Erpresserischer Apple-Trojaner »KeRanger«
Neue Ransomware verschlüsselt Macs
Fortsetzung des Artikels von Teil 1
So überprüfen Sie, ob Ihr Mac von KeRanger befallen ist
Palo Alto Networks hat seinen URL-Filter und die Threat Prevention bereits entsprechend aktualisiert, um die Auswirkungen durch KeRanger auf Mac-Systeme zu unterbinden. Um auf Nummer Sicher zu gehen, können Apple-Nutzer die andere Sicherheitslösungen nutzen, auch selbst überprüfen, ob ihr Gerät infiziert wurde. Besonders dringend wird dies allen Mac-Nutzern empfohlen, die sich in den letzten Tagen Transmission-Installationsprogramme von der offiziellen Website oder anderen Quellen heruntergeladen haben. Palo Alto Networks nennt folgende drei Schritte, um einem Infektionsverdacht nachzugehen:
1. Überprüfen Sie mittels Terminal oder Finder, ob »/Applications/Transmission.app/Contents/Resources/ General.rtf« oder »/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf« existieren. Ist dies der Fall, liegt eine infizierte Version von Transmission vor, die unverzüglich entfernt werden sollte.
2. Über den bei OS X vorinstallierten »Activity Monitor« können Sie nachschauen, ob auf Ihrem Mac ein Prozess namens »kernel_service« läuft. Ist dies der Fall, sollten Sie die Option »Öffnen von Dateien und Ports« anwählen und überprüfen, ob dort der Dateiname »/Users/<username>/Library/kernel_service« vorhanden ist. Ist dies der Fall, handelt es sich hierbei um den Hauptprozess von KeRanger, der sofort über den Befehl »Quit -> Force Quit« beendet werden muss, um weiteren Schaden zu vermeiden.
3. Darüber hinaus ist anzuraten, auch zu überprüfen, ob im »~/Library«-Verzeichnis die Dateien ».kernel_pid«, ».kernel_time«, ».kernel_complete« oder »kernel_service« aufzufinden sind. Diese gilt es ebenfalls zu löschen.
- Neue Ransomware verschlüsselt Macs
- So überprüfen Sie, ob Ihr Mac von KeRanger befallen ist
Lesen Sie mehr zum Thema
