Skip to main content

KeRanger: Die erste Mac Ransomware in freier Wildbahn entdeckt

Am 4. März 2016 veröffentlichte das bekannte Sicherheitsunternehmen Palo Alto Networks die Entdeckung der Ransomware KeRanger, die Transmission infiziert, den beliebten Mac BitTorrent-Client. Die eigentliche Malware wurde im Installationsprogramm für Transmission Version 2.90 gefunden.

Die Transmission-Website hat das infizierte Installationsprogramm schnell heruntergefahren und fordert alle Benutzer, die Transmission 2.90 verwenden, auf ein Update auf Version 2.92, das von Transmission verifiziert wurde, als frei von KeRanger ein.

Transmission hat nicht diskutiert, wie der infizierte Installer auf seiner Website gehostet werden konnte, und Palo Alto Networks konnte nicht feststellen, wie die Transmission-Site gefährdet wurde.

KeRanger Ransomware

Die KeRanger Ransomware funktioniert wie die meisten Ransomware, indem sie Dateien auf Ihrem Mac verschlüsselt und dann eine Zahlung verlangt. In diesem Fall in Form eines Bitcoin (derzeit rund 400 US-Dollar), um den Verschlüsselungsschlüssel für die Wiederherstellung Ihrer Dateien bereitzustellen.

Die KeRanger-Erpressersoftware wird vom beschädigten Transmission-Installationsprogramm installiert. Das Installationsprogramm verwendet ein gültiges Mac-App-Entwicklerzertifikat, das die Installation der Ransomware für die Gatekeeper-Technologie von OS X ermöglicht, wodurch die Installation von Malware auf dem Mac verhindert wird.

Nach der Installation stellt KeRanger die Kommunikation mit einem Remote-Server im Tor-Netzwerk her. Dann geht es drei Tage lang schlafen. Nach dem Aufwachen empfängt KeRanger den Verschlüsselungsschlüssel vom Remote-Server und verschlüsselt die Dateien auf dem infizierten Mac.

Die verschlüsselten Dateien enthalten die Dateien im Ordner / Users. Dies führt dazu, dass die meisten Benutzerdateien auf dem infizierten Mac verschlüsselt werden und nicht mehr verwendet werden können. Palo Alto Networks meldet außerdem, dass der Ordner / Volumes, der den Einhängepunkt für alle angeschlossenen lokalen und in Ihrem Netzwerk angeschlossenen Speichergeräte enthält, ebenfalls ein Ziel ist.

Derzeit gibt es gemischte Informationen zu Time Machine-Sicherungen, die von KeRanger verschlüsselt werden. Wenn der Ordner / Volumes jedoch als Ziel festgelegt wird, sehe ich keinen Grund, warum ein Time Machine-Laufwerk nicht verschlüsselt werden würde. Ich vermute, dass KeRanger ein so neues Stück Ransomware ist, dass die gemischten Berichte über Time Machine lediglich einen Fehler im Ransomware-Code darstellen. Manchmal funktioniert es und manchmal nicht.

Apple reagiert

Palo Alto Networks meldete die Ransomware KeRanger sowohl bei Apple als auch bei Transmission. Beide reagierten schnell; Apple hat das von der App verwendete Mac-App-Entwicklerzertifikat widerrufen, sodass Gatekeeper weitere Installationen der aktuellen Version von KeRanger stoppen kann. Apple hat auch die XProject-Signaturen aktualisiert, sodass das OS X-System zur Verhinderung von Malware KeRanger erkennt und die Installation verhindern kann, auch wenn GateKeeper deaktiviert ist oder für eine Einstellung mit niedriger Sicherheit konfiguriert ist.

Transmission hat Transmission 2.90 von ihrer Website entfernt und eine saubere Version von Transmission mit der Versionsnummer 2.92 schnell neu herausgegeben. Wir können auch davon ausgehen, dass sie die Gefährdung ihrer Website untersuchen und Maßnahmen ergreifen, um zu verhindern, dass dies erneut geschieht.

So entfernen Sie KeRanger

Denken Sie daran, dass das Herunterladen und Installieren der infizierten Version der Transmission-App derzeit die einzige Möglichkeit ist, KeRanger zu erwerben. Wenn Sie Transmission nicht verwenden, müssen Sie sich derzeit keine Sorgen um KeRanger machen.

Solange KeRanger die Dateien Ihres Mac noch nicht verschlüsselt hat, haben Sie Zeit, die App zu entfernen und die Verschlüsselung zu verhindern. Wenn Ihre Mac-Dateien bereits verschlüsselt sind, können Sie nicht viel tun, außer zu hoffen, dass Ihre Sicherungen nicht ebenfalls verschlüsselt wurden. Dies weist auf einen sehr guten Grund für ein Sicherungslaufwerk hin, das nicht immer mit Ihrem Mac verbunden ist. Als Beispiel verwende ich Carbon Copy Cloner, um einen wöchentlichen Klon der Mac-Daten zu erstellen. Das Laufwerkgehäuse dieses Klons wird erst auf meinem Mac installiert, wenn es für den Klonvorgang benötigt wird.

Wenn ich in eine Ransomware-Situation geraten wäre, hätte ich mich durch Wiederherstellen des wöchentlichen Klons erholen können. Die einzige Strafe für die Verwendung des wöchentlichen Klons besteht darin, Dateien zu haben, die bis zu einer Woche veraltet sein könnten, aber das ist viel besser, als ein schändliches Cretin mit Lösegeld zu bezahlen.

Wenn Sie sich in der unglücklichen Situation befinden, in der KeRanger bereits aus der Falle geraten ist, kenne ich keinen Ausweg, als entweder Lösegeld zu zahlen oder OS X neu zu laden und mit einer Neuinstallation zu beginnen.

Getriebe entfernen

Navigieren Sie im Finder zu / Applications.

Suchen Sie die Übertragungs-App und klicken Sie mit der rechten Maustaste auf das Symbol.

Wählen Sie im Popup-Menü die Option Paketinhalt anzeigen.

Navigieren Sie im sich öffnenden Finder-Fenster zu / Contents / Resources /.

Suchen Sie nach einer Datei mit der Bezeichnung General.rtf.

Wenn die Datei General.rtf vorhanden ist, haben Sie eine infizierte Version von Transmission installiert. Wenn die Übertragungs-App ausgeführt wird, beenden Sie die App, ziehen Sie sie in den Papierkorb und leeren Sie den Papierkorb.

KeRanger entfernen

Starten Sie den Aktivitätsmonitor unter / Programme / Dienstprogramme.

Wählen Sie im Aktivitätsmonitor die Registerkarte CPU aus.

Geben Sie im Suchfeld des Aktivitätsmonitors Folgendes ein:

Kernel-Service

und drücken Sie dann die Eingabetaste.

Wenn der Dienst vorhanden ist, wird er im Fenster des Aktivitätsmonitors angezeigt.

Falls vorhanden, doppelklicken Sie im Aktivitätsmonitor auf den Prozessnamen.

Klicken Sie im sich öffnenden Fenster auf die Schaltfläche Dateien und Ports öffnen.

Notieren Sie sich den Pfadnamen kernel_service. Es wird wahrscheinlich so etwas sein wie:

/ users / homefoldername / Library / kernel_service

Wählen Sie die Datei aus und klicken Sie auf die Schaltfläche Beenden.

Wiederholen Sie das oben für die kernel_time und Kernel_complete Servicenamen.

Obwohl Sie die Dienste in Activity Monitor beenden, müssen Sie die Dateien auch von Ihrem Mac löschen. Verwenden Sie dazu die von Ihnen notierten Dateipfadnamen, um zu den Dateien kernel_service, kernel_time und kernel_complete zu navigieren. (Hinweis: Möglicherweise haben Sie nicht alle diese Dateien auf Ihrem Mac.)

Da sich die zu löschenden Dateien im Bibliotheksordner Ihres Basisordners befinden, müssen Sie diesen speziellen Ordner sichtbar machen. Anweisungen dazu finden Sie im Artikel OS X verbirgt Ihren Bibliotheksordner.

Wenn Sie Zugriff auf den Bibliotheksordner haben, löschen Sie die oben genannten Dateien, indem Sie sie in den Papierkorb ziehen, mit der rechten Maustaste auf das Papierkorbsymbol klicken und Leeren Papierkorb auswählen.