„EvilQuest“: macOS-Ransomware verschlüsselt Nutzerdaten zwecks Erpressung
IT-Sicherheitsexperten haben eine Ransomware entdeckt, die explizit Mac-Computer zum Ziel hat. Laut The Register hat die IT-Sicherheitsfirma Malwarebytes eine solche Erpressersoftware zuletzt vor vier Jahren gefunden – und nun wieder.
Die als EvilQuest bezeichnete Software verschlüsselt die Festplatte eines befallenen Macs so, dass dessen Besitzer nicht mehr auf seine Daten zugreifen kann. Stattdessen wird ein Hinweisfenster angezeigt, dass dem Nutzer erklärt, er habe keine Chance, seine Daten wiederherzustellen. Die einzige Möglichkeit, seine wichtigen Dokumente, Fotos, Videos und anderen Dateien freizubekommen sei, ein einmaliges Lösegeld in Höhe von 50 Dollor in Bitcon zu zahlen. Das Angebot sei drei Tage lang gültig.
Doch selbst, wenn man die geforderte Summe zahlt und die kriminellen Betreiber der Schadsoftware die Festplatte tatsächlich entschlüsseln, was in ihrem Metier keineswegs selbstverständlich ist, ist man damit nicht aus dem Schneider. Denn neben der Verschlüsselungssoftware installiert EvilQuest noch einige weitere Schädlinge, die offenbar auch nach einer Zahlung im Hintergrund ihr Unwesen treiben. Damit geht EvilQuest über andere bekannte Verschlüsselungssoftware hinaus.
Ein Schadsoftware-Rundumprogramm
Eine Analyse des Sicherheitsexperten Patrick Wardle zufolge sucht die Software nämlich den Rechner nach Daten mit Bezeichnungen wie wallet.pdf, wallet.png und key.png ab, wie sie von Programmen verwendet werden, mit denen man am Computer Kryptowährungen verwaltet. Ob diese Dateien auch an die Täter übermittelt werden, ist unklar. Allerdings wird zusätzlich auch noch ein sogenannter Keylogger installiert, der alle Texteingaben des Nutzers protokolliert und so beispielsweise Onlinebanking-Passworte ausspionieren könnte. Abgerundet wird das kriminelle Softwarepaket durch eine sogenannte Reverse Shell, eine Software, mit der Angreifer den Schutz einer Firewall umgehen und aus der Ferne die Steuerung des Computers übernehmen könnten. Quasi nebenbei sucht die Software den befallenen Rechner nach populären Virenschutzprogrammen ab.
In Raubkopien versteckt
Entdeckt wurde EvilQuest auf russischen Webseiten und in Foren, über die Raubkopien kommerzieller Software verteilt werden. Demnach hat sich der Schädling beispielsweise als Kopie der Netzwerkanalyse-Software Little Snitch, der Musiksoftware Ableton Live und der DJ-Software Mixed Key getarnt. Sicherheitsforscher Dinesh Devadoss endeckte zudem eine Version der Schadsoftware, die sich als Google-Softwareupdate ausgab. Man kann aber davon ausgehen, dass EvilQuest auch noch über illegale Kopien anderer populärer Programme verteilt wird. Wer dennoch den Fehler macht, sich aus dubiosen Quellen mit nicht lizenzierter Software zu versorgen, begibt sich in Gefahr.
In einem Blogpost erklärt Sicherheitsexperte Thomas Reed von Malwarebytes, dass noch ungeklärt sei, was für eine Verschlüsselung die Täter bei EvilQuest verwenden. Deshalb sei er sich nicht sicher, wie aussichtslos die Situation für Opfer dieses Schädlings ist "Es ist möglich, dass weitere Untersuchungen zu einer Methode führen, die es möglich macht, die Daten zu entschlüsseln. Es ist aber auch möglich, dass das nicht geschieht."
Back-ups auf der Bank
Als beste Methode, sich vor den Folgen einer Erpressersoftware zu schützen, empfiehlt Reed regelmäßige Back-ups auf mindestens zwei voneinander unabhängigen Medien. Er selbst lege solche Sicherheitskopien mit unterschiedlichen Programmen auf mehreren Festplatten an, von denen er eine in einem Bankschließfach deponiert habe. So könne er im schlimmsten Fall seine Festplatte löschen und seine Daten von einem der Back-ups wiederherstellen.
Um sich zu schützen, lässt sich derzeit vor allem die Empfehlung wiederholen, die Finger von illegalen Softwarekopien zu lassen, die regelmäßig von Kriminellen benutzt werden, um getarnte Schadsoftware zu verteilen. Zudem sind sowohl die Antivirensoftware Malwarebytes for Mac als auch Thomas Reeds kostenlose Schutzsoftware RansomWhere in der Lage, EvilQuest zu erkennen und dessen Ausführung zu verhindern.
Quelle: Spiegel.de