Erpressungs-Trojaner KeRanger: Wie Sie Ihren Mac schützen

Erstmals zielt funktionstüchtige Ransomware auf OS-X-Nutzer ab. Nach der Infektion bleiben drei Tage, bis "KeRanger" Dokumente verschlüsselt. Nutzer sollten prüfen, ob sie betroffen sind – und Gegenmaßnahmen ergreifen.

In Pocket speichern vorlesen Druckansicht 204 Kommentare lesen
Apple

(Bild: dpa, Monica Davey)

Lesezeit: 5 Min.
Von
  • Leo Becker
Inhaltsverzeichnis

Die Mac-Schad-Software "KeRanger" setzte als Infektionsweg – soweit bislang bekannt – auf den BitTorrent-Client Transmission. Die Angreifer hatten offenbar Zugriff auf den Server, über den das OS-X-Programm verteilt wird. Das normale Disk-Image mit Transmission 2.90 sei durch eine manipulierte Version ersetzt worden, die nach Angabe der Entwickler nur rund 6500 Mal heruntergeladen wurde.

Nach der Infektion wartet KeRanger drei Tage ab, bis die Malware anfängt, Nutzerdokumente zu verschlüsseln, als Lösegeld wird vom Nutzer dann ein Bitcoin gefordert, umgerechnet rund 380 Euro. Es ist möglich, dass KeRanger künftig auch auf andere Wege zur Infektion setzt.

Apple hat inzwischen die in OS X integrierte Schutzfunktion XProtect um Informationen zu KeRanger ergänzt, so dass die infizierte Transmission-Version nicht länger ausgeführt werden sollte: Ein Warndialog weist beim Öffnen darauf hin, dass die Software den Computer beschädigen könne und deshalb in den Papierkorb befördert werden sollte.

Je nach gewählter Einstellung ruft OS X die XProtect-Aktualisierung allerdings nicht automatisch ab: Nutzer sollten deshalb unbedingt prüfen, ob sie eine aktuelle Fassung von Apples Malware-Liste auf ihrem Mac haben. Am einfachsten geht dies über das Programm "Systeminformationen", das im Ordner Dienstprogramme zu finden ist. Dieser liegt im allgemeinen Programme-Ordner.

Das Dienstprogramm Systeminformationen verrät, ob und wann XProtect zuletzt aktualisiert wurde.

Wählt man dort in der linken Spalte im Abschnitt Software die "Installationen" aus und sortiert die Liste nach Installationsdatum, sollte hier ein Update für "XProtectPlistConfigData" auftauchen, das seit dem 4. März neu eingespielt wurde. Ist dieses nicht vorhanden, prüfen Sie in den Systemeinstellungen unter App Store, ob "Automatisch nach Updates suchen" sowie "Systemdateien und Sicherheits-Updates installieren" aktiviert ist. Nach dem Anschalten kann bis zum Bezug der jüngsten XProtect-Version etwas Zeit vergehen.

Besonders ärgerlich: Manche Nutzer dürften diese Einstellung gerade erst deaktiviert haben, nachdem Apple jüngst den Ethernet-Treiber in einer stillen Sicherheitsaktualisierung mit auf die Kernel-Extension-Blacklist genommen und dadurch zwischenzeitlich lahmgelegt hat.

Damit OS X aktuelle Schadsoftware-Signaturen nachlädt, müssen Sicherheits-Updates in den App-Store-Einstellungen aktiviert sein.

Den Abruf der Sicherheits-Updates kann man außerdem manuell durch Eingabe des Befehls
sudo softwareupdate --background-critical
im Terminal (ebenfalls im Ordner Dienstprogramm) auslösen. Zur Ausführung ist die Eingabe des Admin-Passwortes erforderlich.

(Bild: Paloaltonetworks )

Über das Programm Aktivitätsanzeige (im Ordner Dienstprogramme) lässt sich prüfen, ob der Mac bereits von KeRanger infiziert wurde: Suchen Sie dort im Reiter "CPU" nach einem Prozess mit dem Namen kernel_service und – falls vorhanden – beenden Sie diesen über den Button mit dem kleinen x, der sich in der linken oberen Ecke befindet.

Zudem sollte man prüfen, ob die Dateien .kernel_pid, .kernel_time und .kernel_complete oder .kernel_service im Verzeichnis ~/Library vorhanden sind. Ist dies der Fall, sollten sie gelöscht werden.

Um die Dateien zu sehen, müssen Sie erst die Darstellung für versteckte Dateien im Finder aktivieren. Dies geht im Terminal mit dem Befehl:
defaults write com.apple.finder AppleShowAllFiles TRUE
gefolgt von
killall Finder

Anschließend öffnen Sie mit gedrückter alt-Taste im Finder-Menü "Gehe zu" die Library. Um die versteckten Dateien wieder auszublenden, geben Sie den Befehl
defaults write com.apple.finder AppleShowAllFiles FALSE
im Terminal ein und bestätigen diesen mit der Eingabetaste. Anschließend folgt wieder
killall Finder
Dies startet den Finder mit den erteilten Änderungen neu.

Infizierte Nutzer sollten außerdem ein Backup auf einem externen Medium in Betracht ziehen, das anschließend vom Mac getrennt wird. In KeRanger steckt ein Hinweis, dass die Ransomware möglicherweise auch versuchen will, Dateien im Time-Machine-Backup zu verschlüsseln.

[Update 10.03.2016 12:00 Uhr] Da ein Angreifer auch ohne Admin-Rechte relativ leicht auf Backup-Daten der Time Machine zugreifen kann, können Nutzer als zusätzlichen Schutz auf ein rotierendes Backup setzen. [/Update]

Ein lokales Backup auf einer externen Festplatte – unabhängig von Time Machine – können Sie beispielsweise mit SuperDuper! anlegen. Trennen Sie die Festplatte anschließend von Ihrem Mac.

Nach bisherigem Kenntnisstand hätte keiner der existierenden Virenscanner die Infektion mit KeRanger verhindert. Die AV-Programme können erst eingreifen, nachdem sie passende Signaturen erhalten haben. Parallel hat allerdings auch Apple das Zertifikat für die Software widerrufen und die Signaturen für die integrierte XProtect-Schutzfunktion aktualisiert.

Wie es bei zukünftigen Erpressungs-Trojanern aussehen wird, bleibt natürlich offen. Die Erfahrung bei Windows zeigt, das AV-Software vor neuen Bedrohungen nicht sonderlich gut schützt: Existierende Signaturen lassen sich umgehen, und bis neue kommen, ist der Schaden vielleicht längst angerichtet. (lbe)