„EvilQuest“: macOS-Ransomware verschlüsselt Nutzerdaten zwecks Erpressung

IT-Experten haben eine besonders hinterhältige Schadsoftware entdeckt, die befallene Mac-Computer ausspioniert und verschlüsselt.
„EvilQuest“: macOS-Ransomware verschlüsselt Nutzerdaten zwecks Erpressung

IT-Sicherheitsexperten haben eine Ransomware entdeckt, die explizit Mac-Computer zum Ziel hat. Laut The Register hat die IT-Sicherheitsfirma Malwarebytes eine solche Erpressersoftware zuletzt vor vier Jahren gefunden – und nun wieder.
 

Die als EvilQuest bezeichnete Software verschlüsselt die Festplatte eines befallenen Macs so, dass dessen Besitzer nicht mehr auf seine Daten zugreifen kann. Stattdessen wird ein Hinweisfenster angezeigt, dass dem Nutzer erklärt, er habe keine Chance, seine Daten wiederherzustellen. Die einzige Möglichkeit, seine wichtigen Dokumente, Fotos, Videos und anderen Dateien freizubekommen sei, ein einmaliges Lösegeld in Höhe von 50 Dollor in Bitcon zu zahlen. Das Angebot sei drei Tage lang gültig.
 

Doch selbst, wenn man die geforderte Summe zahlt und die kriminellen Betreiber der Schadsoftware die Festplatte tatsächlich entschlüsseln, was in ihrem Metier keineswegs selbstverständlich ist, ist man damit nicht aus dem Schneider. Denn neben der Verschlüsselungssoftware installiert EvilQuest noch einige weitere Schädlinge, die offenbar auch nach einer Zahlung im Hintergrund ihr Unwesen treiben. Damit geht EvilQuest über andere bekannte Verschlüsselungssoftware hinaus.
 

Ein Schadsoftware-Rundumprogramm

Eine Analyse des Sicherheitsexperten Patrick Wardle zufolge sucht die Software nämlich den Rechner nach Daten mit Bezeichnungen wie wallet.pdf, wallet.png und key.png ab, wie sie von Programmen verwendet werden, mit denen man am Computer Kryptowährungen verwaltet. Ob diese Dateien auch an die Täter übermittelt werden, ist unklar. Allerdings wird zusätzlich auch noch ein sogenannter Keylogger installiert, der alle Texteingaben des Nutzers protokolliert und so beispielsweise Onlinebanking-Passworte ausspionieren könnte. Abgerundet wird das kriminelle Softwarepaket durch eine sogenannte Reverse Shell, eine Software, mit der Angreifer den Schutz einer Firewall umgehen und aus der Ferne die Steuerung des Computers übernehmen könnten. Quasi nebenbei sucht die Software den befallenen Rechner nach populären Virenschutzprogrammen ab.
 

In Raubkopien versteckt

Entdeckt wurde EvilQuest auf russischen Webseiten und in Foren, über die Raubkopien kommerzieller Software verteilt werden. Demnach hat sich der Schädling beispielsweise als Kopie der Netzwerkanalyse-Software Little Snitch, der Musiksoftware Ableton Live und der DJ-Software Mixed Key getarnt. Sicherheitsforscher Dinesh Devadoss endeckte zudem eine Version der Schadsoftware, die sich als Google-Softwareupdate ausgab. Man kann aber davon ausgehen, dass EvilQuest auch noch über illegale Kopien anderer populärer Programme verteilt wird. Wer dennoch den Fehler macht, sich aus dubiosen Quellen mit nicht lizenzierter Software zu versorgen, begibt sich in Gefahr.
 

In einem Blogpost erklärt Sicherheitsexperte Thomas Reed von Malwarebytes, dass noch ungeklärt sei, was für eine Verschlüsselung die Täter bei EvilQuest verwenden. Deshalb sei er sich nicht sicher, wie aussichtslos die Situation für Opfer dieses Schädlings ist "Es ist möglich, dass weitere Untersuchungen zu einer Methode führen, die es möglich macht, die Daten zu entschlüsseln. Es ist aber auch möglich, dass das nicht geschieht."
 

Back-ups auf der Bank

Als beste Methode, sich vor den Folgen einer Erpressersoftware zu schützen, empfiehlt Reed regelmäßige Back-ups auf mindestens zwei voneinander unabhängigen Medien. Er selbst lege solche Sicherheitskopien mit unterschiedlichen Programmen auf mehreren Festplatten an, von denen er eine in einem Bankschließfach deponiert habe. So könne er im schlimmsten Fall seine Festplatte löschen und seine Daten von einem der Back-ups wiederherstellen.
 

Um sich zu schützen, lässt sich derzeit vor allem die Empfehlung wiederholen, die Finger von illegalen Softwarekopien zu lassen, die regelmäßig von Kriminellen benutzt werden, um getarnte Schadsoftware zu verteilen. Zudem sind sowohl die Antivirensoftware Malwarebytes for Mac als auch Thomas Reeds kostenlose Schutzsoftware RansomWhere in der Lage, EvilQuest zu erkennen und dessen Ausführung zu verhindern.
 

Quelle: Spiegel.de

< Zur vorherigen News - Alle News - Zur nächsten News >

Cookie Einstellungen

Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind essenziell (z. B. für den Betrieb der Webseite oder zum Ausfüllen der Kontaktformulare), während andere uns helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können diese akzeptieren oder per Klick auf die Schaltfläche "Einstellungen individuell anpassen" diese einstellen. Diese Einstellungen können Sie jederzeit aufrufen und Cookies auch nachträglich abwählen (z. B. im Fußbereich unserer Website). Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen. Nähere Hinweise erhalten Sie in unserer Datenschutzerklärung.
Impressum Datenschutz
Einstellungen individuell anpassen
Alle akzeptieren

Cookie Einstellungen

Hier finden Sie eine Übersicht aller verwendeten Cookies. Sie können Ihre Zustimmung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.
Alle akzeptieren
Einstellungen speichern & schließen
Zurück
Essenziell (1)

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Name
Drupal CMS
Anbieter
Drupal CMS
Zweck
Drupal verwendet diesen Cookie, um anzuzeigen, ob der Browser des Besuchers JavaScript aktiviert hat oder nicht.
Datenschutzerklärung
Cookie Name
hide_cookie
Laufzeit
Bis zum Beenden der Browsersitzung
Externe Medien (1)

Inhalte von Chatplatformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Zustimmung mehr.

Akzeptieren
Name
Userlike
Anbieter
Userlike
Zweck
Wird verwendet, um Userlike LiveChat-Inhalte zu entsperren.
Datenschutzerklärung
https://www.userlike.com/de/terms#privacy-policy
Cookie Name
_infoserve_cookie_lc
Laufzeit
1 Monat

Hilfe per Livechat

Gerne helfen wir Ihnen per Livechat weiter. Dazu verwenden wir den Chat-Dienst Userlike. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Um den Chat nutzen zu können, akzeptieren Sie bitte die Cookies der Kategorie 'Externe Medien' .

Chat Button