Vor einigen Tagen berichteten wir über einen Erpresser-Trojaner namens Locky, welcher über falsche Rechnungen per E-Mail verbreitet wird.
Nun gibt es auch den ersten Erpresser-Trojaner für den Mac, auch dieser setzt auf asynchrone Verschlüsselungen RSA-2048, welche nach derzeitigem Stand der Technik nicht knackbar sind.
Er heißt KeRanger und wird mit einer infizierten Version des BitTorrent Clients Transmission ausgeliefert.
Wer den Hauptprozess kernel_service in der Aktivitätsanzeige findet, sollte diesen sofort beenden und zusätzlich prüfen, ob die Dateien .kernel_pid, .kernel_time und .kernel_complete im Verzeichnis Library vorhanden sind und diese löschen.
Die Ransomware selbst soll sich in einer Datei verbergen, die sich als General.rtf Dokument tarnt. Sie können diese unter
/Applications/Transmission.app/Contents/Resources/
oder
/Volumes/Transmission/Transmission.app/Contents/Resourses
/
finden und löschen.
Die Betreiber von der Transmission Software haben schon reagiert und liefern eine nicht infizierte Version der Software wieder aus.