Das IT-Sicherheitsunternehmen Eset hat Erpressungs-Trojaner endeckt, die auf den Mac abgestimmt sind. Laut Eset sind die Anwendungen in Apples neuer Programmiersprache Swift geschrieben und betrügen ihre Opfer gleich mehrfach.

Die Ransomware mit dem Namen "Patcher" gibt sich als Werkzeug aus, mit dem sich Microsofts Office-365-Programme beziehungsweise Adobes Creative-Cloud-Apps aktivieren lassen sollen. Patcher beginnt stattdessen nach dem Entpacken und Starten damit, die Dateien des Nutzers von der Mac-Festplatte in Form von Archiven zu verschlüsseln. Bestehende Dateien werden offenbar gelöscht. Die Erpresserbotschaft befindet sich in einer "Readme"-Datei, die Patcher in verschiedene Benutzerverzeichnisse schreibt.

Das Zahlen der geforderten Bitcoins bringt laut Eset garnichts. Nicht einmal einen Rückkanal zu den Erpressern besitzt Patcher. Dadurch ist es nicht möglich, den Schlüssel für Patcher zu erhalten. Zusätzlich bezeichnet Eset den Trojaner als "schlecht geschrieben". Per Festplattenprogramm versucht Patcher, den nach Löschen der Nutzerdateien vorhandenen freien Speicher zu überschreiben, was laut Eset nicht funktioniert. Dies liegt daran, dass ein falscher Pfad angegeben wurde. Die Empfängerdaten seien zusätzlich hart gecodet. Dazu gehören unter anderem E-Mail und Bitcoin-Wallet. Dadurch ist es den Kriminellen nicht möglich, diese Werte entsprechend zu ändern.

Um Ransomware dieser Art zu umgehen, sollten problematische Apps vermieden werden. Bisher ist noch nicht geklärt, ob die Entwickler ein Apple-Entwicklerzertifikat besitzen, damit die Ausführung per Doppelklick überhaupt direkt erlauben würde. Allerdings scheint keine Passworteingabe notwendig, da Nutzerdateien gelöscht und verschlüsselt werden.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE