Erste erfolgreich agierender Ransomware für OS X ist unterwegs

[Hausbesetzer]

"This is the first one in the wild that is definitely functional, encrypts your files and seeks a ransom," Olson said in a telephone interview.

The malware is programmed to encrypt files on an infected personal computer three days after the original infection, according to Olson.

That means that if Apple's steps prove ineffective in neutralizing malware that has already infected Macs, the earliest victims will have their files encrypted on Monday

Apple users targeted in first known Mac ransomware campaign | Reuters

OS X ist wohl nun verbreitet genug - der Spass beginnt also

 

[AgentMax]

Also wer Transmission installiert hat sollte aufpassen.

Everyone running 2.90 on OS X should immediately upgrade to 2.91 or delete their copy of 2.90, as they may have downloaded a malware-infected file.

Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service”. If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.

 

[bernie313]

Abmahnanwälte haben wohl ihr Betätigungsfeld gewechselt

 

[bimbam]

Beschreibung dazu und was man dagegen tun kann bzw seine Maschine reinigt... New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer - Palo Alto Networks Blog

 

[tocotronaut]

mittlerweile wurde wohl seitens Apple die Gatekeeper-Zertifikat zurückgerufen und XProtext mit den Signaturen gefüttert.

Sollte also für unbedarfte Nutzer kein Problem mehr geben.

Aber letztlich ist die verseuchte Version von Transmission zwischen dem 28.2. und 6.3. erhältlich gewesen.
Das sind immerhin 8 Tage (wobei die Infektion laut changelog direkt am 28.2. bemerkt wurde)

Naja. Transmission 2.9.2 entfernt den Schädling direkt wieder.

 

[iPhill]

... da war ich wohl zu langsam, wollte es eben posten.

 

[Hausbesetzer]

Aber letztlich ist die verseuchte Version von Transmission zwischen dem 28.2. und 6.3. erhältlich gewesen.
Das sind immerhin 8 Tage (wobei die Infektion laut changelog direkt am 28.2. bemerkt wurde)

Und jetzt die Frage, wo das da draussen noch unbemerkt rumwuselt.

 

[rechnerteam]

...und ob tatsächlich ein Mac mit verschlüsselten Dateien auftaucht.

 

[Krise]

- Was nützen denn eigentlich Zertifikate, wenn sie so missbraucht werden können?

- FileVault bringt da ja vermutlich auch nix, da man am "offenen" System arbeitet? (Ist mir aber unklar, da ich es nie eingeschaltet habe)

- Ein User ohne admin Rechte, in diesem Fall auch nicht.

Fazit: "Der goldene Schuss ist nicht mehr fern".

 

[tocotronaut]

Die Zertifikate sind zur Schadensminimierung.

Apple kann diese wiederrufen und dann Startet die Software/der Trojaner nicht mehr bzw. bei der Installation wird eine Warnung ausgegeben.

Damit soll/kann eine weitere Ausbreitung verhindert werden.

 

[Olivetti]

...und ob tatsächlich ein Mac mit verschlüsselten Dateien auftaucht.

wenn, dann ja erst heute.

 

[Hausbesetzer]

Die Zertifikate sind zur Schadensminimierung.

Apple kann diese wiederrufen und dann Startet die Software/der Trojaner nicht mehr bzw. bei der Installation wird eine Warnung ausgegeben.

Damit soll/kann eine weitere Ausbreitung verhindert werden.

Das kann unter Windows jeder bllige Virenscanner.

 

[Olivetti]

Das kann unter Windows jeder bllige Virenscanner.

zertifikate widerrufen? welcher denn?

 

[tocotronaut]

Er meint sicherlich "Warnungen ausgeben"...

 

[Hausbesetzer]

zertifikate widerrufen? welcher denn?

Bekannte malware blockieren

 

[tocotronaut]

Aber kann Windows das auch ohne Installation eines Virenscanners?
ok, der Windows Defender ist unter Win10 immer aktiv, wobei der eigentlich schon als Installierter Virenscanner gilt.

Ja, letztlich ist es eine Schadsoftware wie unter Windows auch.

Mit dem kleinen Unterschied zu Windows, dass die Verbreitung (nach einigen tagen) auf mehreren Ebenen gestoppt Wurde.

- Bereinigte Version der befallenen Software (mit automatischem Entfernungstool.)
- Gatekeeper Zertifikat Weg.
- Xprotect angepasst


Aber ich will das ganze auch nicht schönreden...

 

[kermitd]

...und ob tatsächlich ein Mac mit verschlüsselten Dateien auftaucht.

Mit einem simplen Time Machine Backup sollte jedenfalls eigentlich niemand wichtige Daten in diesem Fall verlieren...

Wer wills ausprobieren?

 

[eBär]

Besteht denn die Möglichkeit Software, welche ich aus dem Netz lade vor der Installation auf Trojaner/etc. selber zu prüfen ohne gleich einen Echtzeit Scanner auf dem OS-Device zu installieren, welcher mir die Performance nimmt?

 

[kermitd]

Aber letztlich ist die verseuchte Version von Transmission zwischen dem 28.2. und 6.3. erhältlich gewesen.
Das sind immerhin 8 Tage (wobei die Infektion laut changelog direkt am 28.2. bemerkt wurde)

Das ist glaube ich nicht richtig. Dürften nur knapp 2 Tage relevant sein.

these installers were generated and signed on the morning of March 4.

Users who have directly downloaded Transmission installer from official website after 11:00am PST, March 4, 2016 and before 7:00pm PST, March 5, 2016, may be been infected by KeRanger

 

[tocotronaut]

Besteht denn die Möglichkeit Software, welche ich aus dem Netz lade vor der Installation auf Trojaner/etc. selber zu prüfen ohne gleich einen Echtzeit Scanner auf dem OS-Device zu installieren, welcher mir die Performance nimmt?

ja, z.b. auf www.virustotal.com hochladen...

Der dienst gehört mittlerweile zu google.