Lange konnten sich Mac-Nutzer sicher fühlen, weil es im Gegensatz zu Windows kaum Schadsoftware für die Apple-Computer gab. Doch die Virenanzahl steigt, jetzt wurde zum ersten Mal eine Ransomware entdeckt, die sich ausschließlich auf dem Mac einnistet und ihn für Euch unzugänglich verschlüsselt.
Als Ransomware oder auch "Crypto-Trojaner" bezeichnet man die Schadsoftware, die ungefragt Eure Daten auf dem Computer verschlüsselt und vorgibt, sie nur gegen Geld wieder zu entschlüsseln. Kaspersky hatte im Jahr 2014 bereits die potenzielle, aber nicht funktionierende Ransomware FileCoder auf Apple-Computern ausfindig gemacht. KeRanger ist nun die erste, die Eure Macs wirklich angreifen kann.
Nach drei Tagen sind die Daten verschlüsselt
Die Sicherheitsforscher von Palo Alto Networks haben die Ransomware KeRanger genannt. Verbreitet wird sie über gefälschte Installationsdateien des BitTorrent-Clients Transmission in der Version 2.90. Diese sind aus noch ungeklärten Gründen sogar über die offizielle Webseite verteilt worden. Möglicherweise wurde die Webseite gehackt, spekuliert Palo Alto Networks.
Habt Ihr die Software installiert, beginnt der Crypto-Trojaner nach drei Tagen mit seiner Arbeit, verbindet sich mit anonymen Servern über das Tor-Netzwerk und verschlüsselt Eure Daten und sogar Backup-Archive. Dann bekommt Ihr die Meldung, dass Ihr nur wieder an Eure Daten herankommt, wenn Ihr einen Bitcoin überweist, der aktuell rund 372 Euro wert ist.
Nachdem die Experten den Trojaner gefunden hatten, haben sie sich an Apple und die Webseiten-Betreiber von Transmission gewandt. Die schädliche Datei wurde entfernt, Apple hat das Zertifikat, mit dem die Schadsoftware signiert wurde, um Apples eingebauten Schutzmechanismus GateKeeper zu umgehen, für ungültig erklärt. Damit bekommen Nutzer jetzt eine Warnung, wenn sie versuchen, die kompromittierte Installationsdatei zu öffnen.
Wie verhalte ich mich, wenn mein Mac verschlüsselt wurde?
Sollte Euer Mac infiziert sein, beschreiben die Experten der Palo Alto Networks Schritte zur Löschung des Crypto-Trojaners.
Sind Eure Daten erst einmal verschlüsselt, gibt es unter Umständen technische Einschränkungen, um die Bezahlung zu umgehen. Doch selbst wenn Ihr zahlt, ist damit nicht gesagt, dass Ihr wieder an Eure Daten kommt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät deshalb von einer Bezahlung ab und empfiehlt mit einem Screenshot der Erpressermeldung zur Polizei zu gehen und Anzeige zu erstatten. Na, ob das etwas nützt?
Wie kann ich mich schützen?
Laut einer Studie von BitDefender bezahlen etwa ein Drittel aller Betroffenen den Betrag, um wieder an ihre Daten zu gelangen. Das ist für die Cyberkrimininellen ein lohnendes Geschäft. Deshalb ist davon auszugehen, dass wir in Zukunft mit weiterer Ransomware rechnen müssen. Mit folgenden Möglichkeiten könnt Ihr zumindest das Infektionsrisiko minimieren:
- Daten regelmäßig sichern: Und zwar nicht auf demselben Computer, sondern in der Cloud oder auf einer externen Festplatte, die nur dafür verwendet wird. Denn dann könnt Ihr zur Not Euren Rechner neu aufsetzen und Euer externes Backup einspielen.
- Installationsdateien von Programmen immer von der offiziellen Quelle laden: Auch wenn in diesem einem speziellen Fall auch die Schadsoftware über die offizielle Seite verteilt wurde, ist das eher die Ausnahme.
- Ein Virenschutzprogramm verwenden
- Verdächtige E-Mail-Anhänge nicht öffnen, sondern löschen
- Betriebssystem und Virenschutzsoftware immer aktuell halten: Updates regelmäßig installieren
