Suche
Nur für Dich. iPhone Tricks bequem per E-Mail.
Gregor 07.03.2016 11:52 Uhr
News von

0,00 Sterne bei 0 Bewertungen

„KeRanger“: Ransomeware attackiert Mac via Transmission

Nutzer des BitTorrent Client Transmission könnten sich mit der Erpresser-Malware „KeRanger“ die erste voll funktionstüchtige Ransomeware auf den Mac geholt haben. Diese verschlüsselt Dateien und Dokumente von Anwendern und fordert anschließend einen Geldbetrag von den Betroffenen für die erfolgreiche Entschlüsselung. Damit sind erstmals auch Mac-Nutzer von der böswilligen Software betroffen.

Die Version 2.90 für OS X des BitTorrent Clients Transmission ist von der Ransomeware „KeRanger“ befallen. Diese verschlüsselt die Festplatten betroffener Anwender, um ein Lösegeld für die Freigabe der Daten einzufordern. Das Lösegeld beläuft sich auf einen Bitcoin (Gegenwert derzeitig rund 400 US-Dollar). Nach der Installation der infizierten Transmission-Version soll die Verschlüsselungssoftware erst nach drei Tagen aktiv werden. Erkannt wurde die Erpresser-Malware von den Sicherheitsexperten von Palo Alto Networks, die nun zur dringenden Installation der neuesten und virenfreien Transmission-Version 2.92 raten, welche die Malware automatisch entfernt. Auch Nutzer der Version 2.91 sollten das Update sicherheitshalber fahren.

Prüfen, ob der eigene Mac infiziert ist

Wer prüfen möchte, ob der eigene Mac von der Malware betroffen ist, sollte die Aktivitätsanzeige nach einem Prozess mit der Bezeichnung „kernel_service“ durchsuchen. Ist dieser vorhanden kann man über „Open Files and Ports“ prüfen, ob der Dateiname „/Users//Library/kernel_service“ vorhanden ist. Falls ja, sollte dieser mit „Quit → Force Quit“ sofort beendet werden. Zudem soll sich die Datei „General.rtf“ im Verzeichnis „/Applications/Transmission.app/Contents/Resources“ oder „/Volumes/Transmission/Transmission.app/Contents/Resources“ befinden. Falls vorhanden, sollten diese sofort gelöscht werden. Im Library-Verzeichnis sollen außerdem die Dateien „.kernel_pid“, „.kernel_time“ und „.kernel_complete“ sowie „kernel_service“ auf eine Infizierung des Rechners hinweisen. Diese sind ebenfalls schnellstmöglich zu entfernen. Über das Einspielen eines älteren System-Backups bevor die infizierte Version installiert wurde, kann man sicherstellen, dass die Malware komplett vom Rechner entfernt wird.

Apple hat mittlerweile Maßnahmen in die Wege geleitet, sodass die Schadsoftware über die GateKeeper-Funktion erkannt und unschädlich gemacht wird. Eine infizierte Version von Transmission kann demnach nicht länger installiert werden und es erscheint eine Warnmeldung, sobald man versucht eine infizierte Version zu öffnen. In diesem Fall sollte man laut Palo Alto Networks auch den Anweisungen von Apple folgen. Transmission Project hat zudem die bösartigen Installationsprogramme von der Webseite entfernt.

Auch interessant