Mit Patcher alias Findzip kusiert seit ungefähr Mitte Februar eine neue Ransomware für macOS auf zwielichtigen Seiten im Internet. Nicht einmal durch die Entwickler des Schädlings selbst ließen sich bislang verschlüsselte Dateien wiederherstellen.

Das Sicherheitsunternehmen Malwarebytes hat inzwischen eine Möglichkeit gefunden, veröffentlichte verschlüsselte Dateien von Patcher zu entschlüsseln.

Eine Entschlüsselung ist demnach möglich, solange zwei Versionen einer Datei zur Verfügung stehen. Eine verschlüsselte Version sowie die Originaldatei. Beispielsweise könnte dies ein E-Mail-Anhang sein, der von Patcher verschlüsselt wurde, allerdings noch auf einem E-Mail-Server herunterladbar ist. "Alternativ bietet Malwarebytes auch einen unverschlüsselten Teil einer plist-Datei auf seinem Server an, die sich als Muster nutzen lässt." Ausgerechnet aus dem Code von Patcher selbst stammt die Datei. Dieser kann verwendet werden, da sich das schlecht geschriebene Programm selbst (!) verschlüsselt.

Ein Tool namens PkCrack kann anschließend dazu eingesetzt werden um den von Patcher verwendeten Schlüssel herauszufinden. Zusätzlich lohnt sich für Betroffene ein Blick in die (englischsprachige) Anleitung.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE