Die neue Ransomware Evilquest, von der zuerst im russischen Forum Rutracker berichtet wurde, zielt auf Mac-User ab und soll eher dürftig programmiert sein: Auf befallenen Systemen erscheint die Meldung, wonach die Dateien verschlüsselt wurden und gegen eine Gebühr von 50 US-Dollar wieder freikommen, je nach Fall vollständig oder gar nicht.
Der Schädling steckt in manipulierten, illegalen Kopien von Mac-Anwendungen wie etwa des Sicherheits-Tools Little Snitch. Bei der Installation wird zwar einerseits das eigentliche Tool auf den Rechner geladen, andererseits aber auch ein File namens Patch, abgelegt unter /Users/Shared. Dieses wird sodann in CrashReporter umbenannt und fällt so im Aktivitätsmonitor von MacOS nicht auf.
Das Patch-File vermehrt sich danach und verschlüsselt unterschiedliche Files, darunter auch Systemdateien, die für den Betrieb von MacOS benötigt werden – angeblich sollen etwa der Finder und das Dock nicht mehr richtig funktionieren. Zusätzlich installiert der Fake-Installer einen Keylogger, der Eingaben wie Passwörter abgreift, sowie eine weitere Malware, die nach Krypto-Wallets und zugehörigen Dateien sucht. Neben Little Snitch soll Evilquest auch über gecrackte Kopien von Ableton Live und Mixed in Key verteilt werden.
Wie immer empfiehlt es sich, auf die Forderung nicht einzugehen, wenn sie denn überhaupt erscheint. Denn es ist eher selten der Fall, dass die Cyber-Kriminellen dann die Daten wirklich wieder freigeben. Am allerbesten ist es natürlich, wenn man gar nicht erst von Evilquest heimgesucht wird – und dies erreicht man, indem man ausschliesslich ordentlich lizenzierte Software aus seriösen Quellen nutzt. Und wenn doch, helfen offline abgelegte Backups der wichtigen Daten.
Die Mac-Antivirensoftware von
Malwarebytes und das Gratis-AV-Tool
Ransomwhere? von Malwarebytes-Sicherheitsexperte Thomas Reed erkennen den neuen Schädling bereits. Weitere Antivirensuiten für MacOS dürften folgen.
(ubi)
