Dilettantische Ransomware für macOS hat es auf Raubkopierer abgesehen

Es darf wieder vor einer Malware, genauer gesagt einer Ransomware, gewarnt werden. Diese gibt diesmal nicht vor, den Flash-Player zu aktualisieren, sondern hat eine andere Zielgruppe: Raubkopierer. Die Software gibt vor, Adobe Premiere Pro CC 2017 und Office 2016 cracken zu können, um sie illegal nutzen zu können. Aber stattdessen werden alle Daten verschlüsselt und die Originale entsorgt.

Ransomware ist „kein Meisterwerk“

Marc-Etienne M. Léveillé von ESET berichtet über den Fund der neuen Ransomware. Sie verbreitet sich über Bittorrent und verspricht, die Kopierschutzmaßnahmen teurer, kommerzieller Software zu entfernen, via Crack oder Patch. Nach dem Aufruf verschlüsseln die Programme die Benutzerdaten und löschen die Originale. Lediglich eine Readme-Datei und der verschlüsselte Container bleibt übrig.

Malware-Patcher für Adobe Premiere Pro CC 2017 und Microsoft Office, Bild: Marc-Etienne M. Léveillé / ESET

In der Readme-Datei heißt es dann, dass die eigenen Daten verschlüsselt wurden. Wenn man sie wiederhaben wolle, solle man 0,25 Bitcoins (etwa 270 Euro) an eine bestimmte Adresse überweisen, dann sollen die Daten innerhalb einer Woche wieder freigegeben werden. Ein weiterer Tarif sieht vor, dass man 0,45 Bitcoins bezahlt (ca. 484 Euro), dann geschehe das innerhalb von 10 Minuten.

Fake-Patcher aufgerufen, Bild: Marc-Etienne M. Léveillé / ESET

Pfuscher am Werk

Wie Léveillé von ESET schreibt, ist die Ransomware nicht besonders gut programmiert worden. Sie wurde in Swift geschrieben und hat eine Menge Bugs. Allerdings funktioniert sie gut genug, um die Daten des Nutzers zu vernichten. Denn selbst wenn man die geforderte Überweisung tätigt, wird eine Entschlüsslung wohl nicht stattfinden.

Die Software erstellt einen Container, der mit einer 25-stelligen zufällig generierten Zeichenkombination verschlüsselt wird, kopiert alle gefundenen Daten in den Container und löscht die Originale. Anschließend versucht sie, mit dem Festplattendienstprogramm den freien Speicher auf dem Mac zu löschen, verwendet dafür jedoch den falschen Pfad.

Zu allem Überfluss wird man durch die Zahlung seine Daten auch nicht zurückerhalten, denn es gibt in dem „Patcher“ keine Routine, die die zufällige Kombination, die zum Entschlüsseln benötigt wird, irgendwo hin sendet. Insofern ist davon auszugehen, dass auch der Autor keine Möglichkeit zur Entschlüsselung hat. ESET hat sich zudem mal das Bitcoin-Wallet angesehen. Da jedes Opfer dieselbe Readme-Datei bekommt, kann man ziemlich sicher davon ausgehen, dass noch keiner das Lösegeld gezahlt hat.

ESET empfiehlt, seine wichtigen Daten generell und unabhängig von Ransomware an einem zweiten Ort aufzubewahren. Und nur falls sich das jemand ernsthaft fragt: Den Kopierschutz von Premiere Pro oder Office 2016 kann die Software auch nicht wegpatchen.

OS X / macOS / Malware
[apfelnews.de] · 22.02.2017 · 21:11 Uhr
[0 Kommentare]
 
Tesla-Wald in Aufruhr: Kampf gegen Gigafactory-Erweiterung
Trotz strikter Polizeiauflagen: Tesla-Gegner von Grünheide halten stand und weigern sich, zu […] (00)
Ukiyo-e: In japanischen Holzschnitten stöbern
Berlin (dpa/tmn) - Ukiyo-e ist ein Stil des japanischen Farbholzschnitts und der Malerei, […] (00)
Der „Sandkasten“ von Cities: Skylines II wird größer: Die Beach Properties-Modding Beta startet bald
Paradox Interactive und Colossal Order gaben heute bekannt, dass Cities: Skylines II, die […] (00)
Trump-Comeback? Deutsche Wirtschaft bleibt cool
Unter der Oberfläche der Politik: Deutsche Unternehmen navigieren geschickt durch das Trump- […] (00)
GB News verstößt gegen Unparteilichkeit
Eine Reihe von Ofcom-Untersuchungen kam zu dem Schluss, dass fünf Sendungen in den GB-Nachrichten, in […] (00)
King Charles: Kehrt er rechtzeitig ins Rampenlicht zurück?
(BANG) - König Charles hofft, dass er pünktlich zur diesjährigen ‚Trooping of the Colour‘- […] (01)
 
 
Suchbegriff

Diese Woche
19.03.2024(Heute)
18.03.2024(Gestern)
Letzte Woche
Vorletzte Woche
Top News