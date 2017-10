Die Ransomware für den Mac ist rar aber nicht unmöglich. Was tun, wenn die Erpresser den Mac gesperrt haben?

Vergrößern Erste Ransomware für den Mac © Fotolia.de, akf

Dass sich Ransomware und andere Schadsoftware innerhalb einer legitimen Software versteckt, ist ein üblicher Weg. Wie aber die Urheber der von KeRanger es geschafft haben, ihre Ransomware in Transmission zu verstecken, ist nach wie vor nicht bekannt. Die Erpresser verlangen von ihren Opfern die Überweisung einer Bitcoin, die derzeit um die 400 US-Dollar wert ist.

Gegen Ransomware im Allgemeinen hilft Antivirsusoftware nicht immer zuverlässig, zu geschickt ändern die Hacker regelmäßig ihre Tarnung. Opfer eines derartigen Erpressungsversuches können aber die bei der Attacke verschlüsselten Dateien auch einfach verloren geben und sie aus ihrem Time-Machne-Backup wiederherstellen, sofern dieses aktuell ist und auf einem isolierten System vorliegt, das nicht auch Opfer der Verschlüsselung wurde. Wie Palo Alto Networks vermeldet, ist KeRanger aber auch auf Time-Machine-Backups losgegangen.

Die Methodik, mit Ransomware arglose Computernutzer zu erpressen, zieht immer weitere Kreise. Windows-Anwender mussten sich zuletzt des Angriffs durch den Virus Locky erwehren, ein Krankenhaus in Los Angeles zahlte kürzlich 17.000 US-Dollar, um seine Computersysteme wieder nutzbar zu machen. Aus Sicht der Kriminellen ist Ransomware also nicht nur einträglich, sondern auch relativ simpel: Anstatt auf dem Computer des Opfers eine Verschlüsselung zu knacken, um etwa an Bankdaten zu kommen, verschlüsselt der Angreifer seinerseits die Daten und lässt sich für Hilfestellung beim Wiederaufsperren bezahlen

Wenn es Angreifern gelingt, ihre Malware in ein an sich sauberes Programm eines zertifizierten Entwicklern zu schmuggeln, wäre es ihnen auch ein leichtes, Checksummen zu manipulieren. Anhand dieser Hash-Werte kann man ermitteln, ob eine Software manipuliert wurde und etwa darin bestimmte Dateien ausgetauscht sind. Wird aber neben der Software auch ihre Checksumme gefälscht, fällt keinem System beim Download und beim Installieren die Manipulation auf. Unser Macworld-Kollege Glenn Fleishmann rät daher zur Geduld als einzige Möglichkeit, derart geschickt versteckter Malware auszuweichen. Gerade wenn kleinere Softwarehersteller ihre Projekte aktualisieren, sollte man nicht gleich die Updates installieren. Prinzipiell sei aber der Mac App Store eine vertrauenswürdige Quelle für Software und die Sicherheitsvorkehrungen in OS X arbeiteten zuverlässig.

Niemals nachgeben: Ransomware ist auf dem Mac glücklicher Weise nicht so weit verbreitet, aber durchaus ein Problem, das man nicht ignorieren darf. Obwohl nichts bekannt ist über Einbrüche auf Apples Servern – vermutlich, weil es keine erfolgreichen gegeben hat – können Kriminelle an das Passwort für das iCloud-Konto gelangt sein. Zum Beispiel mittels eines Einbruchs bei einem anderen Dienst, auf den der Mac-Anwender leichtsinniger Weise das gleiche Passwort zu seiner iCloud-Adresse benutzt hat. Dann hilft unter Umständen auch die Zweifaktorauthentifizierung nicht weiter, weil Angreifer auch ohne den Sicherheitscode auf dem iCloud-Konto auf die Funktion "Meinen Mac finden" zugreifen und den Mac per sechsstelligen Passcode sperren können. Das lässt sich zur Erpressung nutzen, doch darf man dieser nicht nachgehen und ein Lösegeld bezahlen, denn nach der ersten Zahlung verlangen Kriminelle in der Regel immer weiter Geld. Ist man Opfer eines solchen Vorgangs geworden, hilft aber der nächste Apple Store. Dort können die Experten die Sperre aufheben, wenn man sich als legitimer Besitzer des Rechners ausgibt - also immer die Rechnung aufheben, am besten ausgedruckt. Schon vor dem Termin an der Genius Bar (oder im Genius Grove) sollte man sein iCloud-Passwort geändert haben. Und zur Sicherheit auch gleich die Zwei-Faktor-Authentifizierung einschalten, falls noch nicht geschehen. Selbst wenn das in dem speziellen Fall nicht geholfen hat.



