Patrick Wardle, ehemaliger Sicherheitsexperte der NSA und heute Forschungsleiter beim Crowd-Security-Intelligence-Unternehmen Synack, hat eine Software für Mac entwickelt, die vor Ransomware schützen soll. Das Programm namens RansomWhere? verfolgt einen universellen Ansatz und soll sich damit zur Abwehr bekannter und unbekannter Bedrohungen eignen.
„Dieses Tool versucht [Ransomware-Angriffe] generell zu verhindern, indem es nicht vertrauenswürdige Prozesse erkennt, die persönliche Dateien verschlüsseln“, schreibt Wardle in seinem Blog Objective-See. „Sobald ein solcher Prozess erkannt wurde, stoppt RansomWhere? diesen Prozess umgehend und zeigt dem Nutzer eine Warnmeldung an.“
Falls es sich tatsächlich um eine schädliche Ransomware handelt, kann der Anwender den Prozess endgültig abbrechen, wie Wardle weiter erklärt. Handle es sich hingegen um einen Fehlalarm, lasse sich der Prozess fortsetzen.
Die Zahl der sogenannten False Positives soll jedoch sehr gering sein, weil RansomWhere? ausschließlich von Apple und nicht von Mac-App-Entwicklern signierten Binärdateien traut. Gleiches gilt für Anwendungen, die bereits bei seiner Installation auf dem System vorhanden waren.
Diese Umsetzung bietet Vor- und Nachteile: Zum einen sorgt sie für weniger Fehlalarme. Zum anderen könnte jedoch Ransomware unentdeckt bleiben, die schon länger auf dem System vorhanden, aber noch nicht aktiv geworden ist.
Wardle räumt in seinem Blog noch einige andere Einschränkungen seiner Sicherheitssoftware ein. Da sie Ransomware an Prozessen zur schnellen Verschlüsselung von Dateien erkenne, könne es vorkommen, dass zunächst einige Dateien (im Idealfall zwei bis drei) tatsächlich verschlüsselt würden, ehe sie anschlägt. Zudem sei die Überwachung auf Nutzerverzeichnisse beschränkt. Natürlich sei es auch möglich, das Schutzprogramm mittels offizieller Zertifikate oder Code-Injektion zu umgehen.
ZDNet.com hat Wardles Tool einem Kurztest unterzogen. In diesem war es in der Lage, die Anfang März entdeckte Ransomware KeRanger, die als erste voll funktionsfähige Erpressersoftware für OS X gilt, zu erkennen und sie davon abzuhalten, Dateien zu verschlüsseln.
KeRanger verbreitete sich über einen manipulierte BitTorrent-Client, der mit einem gültigen Mac-App-Entwickler-Zertifikat signiert war. Auf diese Weise konnte sie Apples Gatekeeper-Schutz umgehen. Danach wartete KeRanger drei Tage, bis sie sich über das Tor-Netzwerk mit einem Befehlsserver verband. Anschließend verschlüsselte sie bestimmte Dateiarten und forderte wie für diese Art Malware üblich ein Lösegeld in Höhe von einem Bitcoin (rund 400 Dollar).
In seinem Blog gibt Wardle auch einen Überblick über Proof-of-Concepts von Sicherheitsforschern und andere Schadsoftware für OS X, die Ransomware-Taktiken verfolgen. Dazu zählen Programme wie die FBI-Ransomware, die lediglich den Zugriff auf den Browser blockiert, bis hin zur Erpressersoftware GinX, die ihrem Autor zufolge wie KeRanger Dateien auf einem Mac verschlüsseln kann.
[mit Material von Adrian Kingsley-Hughes, ZDNet.com]
Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…