch interessant...In 2011 hat der Neal Stephenson ERROR geschrieben wo dieser art von Virus ein Teil der Handlung ist. Ein toller Action-Krimi in der Online-Spiel Scene..

http://www.amazon.de/gp/product/3442480787/ref=pd_lpo_sbs_dp_ss_1?pf_rd_p=556245207&pf_rd_s=lpo-top-stripe&pf_rd_t=201&pf_rd_i=1848874510&pf_rd_m=A3JWKAKR8XB7XF&pf_rd_r=0KEKX0B39P1BAQNTD4YK
0
haschuk07.03.16 11:36
NAS-Geräte mit Freigaben sind genauso gefährdet wie lokal angeschlossene USB-Sticks.

Welches OS dabei ein NAS hat, ist vollkommen irrelevant, da die Verschlüsselung durch Zugriff des OSX/Windows-Rechners auf die NAS-Freigabe erfolgt. Hat der Rechner-Account einen Schreibzugriff auf die NAS-Freigabe, wars das.
0
MetallSnake
MetallSnake07.03.16 11:38
chessboard
MTN
Auch "XProtect", Apples hauseigene und automatisch auf Macs verbreitete Auflistung schädlicher Software, wurde aktualisiert.
Müsste es dazu nicht ein Update von Apple geben. Der Mac App Store zeigt bei mir nichts an (10.10.5).

Nein, das aktualisiert sich unbemerkt (Stichwort "automatisch")
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
gritsch07.03.16 11:38
chessboard
MTN
Auch "XProtect", Apples hauseigene und automatisch auf Macs verbreitete Auflistung schädlicher Software, wurde aktualisiert.
Müsste es dazu nicht ein Update von Apple geben. Der Mac App Store zeigt bei mir nichts an (10.10.5).

Das geschieht im hintergrund. Ein mailprogramm zeigt dir ja auch neue mails an ohne dass es ein update fürs mailprogramm braucht
0
Schweizer
Schweizer07.03.16 11:40
chessboard
MTN
Auch "XProtect", Apples hauseigene und automatisch auf Macs verbreitete Auflistung schädlicher Software, wurde aktualisiert.
Müsste es dazu nicht ein Update von Apple geben. Der Mac App Store zeigt bei mir nichts an (10.10.5).

Wie sieht es eigentlich mit NAS-Geräten aus, die permanent im LAN erreichbar sind. Sind solche Geräte auch gefährdet. Dort läuft doch ein ganz eigenes OS drauf. Oder kann so eine Malware die Daten dort finden, herunterladen, verschlüsseln und wieder hochladen?

Ich schrieb doch bereits, alles was du siehst, alles auf das du zugreifen kannst, wird verschlüsselt.
USB, Internet, Netzwerk, Backups... alles, einfach alles was angeschlossen ist egal in welcher Art und Weise.
0
SchaubFD07.03.16 11:48
@haschuk, dass ist nur teilweise richtig. Ja, aktuelle Daten können überschrieben werden, nicht aber Snapshots. Bitte nicht mit Timemachine vergleichen, da hier alle Daten mehr oder weniger offen vorliegen.
0
Legoman
Legoman07.03.16 11:53
Laut Zeitung zahlt übrigens ca. jeder Dritte, der von einem solchen Angriff betroffen ist - und nur den wenigsten werden danach auch die Daten wieder entschlüsselt.
(Woher auch - der Betrüger will ja nur die Kohle möglichst anonym. Der Rest ist ihm wurscht bzw. müsste er ja jeden betroffenen Rechner überwachen um den Code zu kennen.)
0
chessboard
chessboard07.03.16 12:01
gritsch
Das geschieht im hintergrund. Ein mailprogramm zeigt dir ja auch neue mails an ohne dass es ein update fürs mailprogramm braucht
Äh — stimmt . Steht ja auch so im MTN-Artikel… Nee,nee, ich war wohl noch nicht richtig bei der Sache.
0
Hot Mac
Hot Mac07.03.16 12:58
Schweizer
aragorn
Was mir nicht klar ist: Warum nicht einfach Rechner plattmachen, Backup zurückspielen und damit dem Erpresser eine lange Nase zeigen?

Weil nicht jeder ein Backup hat.
Um so mehr Daten man hat desto weniger Backups hat man.

Wer möchte schon 6 TB Backupen.

Zu dem wird alles verschlüsselt was am Rechner hängt, USB Sticks, Festplatten, Netzwerklaufwerke einfach alles auf das du auch zugreifen kannst.

Ich hab einige TB mehr, die regelmäßig gesichert werden.
Warum sollte man denn seltener sichern, wenn man mehr zu sichern hat?
Das wäre ja total hirnrissig!
0
gritsch07.03.16 12:59
Legoman
Laut Zeitung zahlt übrigens ca. jeder Dritte, der von einem solchen Angriff betroffen ist - und nur den wenigsten werden danach auch die Daten wieder entschlüsselt.
(Woher auch - der Betrüger will ja nur die Kohle möglichst anonym. Der Rest ist ihm wurscht bzw. müsste er ja jeden betroffenen Rechner überwachen um den Code zu kennen.)

wenn sich aber rumspricht dass nach zahlung eh nicht entschlüsselt wird, dann zahlt niemand mehr. Und der betrüger hat ja nichts davon wenn er die daten nicht mehr entschlüsselt bzw es kostet ihm nichts wenn er den key freigibt (außer logisch die zeit um das zu entwickeln).
0
maybeapreacher
maybeapreacher07.03.16 13:16
SchaubFD
Mir ist derzeit nur ZFS und BTRFS bekannt, die solche Fehlsicherungen verhindern können.

Jup, ZFS ist ein echter Segen. über FreeNAS bekommt jeder ein leicht verständliches FreeBSD NAS mit ZFS, auf das man sogar TimeMachine machen kann wenn man will. Wenn man jetzt noch z.B. alle 15 Minuten einen Snapshot anfertigt (dank Deduplizierung ja auch sehr sparsam!) ist man vor sowas ziemlich sicher, Windows oder Mac ist da egal.

Mit OpenZFSonOSX kann man übrigens externe Festplatten an Macs ebenfalls mit ZFS betreiben und auch Snapshots etc machen die sowas überstehen: https://openzfsonosx.org
0
SchaubFD07.03.16 13:47
@maybeapreacher, Deduplikation würde ich nicht einschalten, braucht man nur bei permanenten Full-Backups oder bei virtuellen Maschinen, wenn jede Maschine gleich ist. Ich würde die LZ4 Kompression generell einschalten. Die Snapshots haben übrigens nichts mit Deduplikation zu tun. Das CopyOnWrite sorgt dafür, dass nur Änderungen an jeweils andere Stellen geschrieben werden. Deshalb ist auch eine Änderung nur so groß wie die zum letzten Snapshot geänderten Blöcke. Imgegensatz zu Timemachine würden bei einer 1KB Änderung einer 1GB Datei auch nur 1KB Daten neu geschrieben. Ich nutze selbst ZFS in OS X um meine Daten abzusichern.

Weiteres lieber per privater Nachricht in MTN, es würde sonst den Rahmen sprengen.
0
MetallSnake
MetallSnake07.03.16 14:11
SchaubFD
Weiteres lieber per privater Nachricht in MTN, es würde sonst den Rahmen sprengen.

Grad wenns interessant wird, wird die Öffentlichkeit ausgeschlossen
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
dom_beta07.03.16 14:34
Übrigens,

µTorrent ist auch mit einer Spyware infiziert.

mit OSX/Spigot.A



die Windows-Variante ist mit

W32.Application.Opencandy!c
W32/Application.OMPQ-4207
Win32.Application.OpenCandy.G
PUA.OpenCandy

...
0
MetallSnake
MetallSnake07.03.16 14:42
Wie kam der "Virus" überhaupt in die Programme rein?
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
chessboard
chessboard07.03.16 15:11
MetallSnake
Genau, würde mich auch sehr interessieren.

Könnte z.B. auch Opensource-Software aus grundsätzlich vertrauenswürdigen Quellen, wie z.B. blender von der blender.org-Seite betroffen sein? Würde eine Manipulation durch unterschiedliche MD5-Hashes sofort erkennbar?
0
SchaubFD07.03.16 15:45
@Metalsnake, OpenZFS für Mac OS X ist halt nur auf Shell einzurichten. Einzelne Befehle OK, aber es geht für normale Anwender etwas weit, mit "diskutil", "zpool" und "zfs" auf Shell Ebene Pools und Partitionen sowie Snapshots anzulegen und per SSH remote Sicherungen wegzuschreiben.

Apple hätte es integrieren können, ist aber zu einem sehr unglücklichen Zeitpunkt in ZFS eingestiegen. Derzeit ist jegliches iPhone heraus zu bringen wichtiger, als sich um Datenmengen im Multi-Terabyte Bereich von Anwendern zu kümmern, teilweise auch verständlich.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.