Erpressungs-Trojaner KeRanger: Wie Sie Ihren Mac schützen
Erstmals zielt funktionstüchtige Ransomware auf OS-X-Nutzer ab. Nach der Infektion bleiben drei Tage, bis "KeRanger" Dokumente verschlüsselt. Nutzer sollten prüfen, ob sie betroffen sind – und Gegenmaßnahmen ergreifen.
- Leo Becker
Die Mac-Schad-Software "KeRanger" setzte als Infektionsweg – soweit bislang bekannt – auf den BitTorrent-Client Transmission. Die Angreifer hatten offenbar Zugriff auf den Server, über den das OS-X-Programm verteilt wird. Das normale Disk-Image mit Transmission 2.90 sei durch eine manipulierte Version ersetzt worden, die nach Angabe der Entwickler nur rund 6500 Mal heruntergeladen wurde.
Nach der Infektion wartet KeRanger drei Tage ab, bis die Malware anfängt, Nutzerdokumente zu verschlüsseln, als Lösegeld wird vom Nutzer dann ein Bitcoin gefordert, umgerechnet rund 380 Euro. Es ist möglich, dass KeRanger künftig auch auf andere Wege zur Infektion setzt.
Apples XProtect prüfen
Apple hat inzwischen die in OS X integrierte Schutzfunktion XProtect um Informationen zu KeRanger ergänzt, so dass die infizierte Transmission-Version nicht länger ausgeführt werden sollte: Ein Warndialog weist beim Öffnen darauf hin, dass die Software den Computer beschädigen könne und deshalb in den Papierkorb befördert werden sollte.
Je nach gewählter Einstellung ruft OS X die XProtect-Aktualisierung allerdings nicht automatisch ab: Nutzer sollten deshalb unbedingt prüfen, ob sie eine aktuelle Fassung von Apples Malware-Liste auf ihrem Mac haben. Am einfachsten geht dies über das Programm "Systeminformationen", das im Ordner Dienstprogramme zu finden ist. Dieser liegt im allgemeinen Programme-Ordner.
Wählt man dort in der linken Spalte im Abschnitt Software die "Installationen" aus und sortiert die Liste nach Installationsdatum, sollte hier ein Update für "XProtectPlistConfigData" auftauchen, das seit dem 4. März neu eingespielt wurde. Ist dieses nicht vorhanden, prüfen Sie in den Systemeinstellungen unter App Store, ob "Automatisch nach Updates suchen" sowie "Systemdateien und Sicherheits-Updates installieren" aktiviert ist. Nach dem Anschalten kann bis zum Bezug der jüngsten XProtect-Version etwas Zeit vergehen.
Besonders ärgerlich: Manche Nutzer dürften diese Einstellung gerade erst deaktiviert haben, nachdem Apple jüngst den Ethernet-Treiber in einer stillen Sicherheitsaktualisierung mit auf die Kernel-Extension-Blacklist genommen und dadurch zwischenzeitlich lahmgelegt hat.
Den Abruf der Sicherheits-Updates kann man außerdem manuell durch Eingabe des Befehlssudo softwareupdate --background-critical
im Terminal (ebenfalls im Ordner Dienstprogramm) auslösen. Zur Ausführung ist die Eingabe des Admin-Passwortes erforderlich.
KeRanger entfernen
Über das Programm Aktivitätsanzeige (im Ordner Dienstprogramme) lässt sich prüfen, ob der Mac bereits von KeRanger infiziert wurde: Suchen Sie dort im Reiter "CPU" nach einem Prozess mit dem Namen kernel_service
und – falls vorhanden – beenden Sie diesen über den Button mit dem kleinen x, der sich in der linken oberen Ecke befindet.
Zudem sollte man prüfen, ob die Dateien .kernel_pid
, .kernel_time
und .kernel_complete
oder .kernel_service
im Verzeichnis ~/Library
vorhanden sind. Ist dies der Fall, sollten sie gelöscht werden.
Um die Dateien zu sehen, müssen Sie erst die Darstellung für versteckte Dateien im Finder aktivieren. Dies geht im Terminal mit dem Befehl:defaults write com.apple.finder AppleShowAllFiles TRUE
gefolgt vonkillall Finder
Anschließend öffnen Sie mit gedrückter alt-Taste im Finder-Menü "Gehe zu" die Library. Um die versteckten Dateien wieder auszublenden, geben Sie den Befehl defaults write com.apple.finder AppleShowAllFiles FALSE
im Terminal ein und bestätigen diesen mit der Eingabetaste. Anschließend folgt wieder killall Finder
Dies startet den Finder mit den erteilten Änderungen neu.
Backup – ohne Time Machine
Infizierte Nutzer sollten außerdem ein Backup auf einem externen Medium in Betracht ziehen, das anschließend vom Mac getrennt wird. In KeRanger steckt ein Hinweis, dass die Ransomware möglicherweise auch versuchen will, Dateien im Time-Machine-Backup zu verschlüsseln.
[Update 10.03.2016 12:00 Uhr] Da ein Angreifer auch ohne Admin-Rechte relativ leicht auf Backup-Daten der Time Machine zugreifen kann, können Nutzer als zusätzlichen Schutz auf ein rotierendes Backup setzen. [/Update]
Ein lokales Backup auf einer externen Festplatte – unabhängig von Time Machine – können Sie beispielsweise mit SuperDuper! anlegen. Trennen Sie die Festplatte anschließend von Ihrem Mac.
Anti-Viren-Software installieren?
Nach bisherigem Kenntnisstand hätte keiner der existierenden Virenscanner die Infektion mit KeRanger verhindert. Die AV-Programme können erst eingreifen, nachdem sie passende Signaturen erhalten haben. Parallel hat allerdings auch Apple das Zertifikat für die Software widerrufen und die Signaturen für die integrierte XProtect-Schutzfunktion aktualisiert.
Wie es bei zukünftigen Erpressungs-Trojanern aussehen wird, bleibt natürlich offen. Die Erfahrung bei Windows zeigt, das AV-Software vor neuen Bedrohungen nicht sonderlich gut schützt: Existierende Signaturen lassen sich umgehen, und bis neue kommen, ist der Schaden vielleicht längst angerichtet. (lbe)