Entschlüsselungsmöglichkeit für Mac-Ransomware Patcher

Mac-Ransomware Patcher ist entschlüsselbar

Der Mac-Ransomware Patcher simuliert, dass er Creative Cloud oder Office 365 hackt. Nun hat eine Antivirenfirma eine Anleitung veröffentlicht mit der Betroffene möglicherweise ihre verschlüsselten Dateien wiederherstellen können. Jedoch ist der Entschlüsselungsprozess sehr komplex. Dies betrifft ebenfalls das Apple MacBook Pro 13.


Bislang hieß es, dass sich mit dem Schädling verschlüsselte Dateien nicht wiederherstellen lassen ? nicht einmal durch den Entwickler der Malware selbst. Dem scheint aber nicht so zu sein – ebenso wie das Sicherheitsunternehmen Malwarebytes herausgefunden hat.

Entschlüsseliung mit PkCrack

Demnach ist eine Entschlüsselung möglich, solange zwei Versionen einer Datei zur Verfügung stehen ? eine verschlüsselte und auch das Original. Das könnte beispielsweise ein E-Mail-Anhang sein, den Patcher verschlüsselt hat der aber noch auf einem E-Mail-Server herunterladbar ist. Alternativ bietet Malwarebytes auch einen unverschlüsselten Teil einer plist-Datei auf seinem Server an die sich als Muster nutzen lässt ? sie stammt ausgerechnet aus dem Code von Patcher selbst und kann verwendet werden, weil sich das schlecht geschriebene Programm selbst (!) verschlüsselt.

Liegen zwei solche Dateien vor » kann ein Tool namens PkCrack zum Einsatz kommen « um den von Patcher verwendeten 🔑 Schlüssel herauszufinden. Der Grund: Patcher nutzt offenbar eine "schlichte" PkZip-Verschlüsselung für sein Kryptounwesen. Liegt der Schlüssel einmal vor – lassen sich auch alle anderen Dateien wieder entziffern.

Ausflug auf die Kommandozeile

Ganz leicht ist der Prozess allerdings nicht weil PkCrack aktuell nicht als Binärdatei für macOS vorliegt und es sich dabei um ein reines Kommandozeilenwerkzeug handelt. Darüber hinaus werden ein Texteditor wie der kostenlose TextWrangler und die Xcode-Kommandozeilenwerkzeuge benötigt die installiert werden müssen. Anschließend sind mehrere Ausflüge ins Terminal notwendig um PkCrack zu kompilieren und schließlich einzusetzen. Zudem ist der Prozess langwierig – weil jede Datei einzeln entschlüsselt werden muss. Für Betroffene lohnt sich ein Blick in die (englischsprachige) Anleitung dennoch.

Weitere Tipps & Hinweise zum Schutz vor Ransomware auf dem Mac hat Mac & i hier zusammengetragen:

  • Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige