Ransomware dreht bereits seit einiger Zeit ihre Runden auf Windows-Rechnern und verschlüsselt inzwischen selbst die Daten von Krankenhäusern und Gemeinden. Für Mac OS gab es hingegen bislang keine wirklich voll funktionsfähige Verschlüsselungsmalware. Das hat sich am vergangenen Wochenende geändert. So berichtet Palo Alto Networks [1] von "KeRanger", der ersten voll funktionsfähigen Ransomware für Macs. Sie wurde über infizierte Downloads der Open-Source-Software "Transmission BitTorrent" verteilt. Anscheinend ist es den Angreifern gelungen, in die Webseite des Projekts einzudringen und die Originalfassung der Software durch ihre infizierte Variante auszutauschen.

Einmal auf dem System, verhält sich der Schädling vergleichbar zu seinen Windows-Brüdern – die Malware nimmt Kontakt zu einem Command & Control-Server auf und verschlüsselt die Dokumente der Nutzer. Dazu gehören unter anderem Office-Dokumente sowie Bilder, Audio- und Videodateien, Archive und Datenbanken. Anschließend verlang KeRanger einen Bitcoin für die Entschlüsselung. Apples Gatekeeper bot dabei keinen Schutz, da die Malware mit einem gültigen Entwicklerzertifikat signiert war. Inzwischen hat Apple das Zertifikat für ungültig erklärt und eine Installation sollte nicht mehr ohne Weiteres möglich sein.

Die infizierte Version von Transmission BitTorrent stand laut Palo Alto zwischen dem 4. März, 20 Uhr MEZ und dem 6. März, 4 Uhr MEZ zum Download bereit. Nutzer, die die Software in diesem Zeitraum heruntergeladen haben, haben ihren Rechner also möglicherweise mit KeRanger infiziert. Da der Schädling drei Tage lang wartet, ehe er seinen Command & Control-Server kontaktiert, ist eine Verschlüsselung der eigenen Daten unter Umständen noch zu vermeiden. Apple hat in der Zwischenzeit die Signaturen für XProtect aktualisiert, sodass ein Scan den Schädling erkennen sollte.


dr

[1] http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/