Mac Life Plus
RansomWhere?

Ransomware-Blocker soll euch vor Erpresser-Software schützen

RansomWhere? heißt die Software, die Mac-Nutzer wieder ruhig schlafen lassen soll. Die Anwendung soll als universeller Blocker vor Erpresser-Software arbeiten. Ransomware mit Festplatten-Verschlüsselung ist auch auf dem Mac bereits gesichtet werden. RansomWhere? ist aber noch ganz am Anfang - und ein Hacker behauptet, das Tool bereits ausgetrickst zu haben.

Von   Uhr
Verschlüsselungs-Malware bekämpfen
Verschlüsselungs-Malware bekämpfen (Bild: iStockphoto/PeskyMonkey)

Patrick Wardle ist ein Ex-Sicherheitsexperte der NSA und heute beim Sicherheitsunternehmen Synack als Forschungschef eingestellt. Er hat eine Mac-App entwickelt, die euch vor Ransomware (Erpressersoftware) schützen soll, die eure Daten verschlüsselt und erst gegen Geld eine Entschlüsselung ermöglicht.

Das Programm trägt den seltsamen Namen "RansomWhere?" (etwas "Erpressungs...was?"). Die Anwendung soll diese Form von Malware erkennen und verhindern, dass sie ihr böses Werk verrichtet.

Nicht vertrauenswürdige Prozesse, die persönliche Dateien verschlüsseln wollen sollen von dem Tool erkannt werden, berichtet Wardle im Blog Objective-See. Wird ein solcher Prozess entdeckt, wird er unmittelbar angehalten und eine Warnung an den Anwender herausgegeben. Wer will, kann den Prozess nun endgültig abschießen oder auch fortsetzen, falls es sich aus Versehen um einen Fehlalarm gehandelt haben sollte. So ein False-Positive komme jedoch nur sehr selten vor. Allerdings soll es Schwächen bei lange vor sich hindämmernder Malware geben, die erst nach einiger Zeit aktiv wird, so Wandle. Hier kann sicherlich noch weiter geforscht werden.

Vollkommen sicher ist der Nutzer nach Einschätzung von Wardle auch mit seinem Tool nicht. Einige Dateien könnten schon verschlüsselt werden, bevor das Tool das Treiben erkennt und einschreitet. Deshalb seien aktuelle Backups so wichtig.

Bei RansomWhere? handelt sich es eher um einen Machbarkeitsnachweis als um eine aktive Sicherheitslösung, meinen andere.

Ist RansomWhere? bereits überwunden worden?

Toms Hardware schreibt, dass das Tool bereits überwunden worden sei - mit einer Anwendung namens RansomNowhere von Pedro Vilaca. Der portugiesische Hacker hat dazu auch ein Video über Dropbox veröffentlicht.

Bisher war das Phänomen "Erpressungstrojaner mit Verschlüsselung" vornehmlich auf Windows beschränkt, doch Anfang März 2016 wurde mit KeRanger auch ein Exemplar dieser Gattung auch für OS X entdeckt - im Bittorent-Client Transmission 2.90. Es dürfte nicht bei diesem Exemplar bleiben, weshalb das Tool von Wardle auch so wichtig ist. KeRanger wird von RansomWhere? erkannt.

Bild: iStockphoto/PeskyMonkey

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Ransomware-Blocker soll euch vor Erpresser-Software schützen" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.