Mac-Ransomware KeRanger betraf 6500 Nutzer

Anfang der Woche sorgte eine Meldung für Aufregung, dass zum ersten Mal funktionierende Ransomware für den Mac in Umlauf geriert. Ransomware verfolgt ein recht einfaches Geschäftskonzept. Ist ein Computer infiziert, so werden die Daten darauf gegen den Willen des Nutzers verschlüsselt. Zahlt der Anwender nicht das geforderte Lösegeld, sind die Daten nicht mehr zugänglich. Besonders wirkungsvolle Ransomware greift auch noch auf Backups zu und macht diese ebenfalls bis zur Geldzahlung unbrauchbar. Zur Mac-Ransomware mit Namen "KeRanger" sind jetzt einige weitere Informationen bekannt geworden.

Portierte Linux-Malware
Bei KeRanger handelt es sich um portierte Linux-Malware, die vor einigen Wochen Linux-Server befallen hatte. Bitdefender Labs bezeichnet KeRanger daher als "erste funktionierende Crossplattform-Malware". Allerdings weise KeRanger Schwächen auf, denn selbst ohne sich der erpresserischen Forderung zu beugen, seien verschlüsselte Daten wiederherzustellen - für Linux bietet Bitdefender dazu eine kostenloses "Key recovery"-Utility an. Wie es aussieht, verwendete KeRanger auf dem Mac das identische Verfahren. Palo Alto Networks betonte am Montag, dass die Malware aktiv weiterentwickelt wird. Es könnte daher durchaus sein, dass in absehbarer Zeit eine neue und verbesserte Version der Ransomware in Umlauf gerät.

Bitdefender sieht wachsende Gefahr
Auch wenn KeRanger verhältnismäßig wenig Schaden anrichtete und nach nur 6500 befallenen Macs gestoppt wurde, sieht Bitdefender dennoch die wachsende Gefahr, dass sich derlei Schadsoftware in Zukunft vermehrt auf anderen Plattformen als Windows ausbreitet. Im Falle von KeRanger gelang es den Angreifern, zwei offizielle Installer des Bittorrent-Clients Transmission 2.9 zu manipulieren. Apple sperrte umgehend nach Bekanntwerden das verwendete Zertifikat, bis zu diesem Zeitpunkt konnte sich die Malware aber weiter verbreiten. Nutzern von Transmission, die den Download von der offiziellen Seite bezogen hatten, wurde ein umgehendes Update auf Transmission 2.9.2 empfohlen. Wie es sich überprüfen lässt, ob KeRanger auf dem eigenen Mac sein Unwesen treibt, hatten wir in diesem Artikel beschrieben.

Kommentare

dom_beta09.03.16 16:35
Woran kann man eigentlich erkennen, ob Apple die Sperrliste - also XProtect - mit diesem Schädling schon aktualisiert hat?
.
Dirk!09.03.16 16:51
dom_beta
Woran kann man eigentlich erkennen, ob Apple die Sperrliste - also XProtect - mit diesem Schädling schon aktualisiert hat?

Das steht hier drin:
sierkb09.03.16 17:22
cat /System/Library/CoreServices/XProtect.bundle/Contents/Resour ces/XProtect.plist | grep KeRanger

bzw.

cat /System/Library/CoreServices/CoreTypes.bundle/Contents/Resou rces/XProtect.plist | grep KeRanger

nennt Dir:

OSX.KeRanger.A

Wobei unter aktuellen Systemen unter /System/Library/CoreServices/CoreTypes.bundle/Contents/Resou rces/ dies beides aus Rückwärtskompatibilität lediglich Symlinks sind auf die jeweiligen Originale im nun eigenen Bundle, das nun unter /System/Library/CoreServices/XProtect.bundle zu finden ist:

lrwxr-xr-x   1 root  wheel       83 19 Jan 21:22 XProtect.meta.plist  /System/Library/CoreServices/XProtect.bundle/Contents/Resour ces/XProtect.meta.plist
lrwxr-xr-x   1 root  wheel       78 19 Jan 21:22 XProtect.plist  /System/Library/CoreServices/XProtect.bundle/Contents/Resour ces/XProtect.plist
tk69
tk6909.03.16 17:22
dom_beta
Woran kann man eigentlich erkennen, ob Apple die Sperrliste - also XProtect - mit diesem Schädling schon aktualisiert hat?

https://itunes.apple.com/de/app/wallsoftroy/id443987849?mt=1 2
dom_beta09.03.16 17:27
Hallo sierkb,
sierkb
nennt Dir:

mmh, also bei mir erscheint da überhaupt nix. Bist du dir sicher, dass das der richtige Befehl für 10.11.3 ist?
.
sierkb09.03.16 17:28
tk69:

Braucht man dazu nicht.
Ziehe Dir die XProtect.plist-Datei bzw. XProtect.meta.plist (wo die liegen, habe ich obig genannt) in einen beliebigen Text-Editor Deiner Wahl und öffne sie dort oder ziehe sie ins Adressfeld Deines Lieblings-Web-Browsers und lasse sie Dir dort anzeigen.
Mehr brauchst Du dazu nicht, die beiden XML-Dateien liegen im Nur-Text-Format vor sind nicht komprimiert.
sierkb09.03.16 17:31
dom_beta:

Hast Du's richtig eingegeben bzw. kopiert und ggf. korrigiert (MTN fügt aus mir unerfindlichen Gründen, wie ich grad' leider feststellen darf, im angegebenen Pfad nämlich leider ein Leerzeichen beim Ordner "/Resour ces/" ein, es soll aber natürlich "/Resources/", also ohne Leerzeichen, heißen)?
dom_beta09.03.16 17:35
sierkb
Hast Du's richtig eingegeben bzw. kopiert und ggf. korrigiert ?

Ja.
.
dom_beta09.03.16 17:36
von System Profiler:

XProtectPlistConfigData:

Version: 1,0
Quelle: Apple
Installationsdatum: 11.02.16, 19:33

etwas Neueres gibt es hier nicht.
.
sierkb09.03.16 17:37
dom_beta:

Was genau geht da bei Dir nicht? Was kommt dabei Dir für eine Fehlermeldung bei diesem so einfachen und profanen Unix-Befehl?
dom_beta09.03.16 17:38
sierkb
Was genau geht da bei Dir nicht? Was kommt dabei Dir für eine Fehlermeldung bei diesem so einfachen und profanen Unix-Befehl?

Es erscheint einfach nix.

Ich gebe den Befehl ein, er wird allem Anschein ausgeführt und danach erscheint die normale Eingabeaufforderung von Terminal. Mehr nicht.
.
sierkb09.03.16 17:39
dom_beta:

Mache mal ein erzwungenes Update von XProtect mit:

sudo softwareupdate --background-critical

Und überprüfe dann sowohl die Versionsnummer und das Datum als auch den Inhalt auf die besagte Malware.
sierkb09.03.16 17:41
dom_beta
Es erscheint einfach nix.

Ich gebe den Befehl ein, er wird allem Anschein ausgeführt und danach erscheint die normale Eingabeaufforderung von Terminal. Mehr nicht.

Dann findet er auch keine entsprechende Signatur, wiel keine in Deiner XProtect.plist drin ist, weil Deine XProtect.plist veraltet und nicht auf dem neuesten Stand ist.
Erzwinge die Aktualisierung mal mit eben genanntem Kommando.
dom_beta09.03.16 17:43
sierkb
dom_beta:
sudo softwareupdate --background-critical

Er sagt

softwareupdate[992]: Triggering background check with forced scan (critical and config-data updates only) ...

und ich habe dann nochmal
sudo cat /System/Library/CoreServices/CoreTypes.bundle/Contents/Resou rces/XProtect.plist | grep KeRanger

eingegeben und wieder nix. Komisch?!
.
sierkb09.03.16 17:45
dom_beta:

Apples Update-Mechanismus ist manchmal nicht sehr zuverlässig. Grad' in Sicherheitsfragen gelinde gesagt suboptimal.

Alternativ: Downloade Dir die aktuelle XProtect-Signaturliste manuell von Apples Server und installiere sie dir manuell mittels des betreffenden Installer-Packages:

Für OSX 10.11:
http://swcdn.apple.com/content/downloads/39/24/031-52944/8xp egiuy65234bi66j8o0n9rw8lzd0ck54/XProtectPlistConfigData_1011 .pkg

Für OSX kleiner oder gleich 10.10:
http://swcdn.apple.com/content/downloads/25/54/031-52942/iqj fdui3kcg08rpmbxejzy3epew3e3i4d5/XProtectPlistConfigData.pkg

Dann haste es garantiert.
dom_beta09.03.16 17:47
sierkb
Für OSX 10.11:

Ja, jetzt funktioniert es. Danke!
.
Turbo
Turbo09.03.16 18:35
Hmm, jetzt habe ich die aktuelle Signaturliste von Apple manuell installiert und in den Systeminformationen wird mir unter der nun neu installierten Version jetzt keine Version angezeigt!?

Sei und bleibe höflich!
torfdin09.03.16 19:23
sierkb
vielen Dank sierkb für Deine sehr guten Beiträge!
Bei mir waren die Signaturlisten auch nicht aktuell und nach Deiner Anleitung hat die Aktualisierung (OS X 10.9.) problemlos funktioniert! Ein wirklich fettes Danke!
immer locker bleiben - sag' ich, immer locker bleiben [Fanta 4]
Turbo
Turbo09.03.16 21:51
sierkb:

Könnte das jetzt ein Problem in meinem Fall darstellen oder ist das so normal?
Sei und bleibe höflich!
sierkb09.03.16 23:48
Turbo:

Ich sehe da kein Problem. Keine Ahnung, warum es bei Dir nicht angezeigt wird.
Ich vermute eh, dass da nicht die Versionsnummer der betreffenden Revision angezeigt wird, sondern eine nichtssagende "1.0", vergleiche dazu doch mal die Versions-Einträge der gleichlautenden Aktualisierungen zuvor.
Zudem fällt mir in Deinem Screenshot auf: hast Du überhaupt die korrekte XProtect-Installationsdatei für Dein System installiert? Hast Du 10.11? Und dann auch das zugehörige XProtectPlistConfigData_1011.pkg verwendet? Oder hast Du 10.10 und dem etwa das Paket für 10.11 verpassst? Hast Du kein OSX 10.11 darfst Du nicht das XProtectPlistConfigData_1011.pkg-Installationspaket nehmen, sondern musst das XProtectPlistConfigData.pkg-Installationspaket nehmen. Dein Rechner weiß normalerweise, welches von beiden er sich nehmen muss, wenn er es automatisch aktualisiert. Wenn Du es händisch machst, musst Du selber die richtige Auswahl treffen. Die Unterscheidung ist sehr wichtig, weil sich der Speicherort und die Verpackung von XProtect in 10.11 geändert haben, es ist zu einem vollwertigen Bundle geworden und liegt nun im Dateibaum leicht woanders, und zuvor sind es nur die beiden XProtect-Plist-Dateien gewesen.
torfdin10.03.16 00:04
durch "Systeminformationen" wurde die Version bei mir nach der Installation auch nicht angezeigt (hab' aber auch noch keinen Neustart gemacht).
In Onyx, allerdings unter OS 10.9, wurde mir alles korrekt angezeigt ...
immer locker bleiben - sag' ich, immer locker bleiben [Fanta 4]
camaso
camaso10.03.16 09:23
Dito bei mir: Erst war kein Eintrag in der .plist, nach dem manuellen Installieren wird keine Versionsnummer angezeigt. OS 10.10 mit korrekter Datei geupdatet.
Es gibt Menschen, die bei starkem Wind Mauern bauen. Andere setzen Segel.
GmBinom
GmBinom10.03.16 11:01
Ich stelle mir diese Ransomware ziemlich unangenehm vor. Was machen denn diejenigen, die befallen sind? Weil wenn alle Daten verschlüsselt sind, dann hat man die ****karte gezogen oder? Mir würde da nur eine Art Brute Force Programm einfallen. Gibts da schon was? Würd mich interessieren ob der Mac-Markt ausreichend interessant für Softwareanbieter ist oder ob das zu klein und uninteressant ist.
Turbo
Turbo10.03.16 18:06
sierkb
Turbo:

Ich sehe da kein Problem. Keine Ahnung, warum es bei Dir nicht angezeigt wird.
Ich vermute eh, dass da nicht die Versionsnummer der betreffenden Revision angezeigt wird, sondern eine nichtssagende "1.0", vergleiche dazu doch mal die Versions-Einträge der gleichlautenden Aktualisierungen zuvor.
Zudem fällt mir in Deinem Screenshot auf: hast Du überhaupt die korrekte XProtect-Installationsdatei für Dein System installiert? Hast Du 10.11? Und dann auch das zugehörige XProtectPlistConfigData_1011.pkg verwendet? Oder hast Du 10.10 und dem etwa das Paket für 10.11 verpassst? Hast Du kein OSX 10.11 darfst Du nicht das XProtectPlistConfigData_1011.pkg-Installationspaket nehmen, sondern musst das XProtectPlistConfigData.pkg-Installationspaket nehmen. Dein Rechner weiß normalerweise, welches von beiden er sich nehmen muss, wenn er es automatisch aktualisiert. Wenn Du es händisch machst, musst Du selber die richtige Auswahl treffen. Die Unterscheidung ist sehr wichtig, weil sich der Speicherort und die Verpackung von XProtect in 10.11 geändert haben, es ist zu einem vollwertigen Bundle geworden und liegt nun im Dateibaum leicht woanders, und zuvor sind es nur die beiden XProtect-Plist-Dateien gewesen.

sierkb:
Doch, ich habe 10.11.3 drauf - das passt schon alles.
Sei und bleibe höflich!
SchaubFD10.03.16 22:57
GmBinom, ich habe dazu schon einiges in dem älteren Betrag zu KeRanger geschrieben. Letztlich braucht man auf der Speicherseite entwender zyklisch getrennte Sicherungen mit Versionierung z.B. Platte A oder Platte B im Wechsel zum Sichern.

Besser sind NAS Speicher mit Snapshotfunktion auf CopyOnWrite Basis. Bitte sehe in den anderen Beträgen nach, ich möchte mich nicht wiederholen.
sierkb11.03.16 00:27
SchaubFD
Letztlich braucht man auf der Speicherseite entwender zyklisch getrennte Sicherungen mit Versionierung z.B. Platte A oder Platte B im Wechsel zum Sichern.

Siehe auch so oder so ähnlich kurz beschrieben und empfohlen unter der Überschrift Rotierendes Backup als zusätzlicher Schutz auf:

heise (10.03.2016): Erpressungs-Trojaner: Time-Machine-Backups anfällig
Die Entwickler der OS-X-Ransomware KeRanger haben auch Time-Machine-Backups als Angriffsziel erwogen. Tatsächlich ist es möglich, selbst ohne Admin-Rechte Dokumente in der Datensicherung zu verändern.
sierkb14.03.16 01:33
IBTimes (11.03.2016): Nope, Apple Computers Aren't More Secure Than Windows. They're Just Attacked Less
There are few things Apple users love more than being Apple users. The tight security features and largely virus-free ecosystem have long given the Mac enthusiast a feeling of superiority over virus-ridden PC brethren. One problem: It's no longer true and hasn't been true for some time.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen