Tipps & Tricks 09.03.2016, 10:26 Uhr

KeRanger: So schützen Sie Ihren Mac vor dem Erpressungstrojaner

Erstmals macht ein Verschlüsselungstrojaner für das Mac-Betriebssystem die Runde. So überprüfen Sie, ob Ihre Schutzeinstellungen auf dem neusten Stand sind.
Eine neue Schad-Software namens KeRanger sorgt für Aufregung. Erstmals in der Geschichte ist eine sogenannte Ransomware bzw. ein Erpressungstrojaner in der Lage, Dateien auf einem Mac-Rechner zu verschlüsseln. Das Risiko ist zwar gering, dass Sie just dieser verseuchten Datei zum Opfer gefallen sind, dennoch raten wir Ihnen vor allem zu überprüfen, ob Ihr Mac die neusten Sicherheits-Updates in Empfang nimmt.

Was ist KeRanger?

Nach der Infektion soll KeRanger gemäss den Sicherheitsforschern von Palo Alto Networks sich etwa drei Tage Zeit genehmigen und dann über Server des Tor-Netzwerks Kontakt aufnehmen. Danach beginnt die Malware, bestimmte Dokumente zu verschlüsseln. Opfer erhalten ein Erpresserschreiben mit einer Zahlungsaufforderung auf dem Terminal des Rechners. Infizieren mit KeRanger kann man sich unter Umständen mit dem Installer der Anwendung «Transmission» in der Version 2.90. Transmission ist ein BitTorrent-Programm, dessen Hersteller mittlerweile die befallene Version von der Webseite entfernt hat. Eine erneute Kontamination mit dem Schädling ist bis auf Weiteres nicht mehr möglich. Zumindest hat Apple inzwischen die in OS X integrierte Firewall XProtect um das Schadprotokoll von KeRanger ergänzt. So sollte beim Öffnen eines verseuchten Installationspakets ab sofort eine Warnmeldung darauf hinweisen, dass der Computer damit befallen werden könnte.
Damit Mac OS X die Schad-Software-Signaturen nachlädt, müssen folgende Einstellungen im Mac App Store aktiviert sein:
Quelle: PCtipp
Öffnen Sie die Systemeinstellungen, dann den App Store und prüfen Sie, ob die Einträge «Automatisch nach Updates suchen» sowie «Systemdateien und Sicherheits-Updates installieren» angehakt sind.
Nächste Seite: Auf Nummer sicher gehen

Autor(in) Simon Gröflin



Kommentare
Avatar
Simon Gröflin
09.03.2016
Lieber EMkaEL 1. braucht es bei der automatischen installation der "systemdateien und sicherheits-updates" die eingabe eines administrator passworts oder geschieht dies unbemerkt im hintergrund? Dies geschieht m.E. automatisch im Hintergrund. Bei mir war es so, dass sich das Update eines Abends im Hintergrund eingespielt hat. Eigentlich ist die Einstellung standardmässig auf frisch aufgesetzten Macs sowieso schon aktiv. 2. ist auf dem zweiten screenshot die e-mail adresse des apple-ID inhabers ersichtlich (gewollt oder ungewollt?) Hm.. Welche E-Mail-Adresse? Meinen Namen haben viele User;) Edit: Aha.. Das war auf dem ersten Screen. Vielen Dank für den Hinweis!! 3. ist auf meinem nigelnagelneuen iMac mit allen installierten updates keine "XProtectPlistConfigData" zu finden. weshalb? Müsste eigentlich. Man sieht den Eintrag nicht immer auf Anhieb. Eventuell hilft ein nochmaliges Anklicken der Listung, sonst eventuell eine Suche mittels CMD+F nach dem Eintrag. LG Simon

Avatar
EMkaEL
09.03.2016
Dies geschieht m.E. automatisch im Hintergrund. Bei mir war es so, dass sich das Update eines Abends im Hintergrund eingespielt hat. Eigentlich ist die Einstellung standardmässig auf frisch aufgesetzten Macs sowieso schon aktiv. ok, dann werde ich dies mal auf einem mac mit einem profil ohne admin rechte aktivieren und beobachten. Edit: Aha.. Das war auf dem ersten Screen. Vielen Dank für den Hinweis!! oh, ja sorry, war auf dem ersten screen.. ^^ Müsste eigentlich. Man sieht den Eintrag nicht immer auf Anhieb. Eventuell hilft ein nochmaliges Anklicken der Listung, sonst eventuell eine Suche mittels CMD+F nach dem Eintrag. also da ist nichts zu machen, dieser eintrag erscheint nicht. es sind auch noch nicht so viele installationen, dass ich mit CMD+F suchen müsste. die OS X version ist 10.11.3. muss dazu in den sicherheitseinstellungen die firewall aktiviert sein? /edit ich habe etwas recherchiert und herausgefunden, dass die definitionsdatei für XProtect unter folgendem pfad zu finden ist: [CODE]/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist[/CODE] leider ist meine .plist datei vom 6. januar 16. ich lasse jetzt die automatischen updates aktiviert und schaue, ob sich etwas ändert.

Avatar
Simon Gröflin
10.03.2016
ok, dann werde ich dies mal auf einem mac mit einem profil ohne admin rechte aktivieren und beobachten. Wie gesagt: Wichtig ist eigentlich primär, dass (ab jetzt) beim App-Store «Systemdateien und Sicherheits-Updates» automatisch in Empfang genommen werden. Ist das eingeschaltet, was es i.d.R. ohnehin schon ist, kann nicht mehr viel passieren, falls neue Derivate dieses Trojaners im Umlauf sind. Wenn man die Einstellung bereits als Admin vorgenommen hat, müsste dies ja auch auf weitere Benutzer übertragen werden. Meinte ich zumindest.. Beste Grüsse Simon

Avatar
EMkaEL
10.03.2016
Wenn man die Einstellung bereits als Admin vorgenommen hat, müsste dies ja auch auf weitere Benutzer übertragen werden. Meinte ich zumindest.. das auf jedenfall. ich supporte einige macs und auf denen ist das automatische update jeweils deaktiviert, da die updates von den benutzern ohne admin-rechte ohnehin nicht installierbar sind. ich habe gestern abend auf meinem mac die automatischen updates deaktiviert und wieder aktiviert. heute morgen wurden dann einige system-updates unbemerkt installiert, daruntern auch "Gatekeeper Configuration Data" und "XProtectPlistConfigData"! :) da hatte wohl was geklemmt. die .plst datei hat nun das datum vom 5. märz 16. jedenfalls danke für die infos! gruss