Am Wochenende tauchte die Ramsomware Malware zum ersten Mal auf Macs auf. Um genau zu sein versteckte sich der Erpressungstrojaner KeRanger in der aktuellen Version des BitTorrent-Clients Transmission. Bei dem Fund handelt es sich um den ersten Ramsonware–Befall auf Apple-Rechnern.
KeRange versteckt in BitTorrent-Client Transmission
Einmal aktiviert verschlüsselt der Trojaner Euren Festplatteninhalt und zwingt zur Zahlung von 400 USD in BitCoins. Erst danach werden die Daten (unter Umständen) wieder entschlüsselt. Die Macher des Trojaners nutzen zur Verbreitung auf Windows-PCs sogar eine Art „Bonus-Programm“: Für jeden Rechner, den man über eine personalisierte Datei infizierte, zahlten die Betreiber eine kleine Bonussumme an den Verteiler aus.
Palo Alto Networks haben Trojaner technisch analysiert und liefern Entfernungstipps
Die iFun-Redaktion hat sich mit den Experten von Palo Alto Networks in Verbindung gesetzt, die den Trojaner technisch analysiert haben. Nach deren Auskunft versucht der Trojaner außerdem Eure Time-Machine Backups zu verschlüsseln und so unbrauchbar zu machen. Sowohl Apple als auch Transmission haben zeitnah reagiert: Apple hat das zugehörige Zertifikat der App als ungültig eingestuft, Transmission hat eine aktualisierte und Trojaner-freie Version releast. Solltet Ihr aber in den letzten Tagen die Transmission App heruntergeladen haben, solltet Ihr folgende Punkte überprüfen, die die Sicherheitsexperten von Alto empfehlen:
- Als Erstes sollte überprüft werden, ob auf Eurem Mac folgende Einträge existieren: /Applications /Transmission.app /Contents /Resources / General.rtf oder /Volumes /Transmission /Transmission.app /Contents /Resources / General.rtf (nutzt dafür Terminal oder Finder)
- Mit dem Acivity Monitor überprüfen ob ein „kernel_service“ Prozess läuft. Ist dies der Fall, muss man den Prozess auswählen und die Option „open Files and ports“ auswählen. Hier solltet Ihr Ausschau nach „/Users//Library/kernel_service“ halten. Werdet Ihr fündig, ist dies der KeRanger-Trojaner-Prozess. Diesen müsst Ihr nun beenden (Quit-Force Quit)
- Zu guter Letzt muss noch überprüft werden, ob sich die Daten .kernel_pid, .kernel_time, .kernel_complete oder .kernel_service im Libraray-Verzeichnis auffinden lassen. Diese müssen dann ebenfalls gelöscht werden.
Quelle: ifun.de
Zurück zur Apple News Übersicht
Was Denkst Du?