/ Security / Mac-Ransomware Patcher ist entschlüsselbar

Mac-Ransomware Patcher ist entschlüsselbar

patcher-cd20b90351a9455e-89b56a26c619b75d.jpeg
Moritz Rosenfeld an März 2, 2017 - 11:55 pm in Security

Eine Antivirenfirma hat ein Anleitung veröffentlicht, mit der Opfer möglicherweise ihre Dateien zurückbekommen können. Der Prozess ist allerdings aufwendig.

heise online Preisvergleich Anzeige
Apple MacBook Pro 13.3" - Core i5-6267U, 8GB RAM, 256GB SSD, grau

Apple MacBook Pro 13.3" – Core i5-6267U, 8GB RAM, 256GB SSD, grau ab € 1744,99

Seit ungefähr Mitte Februar kursiert mit Patcher alias Findzip eine neue Ransomware für macOS auf zwielichtigen Seiten im Internet. Bislang hieß es, dass sich mit dem Schädling verschlüsselte Dateien nicht wiederherstellen lassen – nicht einmal durch den Entwickler der Malware selbst. Dem scheint aber nicht so zu sein, wie das Sicherheitsunternehmen Malwarebytes herausgefunden hat.

Entschlüsseliung mit PkCrack

Demnach ist eine Entschlüsselung möglich, solange zwei Versionen einer Datei zur Verfügung stehen – eine verschlüsselte sowie das Original. Das könnte beispielsweise ein E-Mail-Anhang sein, den Patcher verschlüsselt hat, der aber noch auf einem E-Mail-Server herunterladbar ist. Alternativ bietet Malwarebytes auch einen unverschlüsselten Teil einer plist-Datei auf seinem Server an, die sich als Muster nutzen lässt – sie stammt ausgerechnet aus dem Code von Patcher selbst und kann verwendet werden, weil sich das schlecht geschriebene Programm selbst (!) verschlüsselt.

Liegen zwei solche Dateien vor, kann ein Tool namens PkCrack eingesetzt werden, um den von Patcher verwendeten Schlüssel herauszufinden. Der Grund: Patcher nutzt offenbar eine „schlichte“ PkZip-Verschlüsselung für sein Kryptounwesen. Liegt der Schlüssel einmal vor, lassen sich auch alle anderen Dateien wieder entziffern.

Ausflug auf die Kommandozeile

Ganz leicht ist der Prozess allerdings nicht, weil PkCrack aktuell nicht als Binärdatei für macOS vorliegt und es sich dabei um ein reines Kommandozeilenwerkzeug handelt. Darüber hinaus werden ein Texteditor wie der kostenlose TextWrangler und die Xcode-Kommandozeilenwerkzeuge benötigt, die installiert werden müssen. Anschließend sind mehrere Ausflüge ins Terminal notwendig, um PkCrack zu kompilieren und schließlich einzusetzen. Zudem ist der Prozess langwierig, weil jede Datei einzeln entschlüsselt werden muss. Für Betroffene lohnt sich ein Blick in die (englischsprachige) Anleitung dennoch.

Weitere Tipps und Hinweise zum Schutz vor Ransomware auf dem Mac hat Mac & i hier zusammengetragen:

  • Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

(bsc)

Read more on: Source

Kommentare sind deaktiviert