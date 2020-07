Eine Sicherheitsfirma hat ein Entschlüsselungs-Tool für eine neu entdeckte Ransomware veröffentlicht, die auf Mac-Nutzer abzielt. Der zwischenzeitlich von EvilQuest in ThiefQuest umbenannte Schädling versucht nach der Installation durch den Nutzer unter anderem, Dateien zu verschlüsseln.

Die Malware wurde offenbar als Bestandteil gecrackter Versionen beliebter Mac-Software wie etwa Little Snitch als Torrent-Datei zum Download feilgeboten.

Apple blockiert Schädling

Die Malware setze nicht auf Public-Key-Verschlüsselungsverfahren, sondern auf eine teils auf der Blockchiffre RC2 basierende Verschlüsselung, schreibt Sentinel Labs. Das Unternehmen sei nach näherer Begutachtung in der Lage gewesen, die Verschlüsselungroutine zu knacken. Ein Kommandozeilen-Tool zur Entschlüsselung wird auf Github bereitgestellt.

Apple hat den in macOS integrierten Malware-Schutz XProtect in neuer Version v2125 um eine Signatur zur Erkennung von ThiefQuest ergänzt, schreibt der Sicherheitsforscher Patrick Wardle, der die Malware ebenfalls analysiert hat. Apple führt diese unter dem Namen "MACOS.6cb9746", sie sollte das Öffnen der Software unterbinden. XProtect erkenne aber neue Varianten des Schädlings bislang noch nicht, erklärte Wardle.

Mehr als Ransomware

Die Verschlüsselung von Nutzerdateien sei aber nur ein Element des Schädlings und funktioniere zudem nicht zuverlässig, heißt es von der Sicherheitsfirma Malwarebytes. Auch der beiliegende "Erpresserbrief" sei untypisch für klassische Ransomware: Der für eine angebliche Entschlüsselung geforderte Betrag von 50 Dollar sei auffällig niedrig und es werde immer dieselbe Bitcoin-Adresse zur Zahlung angegeben, entsprechend könne der Erpresser gar nicht nachvollziehen, wer bezahlt hat – eine Entschlüsselung sei wohl nicht vorgesehen.

Die Malware konzentriere sich stattdessen darauf, möglichst viele Dateien des Nutzers zu extrahieren und diese an einen Server zu übertragen, auch Code für das Mitschneiden der Tastatureingaben sei enthalten. Zudem versuche ThiefQuest, sich in ausführbare Dateien einzunisten und so auf dem System präsent zu bleiben, selbst wenn der Nutzer die ursprünglich installierte Malware entfernt, schreibt Wardle. Betroffene Nutzer sollten deshalb ihr System löschen und komplett neu aufsetzen oder von einem früheren Backup wiederherstellen.

