Erpesser Trojaner jetzt auch für OS & X

    Bei Befall gibt es keine Lösung die Daten wieder herzustellen!


    Doch der Trojaner legt von allem was er verschlüsselt davor eine Kopie auf dem Datenträger an und dann beginnt er mit seiner Arbeit, danach werden diese Kopien und das Original gelöscht. Hier besteht nachträglich eine große Chance über den Weg der Datenrettung die Dateifragmente wieder her zu stellen. Das ist allerdings ein mühsamer und langer Weg.


    Unter OS X schützt Sophos-AntiVirus schon aktuell vor der Bedrohung und dieser greift ja auch auf den E-Mail Client zu, denn über diesen Weg wird er meist verbreitet. Daher sag ich mal entspannen, aber Anhänge sollte man immer mit Bedacht öffnen denn nicht nur in "exe" Dateien (Windows) sondern jetzt gerade in Office-Dokumenten liegt der Auslösende Trojaner bei.


    Zudem sollte jede gute Firewall im Vorfeld den Trojaner auch schon erkennen, nur diese hat ja nicht jeder am laufen.
    Sehr schade ist das die Unternehmen/Provider es überhaupt zulassen das nach der Erkennung und Bekanntgabe trotzdem noch Nachrichten mit dem Infector verteilt werden, denn die haben ja normal die Mittel das zu unterbinden, wir zahlen selbstverständlich auch für solch einen Service, nur halt nicht wirklich;)

    Auch eine Datenwiederherstellung würde nicht viel bringen. Er schreibt ja immer und immer wieder auf die Platte indem er Kopien anlegt. Und diese überschreiben dann auch sehr wahrscheinlich die Bereiche der Platte die durch eine Löschung von davor freigeworden sind. Da gibts nix mehr zu retten.


    Ich hoffe nicht, dass man nun zukünftig auch unter OS X ein Antiviren-Programm benötigt. Das wäre eine "traurige" Premiere in meinem OS X Leben. :(

    Intel Systeme
    Commodore

    @Sascha_77


    Naja ich meinte eine offizielle MS-Version; über Wine ist das ein alter Hut ;-)


    Wegen der Datenrettung:
    ich hatte mal ein kleines Abenteuer mit Ubuntu, das ein altes Raid-Set erkannte und versuchte wiederherzustellen (obwohl der Raid unlängst gelöscht war)...


    Obwohl ich die Platten damals zum x.ten neu partitioniert hatte, fand mir TestDisc Daten von fast allen Partitionen (und die Partitionen damals waren voll und ziemlich oft mit neuen Daten gefüllt)


    ...bringt natürlich nur bedingt was, der Aufwand für die Forensik ist immens (vor allem: der zeitliche Aufwand). Im unternehmerischen Umfeld ist das Rückspielen des letzten infektionsfreien Backups und Aufarbeiten des Hängengebliebenen/Verlohrenen meist schon schneller...

    Ich habe vor einiger Zeit schon eine Festplatte wieder hergestellt, das ist also möglich.
    Allerdings wie gesagt, das ist ein langer und mühsamer Weg!


    Alleine die Analyse und dann die Wiederherstellung dauert Stunden bis zu ein paar Tagen.
    Danach liegt alles nur in einzelnen Dateien ohne Name und Datum vor und muss einzeln durchgesehen,
    beschriftet und archiviert werden, Spaß ist was anderes.


    Wollte damit auch nur sagen... sollte man betroffen sein ist eine Wiederherstellung über den "Erpresser" auf keinen Fall zu empfehlen, eine Meldung und Anzeige gegen Unbekannt stellen und sich an einen IT-Spezialisten wenden der einem behilflich ist wenigstens die Daten welche existenziell wichtig sind zu versuchen wieder her zu stellen. Sollte es keine Weg zum Backup geben was sehr oft der Fall ist. Bei mir selbst bewegen sich oft Daten schnell hin-und-her, ein Full-Backup mache ich selten, keine Lust und Muße.


    PS: Daher habe ich meine Daten in einer aktiven Synchronisation eingebunden und diese lasse ich dann automatisch täglich archivieren. Doch es besteht immer eine Möglichkeit des Verlustes und meist dann wenn man es überhaupt nicht erwartet und gebrauchen kann.

    "csrutil enable --without kext" gibt ne merkwürdige meldung!?


    Bei mir steht:


    - System Integrity Protection status: enabled (Custom Configuration).


    - Configuration:
    - Apple Internal: disabled
    - Kext Signing: disabled
    - Filesystem Protections: enabled
    - Debugging Restrictions: enabled
    - DTrace Restrictions: enabled
    - NVRAM Protections: enabled


    - This is an unsupported configuration, likely to break in the future and leave your machine in an unknown state.


    Stimmt das so?

    Alles korrekt, diese Konfiguration benutzen echte Apple Computer natürlich nicht weshalb sie auch "unknown" ist, der Rest sagt dir nur das die SIP jetzt bezüglich Apple Internal und Kext Signing deaktiviert ist --> du kannst immer noch kexte installieren ;)

    Du kommst bei deinem Problem nach dem unendlichsten Versuch nicht weiter? Dann schreib mir eine Nachricht für eine TeamViewer Sitzung. Nur wenn es gar nicht mehr weiter geht!
    Alle anderen Fragen und Anliegen gehören ins Forum.

    Zitat von YogiBear

    Als Sofortmaßnahme ohne aufwändige BackUpStrategie sollte es ausreichen, wenn die Clover-User unter den RT-Variablen "CsrActiveConfig=0x03" setzen bzw. die Ozmosis-Anhänger mittels Boot in die Recovery/den Installer und Besuch des Terminal die SIP per

    Code
    1. csrutil enable --without kext

    wieder anschalten - jeweils wird das LAden von Drittanbieterkexten erlaubt, weitere Systemänderungen jedoch ausgeschlossen.


    Kann man die Einstellung "CsrActiveConfig=0x03" stehen lassen oder gibt es dadurch einen Nachteil?

    Hackintosh System 1 - Gigabyte GA-Z87M-D3H (Clover) - Intel Xeon E3-1230 v3 - 32GB Crucial Ballistix Sport DDR3-1600 - Gigabyte RX 580 8GB - 840 EVO - OS X 11.4
    Hackintosh System 2 - Foxconn G31MG-S (Clover) -     Intel C2D E8500 3,16GHz - 4 GB 800 MHz DDR2 - AMD Radeon HD 6450 - 850 EVO - OS X 10.11.4

    MacBook Air -     1,7 GHz Intel Core i7 - 4 GB 1600 MHz DDR3 - Intel HD Graphics 5000 1536 MB



    Du kannst mit 0x03 keine weiteren Änderungen am NVRAM vornehmen.

    "Meine Systeme"


    "Aber macOS ist manchmal eine Elb gewordene Vulkanette..."
    - Griven


    Du hast dringende Fragen zur Installation deines Systems? Dann poste in einem themenverwandten Thread und [size=12]nutze die geballte Power des Forums anstelle meines Postfaches. Ich bin vielleicht Moderator, aber nicht allwissend oder unfehlbar - sondern moderiere Diskussionen

    "Du kannst mit 0x03 keine weiteren Änderungen am NVRAM vornehmen."


    Wenn der Hacki fertig is soll das aber kein problem sein?

    Zitat von jboeren

    "Du kannst mit 0x03 keine weiteren Änderungen am NVRAM vornehmen."


    Wenn der Hacki fertig is soll das aber kein problem sein?


    Frag ich mich auch gerade. Muss ja eigentlich nichts mehr in das NVRAM oder?

    Hackintosh System 1 - Gigabyte GA-Z87M-D3H (Clover) - Intel Xeon E3-1230 v3 - 32GB Crucial Ballistix Sport DDR3-1600 - Gigabyte RX 580 8GB - 840 EVO - OS X 11.4
    Hackintosh System 2 - Foxconn G31MG-S (Clover) -     Intel C2D E8500 3,16GHz - 4 GB 800 MHz DDR2 - AMD Radeon HD 6450 - 850 EVO - OS X 10.11.4

    MacBook Air -     1,7 GHz Intel Core i7 - 4 GB 1600 MHz DDR3 - Intel HD Graphics 5000 1536 MB



    Yogibear in wie fern sollte denn die teilweise Reaktivierung der SIP den Hacky vor DIESER Bedrohung schützen? Echte Macs können ja auch damit befallen werden ;)

    Du kommst bei deinem Problem nach dem unendlichsten Versuch nicht weiter? Dann schreib mir eine Nachricht für eine TeamViewer Sitzung. Nur wenn es gar nicht mehr weiter geht!
    Alle anderen Fragen und Anliegen gehören ins Forum.

    da es ein signiertes Zertifikat benutzt hat ging es trotzdem aber es ist ja gefixt von apple



    Gesendet von iPhone mit Tapatalk

  • Community Bot

    Hat das Label Erledigt hinzugefügt