KeRanger: Analyse der OS X-Ransomware zeigt Überraschendes

Weitergehende Untersuchungen der Ransomware "KeRanger", die auf Nutzer des Apple-Betriebssystems OS X abzielt, haben überraschendes zu Tage befördert. Entgegen erster Vermutungen hat die Malware ihren Ursprung nicht bei einem der zahlreichen ... mehr... Trojaner, os x, Ransomware, Erpressung, Transmission Trojaner, os x, Ransomware, Erpressung, Transmission Trojaner, os x, Ransomware, Erpressung, Transmission

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
du sollst keine fremde anhänge clicken :-)
 
@-: Gut gebrüllt, Löwe... bei einer News über KeRanger, der sich - wie man auch im Text lesen kann - über infizierte Programme verbreitet.
 
@Slurp: Eine Vielversprechende Alternative zu Abmahnungen wegen illegalen Downloads... :D
 
Einige tausend mal a 370 Euro würde ich jetzt nicht gerade als nicht erfolgreich ansehen, denn das ist auch schon mal ein ordentlicher theoretischer Betrag den man einnehmen könnte. Zumal ja gerade Mac-User noch weniger sicherheitsbedenken haben und zu einem nicht kleinen Teil sogar glauben, dass solche selbst installierte Schädlingsbefälle nicht möglich wären.
 
@Knarzi81: Also man darf auch nicht vergessen das jemand der Tausend für einen PC dieser klasse ausgibt natürlich auch für Qualitätssoftware zahlt.
 
@Alexmitter: Meinst due damit auch z. B. die Qualitätscloud mit ihrer Qualitätssicherheit? ;)))
 
@Chris Sedlmair: Natürlich, absolute Qualität.
 
Ich verstehe euch irgendwie nicht... Redet ihr über die Qualität des Open Source File-sharing-Programmes? Die ist eigentlich ganz Gut. Der Quellcode war auch zu keinem Zeitpunkt Kompromittiert. Lediglich die Binärdatei auf der Webseite wurde kurz nach Veröffentlichung durch eine verseuchte Version ausgetauscht...
 
@toco: Nein, Über Apples Unix.

ps. Auf einem Richtigen Unixoiden benutze ich Transmission gerne.
Tolles Programm.
 
@Alexmitter: Hast doch gelesen, der Schädling basiert auf servercode. Also hochwertiger geht es nicht als Software für Profiserver! Da sind die 370 Euro doch ein guter Preis.
 
@Stamfy: Ich redete über Apples Witz-Unix.
 
Es waren etwa 6500 Downloads der infizierten Binärdatei.
Verschlüsselung war erst für einige tage Später angedacht. Zu dem Zeitpunkt war das ding schon bekannt und es gab auch eine neue Version von Transmission (2.9.2), die den Schädling direkt entfernte.
 
@toco: die neue Version von Transmission entfernt die Malware nicht.
 
Es muss doch möglich seinen einen Algorithmus in ein Betriebssystem zu integrieren der massenhaftes verschlüsseln und/oder umbenennen von Dateien eines Programmes/Scriptes im Hintergund erkennt und den Zugriff sperrt bis eine Freigabe bzw. Bestätigung des Benutzers bzw. des Admins erfolgt ist.
 
Sandboxing ist als Technologie vorhanden und macht genau das... Also etwas einfacher - es sperrt einfach erstmal den zugriff auf alles ausserhalb der Sandbox. Ordner auf die das Programm zugriff haben soll müssen manuell bestätigt Werden.

Transmission nutzt aber kein Sandboxing.
 
@toco: Sandbox macht NICHT genau das. Es sperrt eine Anwendung in eine geschlossene Umgebung. Aus dieser kommt das Programm dann nicht raus. Außerdem dachte ich dass MacOS genau dieses Sandboxing bereits macht? In genau diesem Fall hätte das schon was gebracht. Aber im Fall von Locky bringt das nichts. Man will ja aus Office heraus auf seine Dokumente zugreifen können. "Transmission nutzt aber kein Sandboxing.": Entweder ALLE Programme müssen Sandboxing unterstützen, oder dieses Sicherheitsfeature ist (MacOS) oder wäre (Windows) überflüssig.
 
Natürlich ist eine Sandbox nochmal was anderes, aber das Ergebnis wäre Ähnlich wie bei deiner vorgeschlagenen Lösung. Der trojaner wär erstmal eingeschränkt und könnte nicht einfach so alles verschlüsseln was ihm unter die Finger kommt. Und Ja, Sandboxing wird in OSX unterstützt.
Alle Programme aus dem App-Store laufen in einer Sandbox. Aber für sonstige installierte Software von Drittanbietern ist die Sandbox eben (noch) nicht zwingend Vorgeschrieben. Transmission nutzt keine Sandbox.
 
@toco: Du lädst eine Datei herunter/ entpackst ein gewolltes Programm und erteilst dieser Installationsroutine das Recht auf Deine Festplatte zuzugreifen. Da ist die sandbox schon hinfällig, wie willst Du denn im Vorfeld kontrollieren ob die Installationsroutine nur das macht was Du von ihr willst oder nebenbei noch Deine Dateien verschlüsselt - welche nunmal auf demselben userspace liegen.
Kommentar abgeben Netiquette beachten!