Für den beliebten quelloffenen BitTorrent-Client “Transmission” ist in der vergangenen Woche ein Update auf Version 2.90 erschienen. Wie nun bekannt wurde, scheint der Download von Angreifern mit Malware verseucht worden zu sein. Es handelt sich um die erste voll funktionsfähige “Ransomware”, oder auch Erpressungstrojaner, unter OS X. Die Malware namens “KeRanger” verschlüsselt die Festplatte und gibt die Daten, so zumindest die Behauptung, nur nach Zahlung eines Bitcoins (rund 370 Euro) wieder frei.

Der Trojaner schlummert den Berichten nach für drei Tage im Hintergrund, bevor er aktiv wird und die Festplatte verschlüsselt. Die Experten von Palo Alto Networks berichten, dass sich die Malware offenbar noch in aktiver Entwicklung befindet und sie sogar versucht, Time-Machine-Backups zu verschlüsseln. Betroffenen Nutzern wäre damit sogar das Wiederherstellen ihrer Daten unmöglich. Des weiteren wird berichtet, dass KeRanger mit einem gültigen Developer-Zertifikat signiert wurde und daher selbst die höchsten Gatekeeper-Einstellungen das Programm nicht abhalten konnten.

Bin ich betroffen?

Apple wurde bereits vor dem Wochenende informiert und hat Schritte in die Wege geleitet, um eine weitere Verbreitung der Malware zu verhindern. Das Developer-Zertifikat wurde aufgehoben und der XProtect-Malwareschutz aktualisiert. Nutzer, die am 4. oder 5. März von der offiziellen Webseite die Version 2.90 von Transmission heruntergeladen haben, sind womöglich jedoch bereits von der Malware betroffen. Palo Alto Networks empfiehlt den Transmission-Nutzern folgende drei Schritte, um zu überprüfen ob sich die Malware eingenistet hat:

1. Mit Rechtsklick auf die Transmission.app “Paketinhalte anzeigen” auswählen. Sollte sich im Pfad /Contents/Recources die Datei General.rtf befinden, sollte Transmission gelöscht werden. Die Entwickler bieten auf ihrer Webseite mittlerweile Version 2.91 an, aus der die Malware entfernt wurde.
2. Im Aktivitätsmonitor (unter den Dienstprogrammen zu finden) nach dem Prozess “kernel_service” suchen – unter diesem Namen tarnt sich KeRanger.
3. Außerdem sollten Nutzer in ihrer User-Library (Finder öffnen, in der Menüleiste auf “Gehe zu” klicken, Alt-Taste gedrückt halten und “Library” auswählen) überprüfen, ob dort die Dateien “.kernel_pid”, “.kernel_time”, “.kernel_complete” oder “kernel_service” vorhanden sind und diese löschen.

Betroffenen Nutzern ist es natürlich auch möglich, einfach ein Time-Machine-Backup vor der Installation von Transmission 2.90 wiederherzustellen.

Via 9to5Mac