Anfang März haben mehrere Internetmedien vom ersten Encoder berichtet, der Rechner unter OS X angreift. Die Sicherheitsanalysten von Doctor Web haben den Schädling auf den Zahn gefühlt und ein Entschlüsselungstool gegen Mac.Trojan.KeRanger.2 entwickelt.

Der Verschlüsselungstrojaner Mac.Trojan.KeRanger.2 wurde zum ersten Mal im DMG-Update eines beliebten Torrent-Trackers für OS X entdeckt. Das Programm verfügte über ein gültiges Zertifikat eines OS-X-Entwicklers und konnte deshalb das Schutzsystem von Apple umgehen.

Nach der Installation auf dem angegriffenen Rechner wartet Mac.Trojan.KeRanger.2 drei Tage ab, indem er im Schlafmodus liegt. Danach baut der Encoder eine Verbindung zu seinem Verwaltungsserver im TOR-Netzwerk auf. Anschließend beginnt die Verschlüsselung von Benutzerdateien durch Mac.Trojan.KeRanger.2. Der Schädling verschlüsselt alle Dateien, zu denen er den Zugang mit Privilegien eines einfachen Benutzers als auch Root-Privilegien hat. Danach versucht der Schädling Inhalte auf /Volumes – Dateien auf Festplatten – zu verschlüsseln. In diesem Fall werden Dateien gemäß der Liste verschlüsselt. Insgesamt haben Cyber-Kriminelle eine Liste mit 313 verschiedenen Dateitypen erstellt (u.a. Text- und Grafik-Dateien). Den Schlüssel für die Kodierung von Dateien bekommt der Schädling von seinem Verwaltungsserver. Kennzeichen des Schädlings ist die „.encrypted“-Erweiterung sowie die Datei mit dem Namen „README_FOR_DECRYPT.txt“.

Die Sicherheitsspezialisten von Doctor Web haben ein Entschlüsselungstool entwickelt, mit dem die durch den Schädling verschlüsselten Dateien wieder entschlüsselt werden können.

Um den Service zur Dekodierung gegen Mac.Trojan.KeRanger.2 benutzen zu können, nehmen Sie bitte folgende Schritte vor:

  • Kontaktieren Sie die Polizei;
  • Sehen Sie von beliebigen Anpassungen der Dateien ab;
  • Löschen Sie keine Dateien auf Ihrem PC;
  • Unterlassen Sie beliebige Versuche, Ihre Dateien selbständig wiederherzustellen;
  • Kontaktieren Sie den technischen Support von Doctor Web (gratis für Benutzer kostenpflichtiger Dr.Web Software);
  • Fügen Sie die verschlüsselte Datei bei;
  • Warten Sie auf die Rückmeldung des technischen Supports. Dies kann wegen einer großen Anzahl von Support-Anfragen einige Zeit in Anspruch nehmen.

Bitte denken Sie daran, dass der Dekodierungsservice nur für Nutzer kostenpflichtiger Dr.Web Software gratis ist. Wie Sie Ihre Anfrage zur Dekodierung Ihrer Dateien versenden, können Sie hier nachlesen. Doctor Web kann die 100%-ige Dekodierung von Dateien leider nicht gewährleisten.