Erpressungs-Trojaner nun auch für Mac verfügbar

Mit dem Kryp­to-Tro­ja­ner KeR­an­ger ist nun auch das Apple Betriebs­sys­tem Mac OS betrof­fen. Soweit bis­her bekannt, wird die Infek­ti­on durch die Nut­zung eines mani­pu­lier­ten Disk-Images des Bit­tor­rent-Cli­ents Trans­mis­si­on (V 2.90) aus­ge­löst. Auf­grund eines Ser­ver-Hacks wur­de das ori­gi­na­le Disk-Image gegen die mani­pu­lier­te Ver­si­on aus­ge­tauscht. Nach Anga­ben der Ent­wick­ler von Trans­mis­si­on wur­de die­se ver­seuch­te Ver­si­on wohl nur in 6.500 Fäl­len her­un­ter­ge­la­den.

KeRanger schläft erst mal

Ist das Mac Sys­tem erst mal von KeR­an­ger befal­len, legt sich der Kryp­to-Tro­ja­ner erst mal für 3 Tage schla­fen. Dies ist beson­ders tückisch, da der Zeit­raum zwi­schen Infek­ti­on und Aus­bruch das Opfer erst mal in schein­ba­rer Sicher­heit wie­gen.

Ist die Inku­ba­ti­ons­zeit abge­lau­fen, fängt der übli­che und bekann­te Pro­zess an: Ver­schlüs­se­lung, dann Löse­geld­for­de­rung. In die­sem Fall sind es nach einem Bericht von Mac & I 1 Bit­co­in, also umge­rech­net zum aktu­el­len Kurs cir­ca 380 Euro.

Wie kann ich mich gegen KeRanger schützen?

Wer den Bit­tor­rent-Cli­ent Trans­mis­si­on nicht genutzt hat und nicht nutzt, ist im Moment fein raus. Ande­re Ver­brei­tungs­we­ge sind noch nicht bekannt, Beto­nung liegt auf noch. Zusätz­lich soll­te unter Sys­tem­steue­rung / App Store / “Sys­tem­da­tei­en und Sicher­heits-Updates instal­lie­ren” akti­viert sein. Laut der Zeit­schrift aus dem hei­se Ver­lag kann das Update auch manu­ell in einem Ter­mi­nal­fens­ter mit Admin-Rech­ten aus­ge­führt wer­den:

sudo softwareupdate --background-critical

Was tun, wenn mein Mac  schon von KeR­an­ger befal­len ist?

Eine kon­kre­te Anlei­tung zur Iden­ti­fi­zie­rung und Besei­ti­gung der Infek­ti­on mit KeR­an­ger hält Mac & I bereit. Fol­gen Sie ein­fach der sehr gut geschil­der­ten Anlei­tung.

Zum Zeit­punkt des Bei­trags auf Mac & I wur­de KeR­an­ger noch von kei­ner der übli­chen Schutz­lö­sun­gen erkannt. Da der Schutz in einem sol­chen Fall jedoch meist nur signa­tur­ba­siert mög­lich ist, bleibt zwi­schen mög­li­cher Infek­ti­on und Update der Signa­tur­da­ten­bank stets eine gefähr­li­che zeit­li­che Lücke.