Verschlüsselungs-Trojaner nun auch auf Mac

Nun trifft es auch die Apple bzw. Mac-User. Wichtige Daten auf dem Computer sind plötzlich verschlüsselt und werden erst nach Lösegeldzahlung wieder freigegeben.

Festplatte Fotolia_49183723_SWas bisher nur Windows-Nutzer gegolten hat, scheint nun auch auf Mac-User zu treffen. Denn auch die Apple User sollten sich in Zukuft vor Trojaner, Viren, kurzum Malware in Acht nehmen.Mitarbeiter des Sicherheitsunternehmens Palo Alto Networks haben herausgefunden, daß über BitToreen-Clients infizierte Installationsdateien verteilt werden. So wieder der momentan kursierende Trojaner „Locky“ verschlüsselt das „KeRanger“ getaufte Programm Dateien auf infizierten Mac’s. Sind die Daten erst einmal verschlüsselt, werden Sie (wenn überhaupt) nur über eine Zahlung eines “Lösegelds” in der Digitalwährung Bitcoin wieder entschlüsselt. Sicher sind die, welche eine gute und letzte Datenicherung haben. Aber auch hier ist vorsicht geboten. Locky verschlüsselt nicht nur den befallenen PC, sondern kann auch im Netzwerk erreichbare Geräte, wie z.B. NAS Boxen, also Netzwerkfestplatten verschlüsseln.

Wie die manipulierten Installationsdateien in Umlauf gebracht werden konnten, ist bislang unklar. Sie wurden inzwischen von der Transmission-Webseite entfernt. Apple hat außerdem das Sicherheitszertifikat annulliert, mit denen das Programm die Sicherheitsmechanismen von Mac OS X überwinden konnte.

Apple empfiehlt seinen Kunden, die Sicherheitsfunktionen des Betriebssystems so einzustellen, dass nur aus dem Mac App Store und bei verifizierten Entwicklern heruntergeladene Programme installiert werden können.
Die Option dazu findet Ihr unter den Einstellungen im Bereich „Sicherheit“.

Auch heise security bestätigt die Ransomware auf Mac

 

Die Entwickler der OS-X-Ransomware KeRanger haben auch Time-Machine-Backups als Angriffsziel erwogen. Tatsächlich ist es möglich, selbst ohne Admin-Rechte Dokumente in der Datensicherung zu verändern.

Timemaschine MacDer auf OS-X-Nutzer abzielende Erpressungs-Trojaner KeRanger will künftig möglicherweise auch versuchen, auf Time-Machine-Backups zuzugreifen, um die dort gesicherten Daten des Nutzers ebenfalls zu verschlüsseln. In den von der Sicherheitsfirma Palo Alto Networks untersuchten KeRanger-Ausführungen war die Funktion “_encrypt_timemachine” bereits integriert, aber noch nicht aktiv.

Time Machine kaum geschützt

Der Trojaner arbeitet mit normalen Benutzer-Rechten. Mit diesen ist es nicht ohne weiteres möglich Time-Machine-Backups zu verändern oder gar zu löschen. Ein entsprechender Versuch wird aufgrund fehlender Rechte mit einer Fehlmeldung quittiert. OS X sichert das Backup hierzu mit Access Control Lists (ACL) ab.

Allerdings lässt sich dieser ACL-Schutz umgehen. Mac & i konnte in internen Tests Backup-Dateien mit ganz normalen Nutzerrechten und ohne Angabe eines Admin-Passworts löschen. Ein Erpressungs-Trojaner könnte das folglich auch.

Quelle: heise-Security

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

84 + = 87

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.