KeRanger: So schützen Sie Ihren Mac vor dem Erpressungstrojaner

Auf Nummer sicher gehen

Überprüfung der Systeminformationen

Falls Ihr Mac zeitweise keine automatischen Updates zugelassen hat, können Sie in den Systeminformationen zusätzlich prüfen, ob die in OS X integrierte Schutzfunktion XProtect in Ihrem System schon greift. Suchen Sie im Suchfeld des Finders nach dem Programm Systeminformationen und öffnen Sie es. Klicken Sie im linken Abschnitt auf den Eintrag Installationen. Nun sehen Sie eine Liste sämtlicher Software-Installationen. Klicken Sie rechts oben auf Installationsdatum, um die Liste nach Datum zu sortieren. Halten Sie Ausschau nach dem Eintrag für XProtectPlistConfigData. Dieses Update müsste mindestens seit dem 4. März 2016 eingespielt worden sein - dann ist die Mac-Firewall auf dem neusten Stand. In manchen Fällen kann es auch ein neueres Datum wie der 6. März sein.
Quelle: PCtipp
Hat tatsächlich eine Kontamination mit KeRanger stattgefunden, soll man nach der Anleitung von Palo Alto Networks die Mac-Aktivitätsanzeige nach dem Prozess durchsuchen und diesen in die Knie zwingen. Zuvor sollte überprüft werden, ob noch Überreste der Installation von Transmission existieren. Halten Sie im Finder Ausschau nach /Applications /Transmission.app /Contents /Resources / General.rtf oder /Volumes /Transmission /Transmission.app /Contents /Resources / General.rtf . Ist etwas davon noch vorhanden, muss die infizierte Transmission-App entfernt werden. Die Apple-Prozessanzeige bringen Sie hervor, indem Sie z.B. via Spotlight (CMD+Leertaste) kurz activity.. eintippen. Überprüfen Sie, ob ein Prozess namens kernel_service läuft. Falls ja: Analysieren Sie diesen, wählen Sie Geöffnete Dateien und Ports und prüfen Sie, ob ein Dateiname /Users//Library/kernel_service vorhanden ist. Wenn ja, handelt es sich um den KeRanger-Hauptprozess. Klicken Sie auf Beenden, Sofort Beenden. Danach wird empfohlen zu überprüfen, ob sich die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service noch im Library-Verzeichnis befinden. Falls ja, sollten diese ebenfalls nachträglich gelöscht werden. In der Library werden systemrelevante Daten und Einstellungen auf Ihrem Mac gespeichert. Um diesen Ordner kurzfristig hervorzubringen, öffnen Sie im Finder das Menü Gehe zu und drücken Sie gleichzeitig die Alt-Taste.
Seite 2/2
Auf einer Seite lesen
  1. KeRanger: So schützen Sie Ihren Mac vor dem Erpressungstrojaner
  2. Auf Nummer sicher gehen
Artikel drucken
Autor(in) Simon Gröflin
Kommentare
Avatar
Simon Gröflin
09.03.2016
Lieber EMkaEL 1. braucht es bei der automatischen installation der "systemdateien und sicherheits-updates" die eingabe eines administrator passworts oder geschieht dies unbemerkt im hintergrund? Dies geschieht m.E. automatisch im Hintergrund. Bei mir war es so, dass sich das Update eines Abends im Hintergrund eingespielt hat. Eigentlich ist die Einstellung standardmässig auf frisch aufgesetzten Macs sowieso schon aktiv. 2. ist auf dem zweiten screenshot die e-mail adresse des apple-ID inhabers ersichtlich (gewollt oder ungewollt?) Hm.. Welche E-Mail-Adresse? Meinen Namen haben viele User;) Edit: Aha.. Das war auf dem ersten Screen. Vielen Dank für den Hinweis!! 3. ist auf meinem nigelnagelneuen iMac mit allen installierten updates keine "XProtectPlistConfigData" zu finden. weshalb? Müsste eigentlich. Man sieht den Eintrag nicht immer auf Anhieb. Eventuell hilft ein nochmaliges Anklicken der Listung, sonst eventuell eine Suche mittels CMD+F nach dem Eintrag. LG Simon
Avatar
EMkaEL
09.03.2016
Dies geschieht m.E. automatisch im Hintergrund. Bei mir war es so, dass sich das Update eines Abends im Hintergrund eingespielt hat. Eigentlich ist die Einstellung standardmässig auf frisch aufgesetzten Macs sowieso schon aktiv. ok, dann werde ich dies mal auf einem mac mit einem profil ohne admin rechte aktivieren und beobachten. Edit: Aha.. Das war auf dem ersten Screen. Vielen Dank für den Hinweis!! oh, ja sorry, war auf dem ersten screen.. ^^ Müsste eigentlich. Man sieht den Eintrag nicht immer auf Anhieb. Eventuell hilft ein nochmaliges Anklicken der Listung, sonst eventuell eine Suche mittels CMD+F nach dem Eintrag. also da ist nichts zu machen, dieser eintrag erscheint nicht. es sind auch noch nicht so viele installationen, dass ich mit CMD+F suchen müsste. die OS X version ist 10.11.3. muss dazu in den sicherheitseinstellungen die firewall aktiviert sein? /edit ich habe etwas recherchiert und herausgefunden, dass die definitionsdatei für XProtect unter folgendem pfad zu finden ist: [CODE]/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist[/CODE] leider ist meine .plist datei vom 6. januar 16. ich lasse jetzt die automatischen updates aktiviert und schaue, ob sich etwas ändert.
Avatar
Simon Gröflin
10.03.2016
ok, dann werde ich dies mal auf einem mac mit einem profil ohne admin rechte aktivieren und beobachten. Wie gesagt: Wichtig ist eigentlich primär, dass (ab jetzt) beim App-Store «Systemdateien und Sicherheits-Updates» automatisch in Empfang genommen werden. Ist das eingeschaltet, was es i.d.R. ohnehin schon ist, kann nicht mehr viel passieren, falls neue Derivate dieses Trojaners im Umlauf sind. Wenn man die Einstellung bereits als Admin vorgenommen hat, müsste dies ja auch auf weitere Benutzer übertragen werden. Meinte ich zumindest.. Beste Grüsse Simon
Avatar
EMkaEL
10.03.2016
Wenn man die Einstellung bereits als Admin vorgenommen hat, müsste dies ja auch auf weitere Benutzer übertragen werden. Meinte ich zumindest.. das auf jedenfall. ich supporte einige macs und auf denen ist das automatische update jeweils deaktiviert, da die updates von den benutzern ohne admin-rechte ohnehin nicht installierbar sind. ich habe gestern abend auf meinem mac die automatischen updates deaktiviert und wieder aktiviert. heute morgen wurden dann einige system-updates unbemerkt installiert, daruntern auch "Gatekeeper Configuration Data" und "XProtectPlistConfigData"! :) da hatte wohl was geklemmt. die .plst datei hat nun das datum vom 5. märz 16. jedenfalls danke für die infos! gruss
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.