macOS: Ransomware EvilQuest verschlüsselt euer System

Solltet ihr mit Apples macOS unterwegs sein, dann könnte euch das folgende Thema interessieren, denn aktuell geht mal wieder eine neue Ransomware umher. EvilQuest heißt das gute Stück, dass sich – oh Wunder – in Raubkopien von Apps versteckt. Konkret wurde der Code in einer Kopie der Little-Snitch-App gefunden, die über Torrents verteilt wird.

Die geladene PKG-Datei besitzt ein Skript, das nach der Installation ausgeführt wird und üblicherweise dazu dient, die Installationsdateien nach dem Vorgang zu entfernen. In diesem Fall wird jedoch EvilQuest installiert, das sich im Ordner /Library/LittleSnitchd/CrashReporter versteckt und somit auch nicht auffällt.

Das Programm wird auch nicht direkt nach der Installation aktiv, sondern wartet eine Weile und startet dann mit der Arbeit. Dabei verschlüsselt das Programm eure Dateien und auch euren Schlüsselbund, auf Passwörter und Zertifikate kann nicht mehr zugegriffen werden, der Finder funktioniert nicht mehr richtig und das System fängt an regelmäßig abzustürzen. Auch Backups, die auf angeschlossenen Laufwerken liegen, können Schaden nehmen und sind somit nutzlos zur Wiederherstellung des Systems. Besser man hat also auch ein paar ältere Backups zur Hand.

The best way of avoiding the consequences of ransomware is to maintain a good set of backups. Keep at least two backup copies of all important data, and at least one should not be kept attached to your Mac at all times. (Ransomware may try to encrypt or damage backups on connected drives.)

EvilQuest erpresst euch nun, will 50 US-Dollar für das Entschlüsseln haben oder löscht die Dateien nach drei Tagen. Alle Details zu dem Fall findet ihr im Blog von MalwareBytes.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Oliver Posselt

Hauptberuflich im SAP-Geschäft tätig und treibt gerne Menschen an. Behauptet von sich den Spagat zwischen Familie, Arbeit und dem Interesse für Gadgets und Co. zu meistern. Hat ein Faible für Technik im Allgemeinen. Auch zu finden bei Twitter, Instagram, XING und Linkedin, oder via Mail. PayPal-Kaffeespende an den Autor

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

27 Kommentare

  1. Evlt. eine doofe Frage, aber wie sieht es in so einem Fall mit den Daten welche auf der iCloud liegen aus? Speziell Schlüsselbund? Oder betrifft dies „nur“ die lokalen synchronsierten Daten?

  2. Marty Schellman says:

    Hier gibt’s einen detaillierten First-Day-Bericht von Sicherheitsprofi Patrick Wardle wie das ganze so funktioniert. Der Mann schreibt übrigens auch schon seit langem sehr praktische Tools, die einem präventiv gegen Ransomware helfen, z.B. LuLu, RansomWhere oder BlockBlock. Sehr zu empfehlen.

  3. Marty Schellman says:

    Sorry, den Link hatte ich vergessen:
    https://objective-see.com/blog/blog_0x59.html

  4. Das Ding würde vermutlich auch ein Time Machine Backup auf einem Netzlaufwerk verschlüsseln?!

    • Oliver Posselt says:

      tut es, da das TM-Laufwerk ja als normales LW gemountet ist.

      • Hat MacOS nicht Sicherheitsfunktionen integriert und das TM Backup besonders zu schützen? Ich meine sowas mal gelesen zu haben.

    • Nein, verschlüsselt werden Daten im Nutzerverzeichnis. Veränderte Dateien werden zwar stündlich von Time Machine auf das Backup-Volume übertragen. Aber es gibt ja noch die alten Snapshots. Damit kann man den Zustand wieder herstellen, bevor man sich die Ransomware installiert hat.

      • Oliver Posselt says:

        Ja wenn die daily nicht mehr reichen, muss man dann auf die alten Wochenbackups ausweichen. Oder halt einfach keinen Müll installieren 🙂

        • > Oder halt einfach keinen Müll installieren

          Erstens das. Und zweitens, falls das noch nicht geschehen ist, losgehen, eine externe Festplatte kaufen, anstecken und Time Machine sein Ding machen lassen. Viele warten damit bis zum ersten Supergau. Muss auch keine Ransomware sein, die dafür verantwortlich ist.

  5. Junge Junge wie das hochgekocht wird. ES GIBT EINEN VIRUS FÜR MACOS und dann ganz klein gedruckt „wenn man Raubkopien installiert“. Egal ob unter Windows oder MacOS, wer so etwas macht ist einfach selber Schuld. Wenn ich mein Homeverzeichniss lösche weil ich einen falschen Befehl in der Shell eingebe gibt es auch keine Meldungen in allen Gazetten.

    • So fängt man sich aber auch unter Windows die Viren ein.

    • Sehe ich ähnlich. Wer sich Software aus illegalen Quellen besorgt, hat jedes Recht auf Mitleid verwirkt. Genauso, wenn jemand kein Backup macht – Apple macht es einem hier wirklich besonders leicht.

    • Eben – zeigt aber auch wieder mal deutlich, was viele Experten schon lange sagen – MacOS oder Linxu sind nicht wirklich sicherer als Windows.
      Jedes Betriebssystem ist angreifbar, egal ob über Raubkopien oder einfach nur Software aus legalen Quellen im Internet, die es nun mal auch für MacOS gibt.

      • therealThomas says:

        Ich weiß nicht genau, wie es bei macOS aussieht.
        Aber bei Linux gibt es keine (bisher bekannten und nicht gefixten) Hintertüren, um Code als root auszuführen, obwohl dieser nur von einem normalen User heruntergeladen wurde. Damit kann der Schaden nur im eigenen Heimverzeichnis ausgeführt werden, nachdem der Code ausführbar gemacht wurde.
        Unter Windows geht das alles deutlich einfacher und da ist schnell die ganze Platte verschlüsselt.

  6. Ich dachte, Mac OS wäre sicher, da es dort keine Viren gibt?
    Zumindest gibt es Leute, die einem das immer wieder erzählen.
    Ehrlich gesagt, ich habe denen noch nie geglaubt. ^^

    • bluefirex says:

      Du hörst jetzt von diesem einen, weil es nicht so viele gibt. Vergleiche mal die Statistiken zwischen macOS und Windows. Auf Windows hast du Hunderttausende dieser Art täglich.

      • Hi Bluefire , das liegt aber nicht daran daß macOS prinzipiell sicherer ist. sondern einfach daß es kein so lohnendes Angriffziel ist weil weniger verbreitet. Einbrecher steigen auch eher in die Villa ein weil da was zu holen ist, ins Obdachlosenheim bricht keiner ein , lohnt den Aufwand nicht

    • Wenn ich mal klugscheissen darf, so ist das streng genommen ein Trojaner und kein Virus.
      Und es läuft auch nicht durch Sicherheitslücken, sondern muss vom Benutzer ausgeführt werden.
      Dagegen hilft auch nur den Kopf einzusetzen und möglichst auf root und Adminrechte zu verzichten, nur saubere Quellen zu nutzen und vor allem ein Backup zu haben.
      Die Schwachstelle ist fast immer der User der irgendeinen Script sagt, jo mach mal.
      Die Sicherheit fängt vor dem Bildschirm an.

    • Es gibt keine macOS-Viren. Hast du verstanden, worum es hier geht? Nein.

  7. dann warten wir mal bis die ersten legalen Softwarepakete ausserhalb des Appstore verseucht werden, dann wird unser Apple Chef das System wie IOS auf einen Store begrenzen .
    Dann herrscht wieder glückseligkeit und ganz wichtig die Einnahmen sind gesichert.

    P.S. Warum hat nur Windows einen Antivirus ab Werk ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.