MacRansom: Lösegelderpressung durch verschlüsselte Daten
Im Darknet wird mit MacRansom eine kostenlose Hackerlösung angeboten, die es auch eher unbedarften Kriminellen erlauben soll, von Mac-Nutzern Lösegeld zu erpressen. Hierbei werden Dateien verschlüsselt, die sich nur nach Zahlung von Bitcoins entschlüsseln lassen sollen. Eine detaillierte Untersuchung durch Sicherheitsexperten hat allerdings ergeben, dass weder die Kriminellen noch betroffene Nutzer auf irgendeine Aussage des Anbieters vertrauen sollten.
So hat die Analyse von Fortinet
ergeben, dass MacRansom zum einen nicht signiert ist, daher beim Nutzer nach dem Öffnen des E-Mail-Anhangs ein entsprechender Systemhinweis erscheint. Zum anderen werden Dateien von MacRansom mit einem Zufallsschlüssel verschlüsselt, lassen sich also nicht ohne Weiteres entschlüsseln.
Zugleich handelt es sich aber um eine symmetrische Verschlüsselung mit 64-Bit-Schlüssel, womit ein Brute-Force-Entschlüsselung in angemessener Zeit möglich ist. Die von MacRansom angegebenen Jahre der Entschlüsselung treffen also nur auf sehr alte Computer zu.
Ebenfalls ins Reich der Legenden könnte daher die Aussage gehören, es würde sich bei den Anbietern um Sicherheitsexperten von Facebook und Yahoo handeln. Die E-Mail-Kommunikation mit dem Anbieter hat zwar ergeben, dass sich dieser sehr wahrscheinlich an der Nordküste der USA befindet, doch die Umsetzung der Hackerlösung wirkt nicht sehr professionell.
Nichtsdestotrotz geht von MacRansom eine ernstzunehmende Gefahr für normale Mac-Nutzer aus. Um zu testen, ob das eigene Nutzerverzeichnis mit einem noch schlafenden MacRansom befallen ist, sollte man folgenden Befehl im Terminal ausführen:
ls -al ~/Library/UserAgent/com.apple.finder.plist ~/Library/.FS_Store
Sofern hier zwei Dateien mit Uhrzeit gelistet sind, sollte man umgehend den Mac ausschalten. Das sähe dann zum Beispiel so aus:
-rw-r--r-- 1 sb staff 1 13 Jun 10:34 /Users/sb/Library/.FS_Store
-rw-r--r-- 1 sb staff 1 13 Jun 10:34 /Users/sb/Library/UserAgent/com.apple.finder.plist
Anschließend ist eine Untersuchung des Macs durch einen Service Provider empfehlenswert, der den Schädling entfernen kann. Im Vergleich zu dem geforderten Lösegeld in Höhe von 0,25 Bitcoins (600 Euro) dürfte der Service Provider deutlich günstiger sein.
Bei Nichtbefall sollte die Ausgabe des Befehls übrigens dem folgenden Text ähneln:
ls: /Users/sb/Library/.FS_Store: No such file or directory
ls: /Users/sb/Library/UserAgent/com.apple.finder.plist: No such file or directory