Ehemaliger NSA-Sicherheitsexperte entwickelt universellen Ransomware-Blocker für Mac

Das von Patrick Wardle programmierte RansomWhere? soll sowohl bekannte als auch unbekannte Bedrohungen erkennen können. Anschließend stoppt es den zur Dateiverschlüsselung eingesetzten Prozess. Nach einem Warnhinweis kann der Nutzer dann entscheiden, ob der Prozess fortgesetzt oder abgebrochen werden soll.

Patrick Wardle, ehemaliger Sicherheitsexperte der NSA und heute Forschungsleiter beim Crowd-Security-Intelligence-Unternehmen Synack, hat eine Software für Mac entwickelt, die vor Ransomware schützen soll. Das Programm namens RansomWhere? verfolgt einen universellen Ansatz und soll sich damit zur Abwehr bekannter und unbekannter Bedrohungen eignen.

„Dieses Tool versucht [Ransomware-Angriffe] generell zu verhindern, indem es nicht vertrauenswürdige Prozesse erkennt, die persönliche Dateien verschlüsseln“, schreibt Wardle in seinem Blog Objective-See. „Sobald ein solcher Prozess erkannt wurde, stoppt RansomWhere? diesen Prozess umgehend und zeigt dem Nutzer eine Warnmeldung an.“

RansomWhere? (Screenshot: ZDNet.com)

Falls es sich tatsächlich um eine schädliche Ransomware handelt, kann der Anwender den Prozess endgültig abbrechen, wie Wardle weiter erklärt. Handle es sich hingegen um einen Fehlalarm, lasse sich der Prozess fortsetzen.

Die Zahl der sogenannten False Positives soll jedoch sehr gering sein, weil RansomWhere? ausschließlich von Apple und nicht von Mac-App-Entwicklern signierten Binärdateien traut. Gleiches gilt für Anwendungen, die bereits bei seiner Installation auf dem System vorhanden waren.

Diese Umsetzung bietet Vor- und Nachteile: Zum einen sorgt sie für weniger Fehlalarme. Zum anderen könnte jedoch Ransomware unentdeckt bleiben, die schon länger auf dem System vorhanden, aber noch nicht aktiv geworden ist.

Wardle räumt in seinem Blog noch einige andere Einschränkungen seiner Sicherheitssoftware ein. Da sie Ransomware an Prozessen zur schnellen Verschlüsselung von Dateien erkenne, könne es vorkommen, dass zunächst einige Dateien (im Idealfall zwei bis drei) tatsächlich verschlüsselt würden, ehe sie anschlägt. Zudem sei die Überwachung auf Nutzerverzeichnisse beschränkt. Natürlich sei es auch möglich, das Schutzprogramm mittels offizieller Zertifikate oder Code-Injektion zu umgehen.

Erkennt RansomWhere? die schnelle Verschlüsselung von Dateien wie hier mit KeRanger, stoppt es den Prozess und warnt den Anwender (Bild: Patrick Wardle).Erkennt RansomWhere? die schnelle Verschlüsselung von Dateien wie hier mit KeRanger, stoppt es den Prozess und warnt den Anwender (Bild: Patrick Wardle).

ZDNet.com hat Wardles Tool einem Kurztest unterzogen. In diesem war es in der Lage, die Anfang März entdeckte Ransomware KeRanger, die als erste voll funktionsfähige Erpressersoftware für OS X gilt, zu erkennen und sie davon abzuhalten, Dateien zu verschlüsseln.

KeRanger verbreitete sich über einen manipulierte BitTorrent-Client, der mit einem gültigen Mac-App-Entwickler-Zertifikat signiert war. Auf diese Weise konnte sie Apples Gatekeeper-Schutz umgehen. Danach wartete KeRanger drei Tage, bis sie sich über das Tor-Netzwerk mit einem Befehlsserver verband. Anschließend verschlüsselte sie bestimmte Dateiarten und forderte wie für diese Art Malware üblich ein Lösegeld in Höhe von einem Bitcoin (rund 400 Dollar).

In seinem Blog gibt Wardle auch einen Überblick über Proof-of-Concepts von Sicherheitsforschern und andere Schadsoftware für OS X, die Ransomware-Taktiken verfolgen. Dazu zählen Programme wie die FBI-Ransomware, die lediglich den Zugriff auf den Browser blockiert, bis hin zur Erpressersoftware GinX, die ihrem Autor zufolge wie KeRanger Dateien auf einem Mac verschlüsseln kann.

[mit Material von Adrian Kingsley-Hughes, ZDNet.com]

ANZEIGE

Interview mit Samsungs SSD-Spezialist Marcel Binder

Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.

Neueste Kommentare 

Noch keine Kommentare zu Ehemaliger NSA-Sicherheitsexperte entwickelt universellen Ransomware-Blocker für Mac

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *