Diesmal hat es ein Verschlüsselungs-Trojaner auch auf OS-X, Apples Betriebssystem, abgesehen. KeRanger wurde er von dem Sicherheitsunternehmen Palo Alto Networks getauft. Ende vergangener Woche wurde die Malware in zwei verschiedenen Installern für den OS-X-BitTorrent-Client Transmission entdeckt.

Sicherheitsforschern zufolge ist die Version 2.90 betroffen. Vom 4. März ab 20 Uhr bis 5. März um 4 Uhr war diese zum Download angeboten worden. Um den Schädling zu entfernen, sollten OS-X-Nutzer dringend die Version 2.92 einspielen. Das entfernt den Trojaner nicht, aber Version 2.91 sei nicht infiziert. Derzeit ist nicht bekannt, wie sich der verseuchte Installer auf die Webseite des Open-Source-Projektes Transmission geschlichen hat.

Der Erpressungs-Trojaner FileCoder aus dem Jahr 2014 hatte es zwar auch auf OS-X-Nutzer abgesehen, allerdings war die Ransomware nicht voll funktionsfähig und damit keine Bedrohung, berichtete Kasperksy. Offensichtlich handelt es sich damit um die erste Ransomware-Kampagne gegen Mac-Benutzer.

Palo Alto Networks zufolge soll die infizierte Anwendung mit einem von Apple zugelassenen Entwicklerzertifikat versehen gewesen sein. Dadurch soll der Sicherheitsmechanismus Gatekeeper demzufolge auch nicht anspringen. KeRanger bleibt laut den Sicherheitsforschern zunächst drei Tage ruhig und kontaktiert dann über eine anonymisierte Tor-Verbindung einen Command-and-Control-Server.

Palo Alto Networks warnt: Anschließend verschlüsselt die Ransomware Daten. Die Kryptologen verschweigen allerdings welche Dateitypen betroffen sind. Den Kriminellen zufolge kommt bei der Verschlüsselung RSA-2048 zum Einsatz.

Die Ransomware verlangt vom Opfer ein Lösegeld in Bitcoin (aktuell rund 370 Euro) nachdem die Verschlüsselung beendet ist. Die Sicherheitsforscher warnen: die Ransomware sei noch "unter aktiver" Entwicklung und versuche auch Time-Machine-Backups zu verschlüsseln, um Nutzern den Zugriff auf das Backup unmöglich zu machen.

Palo Alto Networks gibt an, Apple am 4. März Informationen zu KeRanger und dem Transmission-Projekt weitergereicht zu haben. Apple versichert mittlerweilse, dass das Ransomware Zertifikat zurückgezogen wurde. Eine Installation der infizierten Tansmission-Version soll so nicht mehr möglich sein.

Der OS-X-Dateischutz XProtect wurde zudem mit einer Signatur des Schädlings versehen. Inzwischen warnt das Transmission-Projekt Nutzer über die integrierte Update-Funktion 2.90 auszuführen und hat die infizierten Installer von seiner Website genommen.

Entfernungsmaßnahmen und weitere Details zum Auffinden von KeRanger stellt Palo Alto Networks auf seiner Webseite zur Verfügung. Unter anderem baut die Ransomware auf einen Hauptprozess namens kernel_service. Ist dieser in der Akitivitätsanzeige zu finden sollte dieser Prozess umgehend beendet werden. Zusätzlich sollte man überprüfen, ob die Dateien .kernel_time, .kernel_pid und .kernel_complete im Verzeichnis ~/Library existieren und diese löschen.

Die Ransomware soll selbst in einer Datei mit dem Namen General.rtf stecken. Diese Datei befindet sich im Verzeichnis /Applications/Transmission.app/Contents/Resources/ oder
/Volumes/Transmission/Transmission.app/Contents/Resources/ und sollte selbstverständlich ebenfalls gelöscht werden.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE