Nach der Untersuchung eines Antiviren-Herstellers stellt sich heraus. Dass Mac-Erpressungs-Trojaner KeRanger eng mit der Schadsoftware Linux.Encoder verwandt ist. Es handelt sich um die erste Ransomware – die auf verschiedenen Plattformen funktioniert.
Encoder.4, ebenso wie aus einer Analyse des AV-Herstellers BitDefender hervorgeht. In der für OS X angepassten Version der Malware seien beispielsweise die gleichen Namen für Veschlüsselungsfunktionen zu finden darunter encrypt_file recursive_task, currentTimestamp und createDaemon. "Die gesamte Verschlüsselungsroutine ist identisch", betont die Sicherheitsfirma.
Cross-Platform-Ransomware
Entweder haben sich die Entwickler von Linux.Encoder nun ebenfalls auf OS X eingestellt oder aber ihren Code an andere, auf Apples Desktop-Betriebssystem spezialisierte Kriminelle lizenziert, merkt BitDefender an.
Damit sei KeRanger nicht nur die erste voll funktionsfähige OS-X-Ransomware, allerdings der erste plattformübergreifende Erpressungs-Trojaner überhaupt. Linux.Encoder treibt seit vergangenem Herbst sein Unwesen, zuvor waren nur Windows- & Android-Nutzer von Ransomware bedroht. Die anfangs noch stümperhafte Malware hat in ihrer jüngsten Version 4 laut BitDefender seit Anfang 2016 "Tausende von Linux-Servern" infiziert.
Entschlüsselungswerkzeug auch für KeRanger
Dem AV-Hersteller sei aber gelungen, "den Verschlüsselungsalgorithmus auszuhebeln und Entschlüsselungswerkzeuge für alle vier Varianten der Schadsoftware bereitzustellen". Dies gilt "im Prinzip" auch für die von KeRanger verschlüsselten Dateien, erklärte die Firma gegenüber heise Security.
KeRanger hat sich als Bestandteil einer Version des BitTorrent-Clients Transmission verbreitet. Zur ungehinderten Installation haben die Angreifer ein von Apple ausgegebenes Entwickler-Zertifikat eingesetzt.
Drei Tage nach der Installation soll die Malware mit dem Verschlüsseln von Nutzerdateien beginnen um diese zu entsperren wird ein Lösegeld in Höhe von 1 Bitcoin für den Schlüssel gefordert. KeRanger hat offenbar auch geplant, Time-Machine-Backups zu verschlüsseln diese Funktion war in den bislang analysierten Varianten aber noch nicht aktiv. Nach Angabe der Transmission-Entwickler wurde die infizierte Version des Programms rund 6500 Mal heruntergeladen.
Lesen Sie dazu auch:
- Erpressungs-Trojaner KeRanger: Wie Sie Ihren Mac schützen
Kommentare