34755728647
AVG Signal-Blog Sicherheit Ransomware Das vollständige Handbuch zu Mac-Ransomware und wie man sie verhindert
Mac_Ransomware_is_Real_Hero

Verfasst von Clayton Weeks
Veröffentlicht am March 19, 2018

Was ist Mac-Ransomware?

Ransomware ist eine Art von bösartiger Software, die so lange den Zugriff auf Ihren Computer oder bestimmte Dateien blockiert, bis Sie Geld dafür bezahlt haben. Mac-Ransomware ist einfach Ransomware, die Apple-Desktops und -Laptops angreift. (Ja, auch Macs müssen vor Malware geschützt werden). Mac-Ransomware ist zwar zurzeit weniger weit verbreitet als Varianten, die Windows-Computer angreifen, sie ist jedoch in jeder Hinsicht genauso scheußlich.

Dieser Artikel enthält:

    Ransomware-Statistik: 15 Billionen Hotdogs pro Jahr

    Ransomware wird voraussichtlich bis 2021 Schäden in Höhe von 6 Billionen USD jährlich anrichten. Das ist eine Menge Geld – und Hotdogs. Ein Zehnerpack Würste kostet etwa 4 Dollar. Für 6 Billionen könnten Sie also 15 Billionen Hotdogs kaufen. Diese 15 cm langen Würste wären aneinander gelegt 2,25 Millionen Kilometer lang – fast sechsmal die Entfernung zum Mond.

    Ransomware soll bis 2021 6 Billionen Dollar Schaden verursachen

    Die überwiegende Mehrheit der Opfer von Ransomware waren Windows-Benutzer. (Lesen Sie hier mehr über PC-Ransomware.) Aber die Dinge ändern sich. Android-Ransomware und Mac-Ransomware existieren leider auch. Tatsächlich wird mit einer Zunahme von Mac-Ransomware und anderer lösegeldbasierter Angriffe auf Mac-Benutzer gerechnet.

    Und jeder, der Windows auf einem Mac ausführt (über Boot Camp, Parallels, etc.), ist genauso anfällig für PC-basierte Malware und Ransomware wie jemand, der Windows auf einem PC nutzt. Wenn Sie also Windows auf Ihrem Mac verwenden, stellen Sie sicher, dass Sie es auf dem neuesten Stand halten. (Und denken Sie daran, dass Microsoft Windows XP oder Windows Vista nicht mehr offiziell unterstützt und dass Sicherheitsupdates für Windows 7 im Januar 2020 enden. Wenn Sie also immer noch eine dieser Versionen verwenden, sollten Sie ein Upgrade durchführen.)

    Geschichte der lösegeldbasierten Angriffe auf Macs bisher

    Bei der Geschwindigkeit, mit der sich Technologie weiterentwickelt, würden Sie erwarten, dass tonnenweise Mac-Ransomware-Varianten herumschwirren. Glücklicherweise ist das nicht der Fall. Tatsächlich gab es nur einige wenige Ransomware-Angriffe: Patcher und KeRanger. Es kam zu einigen anderen lösegeldbasierten Angriffen, aber sie verwendeten keine Ransomware an sich. Der Vollständigkeit halber seien aber auch diese hier genannt.

    FBI Ransom (entdeckt 2013)

    Dieser browserbasierte Angriff war technisch gesehen keine Ransomware, da keine Malware auf den Macs installiert wurde. Aber es wurde Lösegeld verlangt.

    Einige Schlauberger verschafften sich mit etwas Social Engineering und JavaScript die Kontrolle über Mac-Browser. Dabei leiteten bösartige Links die Nutzer zu der folgenden Seite weiter:

    Screenshot der FBI Ransomware-Webseite.

    Oh nein! Das falsche FBI fordert echtes Geld.

    Wirklich lustig wurde es, als die Benutzer versuchten, die Seite zu schließen. Denn das ging nicht. Jedes Mal, wenn sie dies versuchten, wurde dieses lästige Popup angezeigt:

    Screenshot der FBI Ransomware-Popup-Meldung, die anzeigt, dass der Browser des Opfers gesperrt ist.

    Du kannst nicht vorbei!

    Safari herunterzufahren war wirkungslos, denn beim Neustart von Safari werden immer alle vorherigen Registerkarten wieder geöffnet – in diesem Fall auch die mit dem bösen Lösegeld-Popup. Es schien kein Entrinnen zu geben...

    Um das Problem zu beheben, mussten die Betroffenen entweder Safari zurücksetzen (wodurch alle ihre Einstellungen verloren gingen) oder Safari über das Apple-Menü beenden und dann bei gedrückter Shift-Taste neu starten, wodurch Safari geöffnet wurde, ohne die zuvor geöffneten Registerkarten zu laden. Da keine bösartige Software installiert wurde, war der Mac in Ordnung, sobald die bösartige Seite geschlossen wurde.

    FileCoder (entdeckt im März 2014)

    Forscher fanden dieses Beispiel für Mac-Ransomware bereits im März 2014. Aber der Code war unvollständig. Der Autor hat ihn, aus welchem Grund auch immer, nie fertig geschrieben. Tatsächlich lag er bereits seit zwei Jahren herum, als die Forscher ihn fanden – das heißt, er wurde bereits 2012 entwickelt. So ist es – Mac-Ransomware geht bis mindestens 2012 zurück. (Zum Vergleich: Der erste Ransomware-Angriff auf Windows war der AIDS-Trojaner von 1989.)

    Oleg Pliss (entdeckt im Mai 2014)

    Bei diesem Angriff wurde keine echte Ransomware verwendet. Stattdessen benutzte ein Hacker geleakte Passwörter, um iCloud-Benutzer aus ihren eigenen Konten und Geräten auszusperren. Sobald er in die Konten der Opfer eingedrungen war, nutzte der Hacker die Apple-Funktion „Meinen Mac/Mein iPhone finden“, um die iPhones, iPads und Macs von Personen aus der Ferne zu sperren und dann Geld zu verlangen, um sie freizuschalten. Der Hacker hatte auch die Möglichkeit, die Geräte aus der Ferne zu löschen.

    „Bye bye, apps! Bye bye, photographs! Hello, loneliness. I think I’m gonna cry.“

    Screenshot der Lösegeldforderung von Oleg Pliss auf einem iPhone-Sperrbildschirm.

    „Ich hier schreiben. Du Geld geben.“

    Glücklicherweise ist es einfach, iCloud-Hacks wie diese zu verhindern: Sie müssen nur dieZwei-Faktor-Authentifizierung einrichten. Danach können Hacker nicht mehr auf Ihr Konto zugreifen – auch wenn sie Ihr Passwort haben. Das Spiel ist aus, Oleg.

    KeRanger (entdeckt im März 2016)

    KeRanger hat über eine infizierte Version (2.90) von Transmission, einem beliebten BitTorrent-Client für Mac-Anwender, mehr als 7.000 Mac-Anwender aufs Kreuz gelegt. Diese bösartige Version stand vom 4. bis 5. März 2016 auf der Transmission-Website zum Download bereit, und laut Transmission-Projekt haben ahnungslose Nutzer sie etwa 6.500 Mal heruntergeladen. Da sie mit einem legitimen Entwicklerzertifikat signiert war, konnten Mac-Anwender sie installieren, ohne die integrierte Sicherheit von macOS auszulösen. Und das war das Ergebnis:

     Screenshot der KeRanger-Lösegeldanweisungen zum Entschlüsseln von Dateien.

    Oh, sieh mal. Eine Entschlüsselung ist GRATIS!

    Apple widerrief bald das Zertifikat, und die bösartige Version wurde von der Transmission-Website entfernt.

    Patcher (entdeckt im Februar 2017)

    Patcher (auch bekannt als FindZip) wurde über BitTorrent heruntergeladen und war eine Form von Ransomware, die als Patcher für beliebte Anwendungen wie Microsoft Office und Adobe Premiere Pro getarnt war. Echte Patcher sind Software, die entwickelt wurde, um „Patches“ (z.B. App-Updates oder Fixes) bereitzustellen. Aber dieser Patcher war ein übler Stinker, der Dateien dauerhaft verschlüsselte.

    Wenn Patcher ausgeführt wurde, begann er mit der Verschlüsselung von Dateien in den /Users-Verzeichnissen und von Dateien in gemounteten oder externen Laufwerken mit /Volumes-Verzeichnissen. Eine Lösegeldforderung mit den Namen „README.txt“ oder „DECRYPT!.txt“ wurde auf dem Desktop hinzugefügt und forderte 0,25 Bitcoin (ca. 300 $).

    Das Traurige an Patcher war, dass es schlecht kodiert war und nicht mit seinen Steuerservern kommunizieren konnte. Wegen ihrer Patzer hatten die Hacker keine Möglichkeit, den Entschlüsselungsschlüssel zu senden. Anders ausgedrückt: Selbst wenn sie das Lösegeld gezahlt hatten, bekamen die Benutzer ihre Dateien nie wieder zurück. Jeder Mac-Benutzer, der von Patcher betroffen war, hatte somit leider Pech gehabt.

    Die gute Nachricht war, dass Patcher sehr einfach zu entfernen war: Es genügte, die gefälschten Adobe Premiere- und Microsoft Office Patcher-Anwendungen zu löschen. Es mussten keine weiteren Dateien gelöscht werden, die Beseitigung war also ein Kinderspiel.

    Wie verhindere ich Ransomware-Angriffe auf meinen Mac?

    Es sind vielleicht keine Hotdogs, und sie sehen vielleicht nicht aus wie Kevin Spacey, aber auf Ihrem Mac gibt es bestimmt Dinge, die Sie schützen möchten: unersetzbare Familienfotos, peinliche Popmusik, wichtige Steuerdokumente... Wenn Sie nicht gerade haufenweise Geld herumliegen haben und es nicht erwarten können, es Hackern in den Rachen zu schütten, tun Sie gut daran, diese einfachen Tipps zu befolgen, damit Sie es gar nicht erst mit Ransomware zu tun bekommen. Denn wie man so schön sagt: Vorbeugen ist besser als Heilen.

    • Halten Sie Ihren Mac-Computer auf dem neuesten Stand:
      Veraltete Software ist wie verfaultes Holz: schwach und voller Löcher, die Ungeziefer hereinlassen. Updates können diese Lücken schließen und es Malware erschweren, einen Zugang zu finden. Achten Sie daher darauf, sowohl Ihr Betriebssystem als auch Ihre Anwendungen regelmäßig zu aktualisieren.

    • Seien Sie vorsichtig, was Sie installieren oder worauf Sie klicken:
      Das sollten Sie inzwischen wissen. Wenn Sie eine E-Mail von jemandem erhalten, den Sie nicht kennen – oder eine verdächtige E-Mail von jemandem, den Sie kennen – öffnen Sie keine Anhänge und klicken Sie nicht auf Links. Auf diese Weise könnten Sie infiziert werden.

    • Installieren Sie Apps nur von offiziellen Seiten oder im Mac App Store:
      Die Installation von Software aus nicht vertrauenswürdigen Quellen ist riskant, da Sie nicht sicher sein können, was Sie erhalten. Torrent-Software könnte z. B. mit Ransomware gebündelt werden. Es ist sicherer, sich an offizielle Websites oder den App Store zu halten.

    • Führen Sie regelmäßig Backups durch:
      Sichern Sie Ihre Daten auf einer externen Festplatte und trennen Sie diese anschließend von Ihrem Mac. Wenn Ihr Mac mit Ransomware infiziert wird, kann sie diese unverbundenen Backups nicht verschlüsseln. Sobald Sie die Ransomware sicher entfernt haben, führen Sie einen vollständigen Mac-Scan durch, um sicherzustellen, dass nichts Zweifelhaftes mehr im Verborgenen lauert, und schließen Sie dann Ihr Backup-Laufwerk wieder an, um Ihre Dateien wiederherzustellen.

    Wie entferne ich Mac-Ransomware?

    Wenn Sie mit Ransomware infiziert sind: Keine Panik. Und was immer Sie tun: Zahlen Sie das Lösegeld nicht. Es gibt keine Garantie, dass Sie dadurch Ihre Dateien zurückbekommen, und es befähigt Hacker nur, ihre Angriffe fortzusetzen.

    Um die Ransomware zu entfernen, stellen Sie sicher, dass Sie die neueste Version von AVG AntiVirus für Mac haben, und führen Sie einen Deep Scan aus. (Klicken Sie auf das Zahnradsymbol neben der Schaltfläche „Scan Mac“ und wählen Sie dann „Deep Scan“ aus den Scanoptionen.) Wenn es sich um eine bekannte Variante der Ransomware handelt, sollte der Antivirus sie entfernen.

    Und was ist mit Ihren verschlüsselten Dateien? Wenn Sie ein PC-Benutzer sind, haben Sie vielleicht Glück. Schauen Sie sich unsere kostenlosen Ransomware-Entschlüsselungstools für Windows an. Als Mac-Benutzer haben Sie jedoch kaum Möglichkeiten, ausgenommen die Wiederherstellung aus einem Backup. (Deshalb sollten Sie grundsätzlich und immer Backups Ihres Computers erstellen und das Backup-Laufwerk entfernen, wenn Sie fertig sind.) Achten sie unbedingt darauf, dass Sie die Ransomware löschen, bevor Sie Ihre Dateien wiederherstellen, sonst infizieren Sie wahrscheinlich auch Ihr Backup-Laufwerk.

    Und nochmals zum Schluss: Zahlen Sie kein Lösegeld!

    MAC

    Schutz für Ihr Android-Gerät mit AVG AntiVirus

    Kostenlose Installation

    Schutz für Ihr iPhone mit AVG Mobile Security

    Kostenlose Installation
    Ransomware
    Sicherheit
    Clayton Weeks
    19-03-2018