21 Dez Verschlüsselungs-Trojaner auf Mac

Verschlüsselungs-Trojaner gibt es bis Ende 2015 nur für Windows. Macs sind nicht betroffen. Mit der Installation eines virtuellen Windows ist es jedoch möglich, auch Mac-Dateien zu verschlüsseln. Wir zeigen Ihnen, wie.

Trojaner und andere Schadsoftware sind für Macs überhaupt kein Thema. Während für Windows täglich ca. 400.000 neue Malware-Programme auftauchen, existieren für OS X gerade mal eine Handvoll davon. Insgesamt, versteht sich. Deshalb sind Virenschutzprogramme für Mac OS X nach wie vor totaler Unfug – insbesondere da Viren zur Zeit von Generatoren vollautomatisch schneller erstellt werden als die Virenschutzprogramme darauf reagieren können. Das hält die Hersteller der Virenschutzsoftware nicht davon ab, immer wieder neue Bedrohungsszenarien zu erfinden. Aber was antwortet wohl ihr Friseur, wenn Sie fragen, ob sie einen neuen Haarschnitt benötigen?

Virenschutz für Mac nützt also nichts – aber er schützt angeblich vor Windows-Viren. Denkste. Es wird Zeit, endlich mit diesem Märchen aufzuräumen.

Verschlüsselungs-Trojaner auf Mac

Das Bild unten zeigt einen Mac, dessen Dateien von einem Verschlüsselungs-Trojaner gesperrt wurden. Es handelt sich hier auch nicht um die Einblendung von Safari, die den BKA-Trojaner simuliert. Die Dateien dieses Macs wurden tatsächlich durch den Verschlüsselungs-Trojaner „CTB-Locker“ verschlüsselt.

Wie kommt es, dass die Dateien von OS X tatsächlich von einem Verschlüsselungstrojaner gesperrt wurden? Wir haben dieses Szenario bei einem Kunden erlebt. Mit einer Reihe von scheinbar trivialen Fehlern geht das ganz schnell. Man muss es nur geschickt genug anstellen…

Wie wird ein Mac vom Verschlüsselungs-Trojaner befallen?

Keine Datensicherung des Macs
Einige Wochen vor dem Auftreten des Schadens durch den Erpressungs-Trojaners wiesen wir den Kunden darauf hin, dass keine Datensicherung seines Macs existiert. Wir konnten den Kunden nicht von der Notwendigkeit überzeugen. Sein Argument: Alle wichtigen Dateien seien auf dem Server gespeichert. Auf dem Mac sei nichts Wichtiges. Deshalb war er überzeugt davon, ein Backup nicht zu benötigen.

Parallels Desktop mit Windows installiert
Auf dem Mac ist Windows 7 als virtuelle Maschine installiert – einigermaßen aktuell, ohne Virenschutz-Software. Parallels Installations-Wizard hat bei der Erstkonfiguration Mac und Windows ineinander intergriert: Schreibtisch sowie Ordner für Dokumente, Bilder, Musik, Filme und Downloads des Macs werden gemeinsam mit denen in Windows genutzt.

Mail mit Anhang am Mac empfangen
Wie üblich empfängt der Benutzer die monatliche Rechnung der Telekom als PDF-Datei. Die Mail sieht aus wie immer, aber diesmal kann der Anhang am Mac nicht geöffnet werden.

Anhang wird in Windows geöffnet
Der Benutzer speichert die Datei auf dem Schreibtisch und wechselt zu Windows. Der Schreibtisch des Macs und der Desktop von Windows sind durch Parallels verbunden, deshalb kann die gespeicherte Datei schnell und einfach mit Windows geöffnet werden.

Anhang enthält aber keine Rechnung
Der in Outlook auf Windows geöffnete Anhang ist eine .EXE-Datei, die sich als PDF tarnt. Ein ganz trivialer Trick: der Dateiname ist „Rechnung.pdf.exe“. Darin verbirgt sich das Installationsprogramm des Verschlüsselungstrojaners. Durch den Doppelklick in auf diese Datei in Windows wird die .EXE-Datei ausgeführt, der Trojaner wird auf Windows installiert. Der Benutzer bemerkt nichts davon. Der Trojaner wird in Windows aktiv und beginnt, die persönlichen Dateien zu verschlüsseln.

Windows hat durch Parallels Zugriff auf den Mac
Ein Feature von Parallels ist, dass Windows mit dem Mac verbunden ist. Der CTB-Locker findet also der Dateisystem des Mac und verschlüsselt dadurch auch die Dateien des Mac. Auch diese Dateien ändern nach und nach ihr Logo, da Windows auf Parallels immer noch aktiv ist und dort der CTB-Locker im Hintergrund weitere Dateien verschlüsselt.

Keine Abhilfe möglich

Als sich der Benutzer an uns wendet, sind in Windows und OS X bereits ein Großteil der persönlichen Daten verschlüsselt. Das oben gezeigte Bild wird vom Verschlüsselungstrojaner als Desktop-Hintergrund im Windows aktiviert und fordert zur Zahlung eines Lösegelds auf. Wir erwägen mit dem Kunden die Möglichkeiten:

1. Lösegeld zahlen
2. Windows-Spezialist mit Entschlüsselung beauftragen
3. Auf Datensicherung zurückgreifen
4. Mac vollständig löschen und neu installieren

Ooops … Option 3) ist ja gar nicht möglich, denn eine Datensicherung war ja nicht gewünscht. Option 1) ist ebenso keine ernstzunehmende Wahl, denn bisher wurde noch kein Fall dokumentiert, bei dem nach erfolgter Zahlung des Lösegelds die Dateien tatsächlich wieder entschlüsselt wurden. Option 2) bedeutet Arbeit – laut einem Windows-Experten geschätzte vier Stunden, eventuell auch mehr. Das wird sicher nicht günstiger als die Zahlung des Lösegelds. Deshalb fällt die Wahl auf Option 4): Formatierung der Festplatte und Neuinstallation von OS X.

Nun stellt sich aber heraus, dass doch „ein paar ganz wichtige aktuelle Dateien“ (Zitat Benutzer) nur auf dem Mac existierten, nicht auf dem Server. Diese Dateien waren ebenfalls schon verschlüsselt. Leider gab es da aber nichts wiederherzustellen, denn die Datensicherung per Time Machine war ja nicht aktiviert.

Virenschutz?

Auf dem Mac war kein Virenschutz installiert, auf Windows ebenfalls nicht. Das erscheint zunächst als grober Fehler. Es stellte sich aber heraus, dass ein Virenschutz in Mac oder Windows nichts geändert hätte.

Nach der Neuinstallation des Mac testeten wir verschiedene Virenschutzprogramme auf OS X und prüften, ob der immer noch im Mail-Postfach vorhandene Verschlüsselungs-Trojaner vom Virenschutz des Mac erkannt wird. Fehlanzeige: keines der installierten Virenschutzprogramme für Mac erkannte die Bedrohung. Auch ClamXav für Mac hat den Anhang nicht als Trojaner erkannt – war aber immerhin so schlau, grundsätzlich vor dem Anhang mit der doppelten Endung zu warnen.

Leistungsverlust durch Virenschutz

Für OS X gibt es nach wie vor keine Viren und nur 51 bekannte Trojaner und andere Schadprogramme. Die Gefährdung ist äußerst gering, der Schutz nur vermeintlich. Wegen erwiesener Nutzlosigkeit, Falschmeldungen und Leistungsverluste sollte bei einem Mac auf einen Virenschutz verzichtet werden.

Die Hersteller von Virenschutzsoftware für Mac behaupten seit 15 Jahren: „Bisher ist nicht viel passiert, aber nächstes Jahr wird es ganz schlimm!“. Wer es glaubt, bezahlt mit Geld + Nerven und gewinnt nur eine scheinbare Sicherheit.

Schadprogramme auf Windows können also auch Mac-Dateien verschlüsseln. Bei der Standard-Koniguration von Paralles Desktop für Mac gibt es vom virtuellen Windows eine direkte Verbindung zu OS X – wer eine virtuelle Instanz von Windows ohne ausreichenden Schutz betreibt, der gefährdet auch seine Daten auf  OS X.

Fazit

• Eine Datensicherung ist unverzichtbar
• Virenschutz in Mac ist nutzlos
• Windows benötigt Virenschutz
• Dateien mit verdächtigem Inhalt nicht öffnen
• eine virtuelle Windows-Installation mit Parallels Desktop für Mac oder VMware Fusion sollte so eingestellt werden, dass Windows und Mac strikt voneinander getrennt sind