KeyRanger: "Ransomware" Trojaner attackiert OS X Nutzer

Bisher konnte man sich als Apple-User immer beruhigt zurücklehnen und durchatmen, wenn man Berichte über Trojaner auf Windows-Rechnern gelesen hat. Nun schlägt aber eine neue “Ransomware” Malware zu, die sich auf User von OS X spezialisiert hat. Der Name des Mac-Trojaners ist “OSX.KeyRanger.A”.

Mac-Tipp: Große Dateien finden und löschen mit Daisy Disk (Werbung)

In vielen Medien wird fälschlicherweise von der ersten Ransomware für den Mac berichtet, aber es gab schonmal eine erpresserische Malware namens “FileCoder”, die ebenfalls für den Mac unter OS X programmiert war. Allerdings wurde diese viral angelegte Schadsoftware nicht verbreitet, da sie nicht komplett fertig programmiert war (siehe Bericht von Securelist).

Kapitel in diesem Beitrag:

1 KeyRanger kommt mit der BitTorrent Software “Transmission”
2 Was richtet der OS X Trojaner am Mac an?
3 Apple hat reagiert: OS X schützt vor neuen Infektionen
4 Ähnliche Beiträge

KeyRanger kommt mit der BitTorrent Software “Transmission”

Ransomware OSX.KeRanger.A: Transmission hat gehandelt. — Ransomware OSX.KeRanger.A: Transmission hat gehandelt und die Software bereinigt.

Infiziert wird der Mac offensichtlich durch die Software “Transmission” (Link zur Homepage der Software – kann man anklicken, ist nicht gefährlich!), die als BitTorrent Client für den Mac verwendet wird und unter OS X läuft. Betroffen scheinen ältere Versionen der Software zu sein. Wer es in Gebrauch hat, sollte sich dringend die aktuelle Version 2.92 von Transmission laden, denn dort ist ein Patch installiert, der den Mac aktiv nach der Schadsoftware durchsucht und sie auch entfernt.

Wer selbst schauen möchte, ob sein Mac infiziert ist, kann mit dem Dienstprogramm “Aktivitätsanzeige” nach einem Prozess “kernel_service” suchen. Wenn man diesen findet, klickt man auf den Prozess und dann auf den “i”-Button in der Leiste über den Prozessen. Dann geht ein Fenster auf, in dem man den Reiter “Geöffnete Dateien und Ports” wählt.

Im Screenshot sieht man den Hauptprozess "kernel_service" des Trojaners KeyRanger. — Im Screenshot sieht man den Hauptprozess “kernel_service” des Trojaners KeyRanger.

Findet man in der Liste einen Dateinamen wie “Users/…/Library/kernel_service”, dann hat man den Hauptprozess von KeyRanger gefunden. Man sollte den Prozess mit dem Button “Beenden” und dann “Sofort beenden” schließen und sofort die neue Transmission Version laden.

Danach sollte man noch prüfen, ob Dateien wie “.kernel_pid”, “.kernel_time”, “.kernel_complete” oder “kernel_service” im Ordner “~/Library” existieren. Wenn dem so ist, auch diese Dateien sofort löschen.

Was richtet der OS X Trojaner am Mac an?

Der Begriff “Ransomware” beschreibt Schadsoftware, die die Nutzer der infizierten Geräte erpresst. In diesem Fall verschlüsselt die Erpresser-Software KeyRanger etwa drei Tage nach der Installation von “Transmission” die Festplatte des Macs und erpresst dann eine Zahlung. Es wird empfohlen, diese Zahlung in keinem Fall zu leisten, da es ungewiss ist, ob man überhaupt ein Passwort zum Entschlüsseln von den Erpressern erhält.

Leider gibt es nachträglich auch keine Möglichkeit, die Daten wieder zu entschlüsseln, so dass man am besten auf ein Backup zurückgreift und damit seinen Mac wiederherstellt. Man sieht wieder einmal, wie wichtig ein funktionierendes Backup – auch am Mac – ist.

Wer genauer nachlesen möchte, was die Malware unter OS X macht, der findet hier einen ausführlichen Bericht auf paloaltonetworks.com.

Apple hat reagiert: OS X schützt vor neuen Infektionen

Apple hat scheinbar auch schon reagiert und verhindert das Öffnen des DiskImages, falls Benutzer die Software noch installieren möchten (versehentlich). Die Fehlermeldung sieht so aus.