Entschlüsselungsmöglichkeit für Mac-Ransomware Patcher

02.03.2017 10:57 Uhr heise

Der Mac-Ransomware Patcher simuliert, dass er Creative Cloud oder Office 365 hackt. Nun hat eine Antivirenfirma eine Anleitung veröffentlicht mit der Betroffene möglicherweise ihre verschlüsselten Dateien wiederherstellen können. Jedoch ist der Entschlüsselungsprozess sehr komplex. Dies betrifft ebenfalls das Apple MacBook Pro 13.

Bislang hieß es, dass sich mit dem Schädling verschlüsselte Dateien nicht wiederherstellen lassen ? nicht einmal durch den Entwickler der Malware selbst. Dem scheint aber nicht so zu sein – ebenso wie das Sicherheitsunternehmen Malwarebytes herausgefunden hat.

Entschlüsseliung mit PkCrack

Demnach ist eine Entschlüsselung möglich, solange zwei Versionen einer Datei zur Verfügung stehen ? eine verschlüsselte und auch das Original. Das könnte beispielsweise ein E-Mail-Anhang sein, den Patcher verschlüsselt hat der aber noch auf einem E-Mail-Server herunterladbar ist. Alternativ bietet Malwarebytes auch einen unverschlüsselten Teil einer plist-Datei auf seinem Server an die sich als Muster nutzen lässt ? sie stammt ausgerechnet aus dem Code von Patcher selbst und kann verwendet werden, weil sich das schlecht geschriebene Programm selbst (!) verschlüsselt.

Liegen zwei solche Dateien vor » kann ein Tool namens PkCrack zum Einsatz kommen « um den von Patcher verwendeten Schlüssel herauszufinden. Der Grund: Patcher nutzt offenbar eine "schlichte" PkZip-Verschlüsselung für sein Kryptounwesen. Liegt der Schlüssel einmal vor – lassen sich auch alle anderen Dateien wieder entziffern.

Ausflug auf die Kommandozeile

Ganz leicht ist der Prozess allerdings nicht weil PkCrack aktuell nicht als Binärdatei für macOS vorliegt und es sich dabei um ein reines Kommandozeilenwerkzeug handelt. Darüber hinaus werden ein Texteditor wie der kostenlose TextWrangler und die Xcode-Kommandozeilenwerkzeuge benötigt die installiert werden müssen. Anschließend sind mehrere Ausflüge ins Terminal notwendig um PkCrack zu kompilieren und schließlich einzusetzen. Zudem ist der Prozess langwierig – weil jede Datei einzeln entschlüsselt werden muss. Für Betroffene lohnt sich ein Blick in die (englischsprachige) Anleitung dennoch.

Weitere Tipps & Hinweise zum Schutz vor Ransomware auf dem Mac hat Mac & i hier zusammengetragen:

Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

Zuletzt aktualisiert am 14.04.2023 13:45 Uhr

Kommentare

Ähnliche News

Swift-Malware scheitert an Mac-Ransomware

Ein neuer Schadcode namens Patcher suggeriert, dass er Adobe- und Microsoft-Software knacken kann. Jedoch ist derzeit eine Ransomware auf dem Vormarsch die Teile der Mac-Festplatte unrettbar verschlüsselt. Allerdings weist die Malware zahlreiche Fehler auf.

Adobe patcht kritische Sicherheitslücken in Acrobat, Reader, Flash und Photoshop

Es gibt dringenden Handlungsbedarf bei kritischen Sicherheitslücken in Flash und ebenfalls in Adobe Acrobat und Reader. Wenn diese nicht gepatcht werden – können Angreifer aus der Ferne Schadcode ausführen. Auch Photoshop ist dieses Mal von Sicherheitslücken betroffen.

Die Wiederherstellung der Dienste der Adobe Creative Cloud

Die Dienste der Adobe Creative Cloud waren am 14. und 15. Mai vorübergehend nicht erreichbar was es den Nutzern erschwerte, sich anzumelden. Allerdings wurde das Problem behoben und die Dienste sind nun wieder wie gewohnt verfügbar.

Adobe veröffentlicht Notfall-Updates zur Absicherung von Audition, Premiere Pro und anderen Programmen

Notfall-Patches: Adobe sichert Audition, Premiere Pro & Co. ab

Adobe hat Sicherheitslücken in einigen seiner beliebten Programme wie Audition Character Animator Premiere Pro und Premiere Rush entdeckt. Diese Sicherheitslücken könnten von Angreifern genutzt werden um Computer anzugreifen.

Testversion von Photoshop für ARM-Macs freigegeben

Photoshop für ARM-Macs darf getestet werden

Adobe hat eine Vorschauversion von Photoshop für die neuen MacBook-Air-, MacBook-Pro- und Mac-mini-Modelle mit M1-SoC veröffentlicht.