• De Deutsch
  • Fr
  • En
  • Bg
  • Es

Schutz vorm Erpressungs-Trojaner KeRanger

Freitag, 08. April 2016, 09:30 Uhr
So schützen Sie sich vor dem Trojaner KeRanger

Mit dem Erpressungs-Trojaner KeRanger zielt zum ersten Mal eine funktionstüchtige Ransomware auf Nutzer von OS-X ab. Ist der Mac erstmal infiziert, bleiben dem Nutzer noch drei Tage, bevor das schädliche Programm alle Dokumente auf dem Mac verschlüsselt. Nutzer sollten also schnell prüfen, ob sie betroffen sind und ggf. Gegenmaßnahmen einleiten.

Wie das Programm den Computer befällt

Der Trojaner führte seine Infektion bisher über einen BitTorrent-Client namens Transmission aus. Die Angreifer haben sich dafür vermutlich einen Zugriff auf den Server verschafft, über den das Programm verteilt wird. Sie ersetzten dabei die normale Version von Transmission 2.90 durch eine Version, die sie zuvor manipuliert hatten. Diese wurde mittlerweile rund 6.500 Mal heruntergeladen. Drei Tage nach der Infektion fängt die Malware an, die Dokumente des Nutzers zu verschlüsseln. Als Lösegeld fordern die Erpresser einen Bitcoin vom Nutzer, dass sind derzeit rund 380 Euro. Man vermutet, dass das Programm künftig auch andere Wege nutzen könnte, um den Mac zu infizieren.

XProtect sollte verwendet werden

OS X beinhaltet die integrierte Schutzfunktion mit dem Namen XProtext, die mittlerweile um Informationen zu dem aktuellen Schadprogramm ergänzt wurde. Beim Öffnen von Transmission weißt ein Dialog auf die Infizierung hin und schlägt vor, dass das Programm in den Papierkorb verschoben werden sollte, damit es auf dem Computer keinen schaden mehr anrichten kann. Ob XProtect die Aktualisierungen automatisch abruft, ist abhängig von der gewählten Einstellung. Jeder Nutzer sollte deshalb prüfen, ob die Malware-Liste von Apple auf dem Computer aktuell ist. Das geht am einfachsten über das Programm mit dem Namen "Systeminformationen", welches man unter den Dienstprogrammen findet. Die Dienstprogramme findet man im Ordner der allgemeinen Programme. Bei den Systeminformationen lässt man zunächst die Liste nach Installationsdatum sortieren. Hier sollte ein Update für "XProtectPlistConfigData" vorhanden sein, dass jünger als der 4. März 2016 ist. Wenn das Update nicht vorhanden ist, sollte man prüfen, ob die automatische Suche nach Updates und deren Installation aktiviert sind. Musste man diese beiden Punkte erst aktivieren, kann ein bisschen Zeit vergehen, bis das Update geladen wird. Viele Nutzer werden diese Funktion erst vor Kurzem deaktiviert haben, denn es konnten schädliche Updates installiert werden. Die Sicherheitsupdates können manuell durch die Terminaleingabe "sudo softwareupdate --background-critical" ausgelöst werden.

KeRanger erfolgreich bekämpfen

Die Aktivitätsanzeige kann dem Nutzer verraten, ob der Computer bereits vom Trojaner infiziert wurde. Wenn im Register "CPU" ein Prozess mit dem Namen "kernel_service" vorhanden ist, sollte man diesen unverzüglich beenden. Zudem sollte man bei einer Infizierung ein Backup auf ein externes Medium machen und dieses vom Mac trennen. Die Infektion durch das Schadprogramm wäre wohl von keinem Anti-Viren-Programm verhindert worden. Diese Programme können nur auf bereits bekannte Probleme reagieren und erkennen die gefährliche Software nicht schon bei den ersten Infizierungen


Dieser Artikel wurde eingeordnet unter: Trojaner, KeRanger, Schutz und XProtect
Facebook logo
Werde ein Fan auf