Schadsoftware KeRanger – Lösegeld-Virus infiziert erstmals auch Apple-Rechner

Schadsoftware KeRanger:Lösegeld-Virus infiziert erstmals auch Apple-Rechner

7. März 2016, 10:46 Uhr

Zum ersten Mal haben Erpresser Mac-Nutzer mit Ransomware attackiert.
Diese Schadprogramme verschlüsseln Daten auf den infizierten Computern. Dann sollen die Opfer Lösegeld zahlen, um wieder Zugriff auf die Daten zu erhalten.
Der aktuelle Fall betrifft Nutzer des Bittorrent-Client Transmission. Am Wochenende wurde über die Entwickler-Webseite eine infizierte Installationsdatei verbreitet.

Bislang mussten sich Mac-Nutzer kaum Gedanken über Ransomware machen. Die Schadprogramme, mit denen Erpresser erst Daten verschlüsseln und dann Geld verlangen, um sie wiederherzustellen, befielen fast ausschließlich Windows-Rechner und Smartphones; OS-X-Systeme schienen besser dagegen gesichert. An diesem Wochenende hat sich das geändert.

Sicherheitsforscher von Palo Alto Networks haben die erste, voll funktionsfähige Ransomware-Attacke auf Mac-Nutzer entdeckt. Offenbar ist es Hackern gelungen, die Installationsdatei des beliebten Bittorrent-Client Transmission zu manipulieren. Mit der kostenlosen Open-Source-Software können Nutzer Dateien und Dokumente austauschen. Betroffen ist der Installer mit der Versionsnummer 2.90, der auf der Webseite von Transmission angeboten wurde.

Unbedingt auf Version 2.92 updaten

Dort findet sich mittlerweile folgender Hinweis: "Jeder, der derzeit 2.90 auf OS X einsetzt, sollte unverzüglich auf 2.92 updaten, da sie möglicherweise eine mit Malware infizierte Datei heruntergeladen haben." Auch Nutzern von Version 2.91 wird das Update empfohlen, da erst die Folgeversion sicherstelle, dass die Malware von Version 2.90 entfernt werde.

Palo Alto Networks hat das Schadprogramm "KeRanger" genannt. Die Sicherheitsforscher schreiben, dass die Malware mit einem gültigen Mac-App-Entwickler-Zertifikat signiert sei. Deshalb sei sie in der Lage gewesen, Apples Gatekeeper-Schutz zu umgehen. KeRanger verschlüssele bestimmte Dokument- und Dateitypen auf betroffenen Rechnern. Anschließend müssten die Opfer ein Bitcoin (derzeit etwa 370 Euro) zahlen, um wieder Zugriff darauf zu erhalten.

Die schädliche Transmission-Version 2.90 wurde ab Freitagabend über die Webseite der Entwickler verbreitet und stand etwa 32 Stunden lang zum Download zur Verfügung. Es ist nicht bekannt, wie viele Nutzer betroffen sind. Apple hat das Entwicklerzertifikat zurückgezogen und seinen Malware-Schutz XProtect aktualisiert, sodass er KeRanger identifizieren und löschen kann.

Ransomware entwickelt sich zu einem großen Problem

In jüngster Zeit haben Ransomware-Attacken drastisch zugenommen. Zuletzt machte in Deutschland die Schadsoftware Locky Schlagzeilen. Der Erpresser-Virus verbreitete sich per Mail und infizierte Zehntausende Rechner. Auch mehrere deutsche Krankenhäuser wurden zum Opfer von Ransomware-Angriffen. Einer Studie zufolge zahlt jedes dritte Opfer von Erpressungssoftware das geforderte Lösegeld. Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) raten davon ab und empfehlen, stattdessen Anzeige zu erstatten.