Erpesser Trojaner jetzt auch für OS & X

    So leute her gehöhrt under gelesen!
    Kurz vorweg, an diejenigen die den Sicherheitsmechanismus von Apple Deaktiviert haben und gerne mal etwas Downloaden sollten damit ersteinmal warten und den Sicherheitsmechanismus einschalten!
    Auch wenn es erstmals nur unter dem BitTorrent-Client Transmission auftaucht.
    Hier der Artikel: http://www.maclife.de/news/vor…-eure-daten-10075730.html


    Ich hoffe mal das es euch weniger erwischt....


    Hier noch ein Auszug von der MacLife wo Ihr es Findet:


    Zitat


    MacLife;


    Wer Sorge hat, dass die Malware auf dem eigenen System aktiv ist, sollte in der Aktivitätsanzeige nach einem Prozess namens "kernel_service" Ausschau halten. Außerdem soll sich im Verzeichnis "/Applications/Transmission.app/Contents/Resources" die Datei "General.rtf" befinden. Wenn diese Datei vorhanden ist, soll der Rechner nach Angaben von Palo Alto Networks infiziert sein. Zudem sollen sich die Dateien ".kernel_pid", ".kernel_time" und ".kernel_complete" oder "kernel_service" im Library-Verzeichnis befinden.


    Gruß der Fab =)

    Hardware: MacBook Pro 13" Retina Erly 2015/ Intel Core i5-5257U i5-5287U/ Intel Iris Pro 6100/ 8GB RAM

    Mein Ryzentosh: ASRock B450M Pro4/ Ryzen 5 2600 / Ballistix 3600 CL16 / Asus Strix RX 580 8GB / (GC-WB1733D-I Bloetooth 5 Wlan 2x2 802.11ac)

    Bruder PC: ASUS Z170-P D3/ i5-6600K/ Intel HD 530/ BRCM4352/ ALC 887/ Intel Ethernet Server Adapter I350-T2

    Einmal editiert, zuletzt von Fab ()

    hier drücke ich mal nicht "Gefällt mir"
    Trotzdem.....
    Danke für die schlechten News :gibtsnicht:

    Too Old To Rock 'n' Roll; Too Young To Die!

    Mein System

    Spoiler anzeigen


    Hab's auch gerade gelesen und wollte es hier posten. Seit bloß vorsichtig. Ich kenne Leute die es erwischt hat (Windows). Das ist kein Spaß!!!

    Gigabyte GA-Z87X-UD3H - BIOS F10b, AMD Radeon RX 5500 XT 8GB, Corsair Vengeance 16GB 2x8 DDR3 1600 MHz , Intel Core i7 4770K

    OSX 14.7.1 Sonoma (iMac 19,2)

    OSX 11.7.10 Big Sur (iMac 19,2)


    MacBookPro 13" Retina (Late 2013) - 8 GB RAM - 256 GB SSD, OSX 14.7.2 Sonoma OCLP

    Mac mini (Late 2012) - 16 GB RAM - 128 GB SSD, 500 GB HDD, OSX 14.7.2 Sonoma OCLP

    Da schaue ich morgen mal direkt nach.
    Bin jetzt zu müde dafür. Dachte für den doch sehr wichtigen Hinweis.
    Zu dem habe ich den Post einmal angepinnt.

    Spoiler anzeigen

    Ein Backup nimmt solchen Sachen ihren Schrecken. Das Perfide an dem Ding ist wohl das ALLE Laufwerke im Netzwerk verschlüsselt werden. Ich habe zur Sicherheit eins offline und außer Haus bei meinen Eltern gelagert, auch für den Fall das es brennt, Einbruch, Wasserschaden oder was sonst noch alles passieren kann.


    Gruß Raoul Duke

    ThinkPad T480 - Crucial 2 x 16 Gb DDR4-RAM - Crucial P3 2 TB - macOS Ventura 13.7.1

    MacBook Air M2 - 8 CPU/10 GPU 15" - 512 GB - macOS Sequoia 15.1

    Mac mini M4 Pro - 12 CPU/16 GPU - 512 GB - macOS Sequoia 15.1.1

    Mac Pro - Gigabyte GA-H87-D3H - i7-4790K 4.40 GHz - HD Graphics 4600 - 4 x 8 Gb DDR3-RAM - OS X 10.9.5
    Power Mac - Foxconn G31MG-S - Core 2 Duo E8500 3.17 GHz - 2 x 2 Gb DDR2-RAM - ATI HD6450 1GB - OS X 10.9.5

    ThinkPad X240 - Manjaro Linux, ThinkPad T450, iMac 27" (Late 2015) - Mac mini Server (Late 2012)

    Backup unter Umständen nur bedingt. Wenn die Backupplatte immer dran hängt wird die dann auch gleich mit verschlüsselt. Voraussetzung der Trojaner ist schon aktiv. Aber prinzipiell ist Das Backup immer gut und wichtig.


    hier mal noch eine Link zu Giga wie das Ding unter Windows funktioniert:


    http://www.giga.de/downloads/o…-ist-die-hoelle-los/?fo=1

    Gigabyte GA-Z87X-UD3H - BIOS F10b, AMD Radeon RX 5500 XT 8GB, Corsair Vengeance 16GB 2x8 DDR3 1600 MHz , Intel Core i7 4770K

    OSX 14.7.1 Sonoma (iMac 19,2)

    OSX 11.7.10 Big Sur (iMac 19,2)


    MacBookPro 13" Retina (Late 2013) - 8 GB RAM - 256 GB SSD, OSX 14.7.2 Sonoma OCLP

    Mac mini (Late 2012) - 16 GB RAM - 128 GB SSD, 500 GB HDD, OSX 14.7.2 Sonoma OCLP

    2 Mal editiert, zuletzt von RalphD ()

    Übelst... Fehlt nur noch Linux :-/


    Raoul Duke


    ...da hilft wohl nur noch die Radikalmethode:
    nur dann mit Schreibrechten mounten resp. verbinden, wenn es unbedingt nötig ist; ansonsten alles auf RO...


    @all
    Nennt mich paranoid, aber ich hab meinen NAS so eingerichtet, das ich mit dem "Normalen Client-User" (Win/Mac) nur lesend auf die Shares zugreifen kann; wenn ich was auf den NAS kopieren will, muss ich mich beim NAS mit einem speziellen (neuen, nur auf dem NAS existierenden) User verbinden, der Schreibrechte auf den Shares hat... Nebst den Backups gibt das ein kleines bisschen mehr Rückversicherung... (je mehr Hürden überwunden werden müssen, desto unwahrscheinlicher der Totalverlust der Daten)


    (für Nachahmer - Win-Backup läuft über nen eignen "Batch"; erst wird das Datengrab-Share mit dem Schreibrecht-Nutzer verbunden, dann rattert das Backup-Programm durch, und die Schreib-Share wird getrennt. Das Read-Only bleibt die ganze Zeit verbunden...)
    (immer nach dem Motto "warum einfach wenn's auch kompliziert geht" ;-)


    ...
    Immerhin, EINES muss man diesen Ransomeware-Angriffen wirklich lassen:
    sie zeigen auf, wie schmerzlich die IT-Sicherheit vernachlässigt wurde, und wie viele Einfallstore für Malware es gibt...

    Ich habe drei Backups. Eins Zuhause, eins im Atelier und eins bei meinen Eltern, das letzte ist wohl das sicherste (sollte meine Eltern öfters besuchen :/)


    Gruß Raoul Duke

    ThinkPad T480 - Crucial 2 x 16 Gb DDR4-RAM - Crucial P3 2 TB - macOS Ventura 13.7.1

    MacBook Air M2 - 8 CPU/10 GPU 15" - 512 GB - macOS Sequoia 15.1

    Mac mini M4 Pro - 12 CPU/16 GPU - 512 GB - macOS Sequoia 15.1.1

    Mac Pro - Gigabyte GA-H87-D3H - i7-4790K 4.40 GHz - HD Graphics 4600 - 4 x 8 Gb DDR3-RAM - OS X 10.9.5
    Power Mac - Foxconn G31MG-S - Core 2 Duo E8500 3.17 GHz - 2 x 2 Gb DDR2-RAM - ATI HD6450 1GB - OS X 10.9.5

    ThinkPad X240 - Manjaro Linux, ThinkPad T450, iMac 27" (Late 2015) - Mac mini Server (Late 2012)

    Als Sofortmaßnahme ohne aufwändige BackUpStrategie sollte es ausreichen, wenn die Clover-User unter den RT-Variablen "CsrActiveConfig=0x03" setzen bzw. die Ozmosis-Anhänger mittels Boot in die Recovery/den Installer und Besuch des Terminal die SIP per

    Code
    1. csrutil enable --without kext

    wieder anschalten - jeweils wird das LAden von Drittanbieterkexten erlaubt, weitere Systemänderungen jedoch ausgeschlossen.

    "Meine Systeme"


    "Aber macOS ist manchmal eine Elb gewordene Vulkanette..."
    - Griven


    Du hast dringende Fragen zur Installation deines Systems? Dann poste in einem themenverwandten Thread und [size=12]nutze die geballte Power des Forums anstelle meines Postfaches. Ich bin vielleicht Moderator, aber nicht allwissend oder unfehlbar - sondern moderiere Diskussionen

    Zitat von YogiBear

    ...Clover-User unter den RT-Variablen "CsrActiveConfig=0x03" setzen...


    Hab ich auch sofort erledigt! Danke!

    iPhone 15 Pro Max - 256GB
    iPad Pro 12,9“ - 128GB inkl. Pencil

    Mac Mini M1 - 2020, 16GB RAM, 1TB SSD

    Windows Tower - 16GB RAM, Ryzen5 5600X, RTX2070, WaKü

    PS5 Digital / Xbox Series X

    Yogibear was müsste es dann in der defaults.plist sein? ZwAAAA ist derzeit die komplette Deaktivierung... Bzw in Bytes 67000000

    Du kommst bei deinem Problem nach dem unendlichsten Versuch nicht weiter? Dann schreib mir eine Nachricht für eine TeamViewer Sitzung. Nur wenn es gar nicht mehr weiter geht!
    Alle anderen Fragen und Anliegen gehören ins Forum.

    Dafür mag ich Apple :rolleyes:

    Hardware: MacBook Pro 13" Retina Erly 2015/ Intel Core i5-5257U i5-5287U/ Intel Iris Pro 6100/ 8GB RAM

    Mein Ryzentosh: ASRock B450M Pro4/ Ryzen 5 2600 / Ballistix 3600 CL16 / Asus Strix RX 580 8GB / (GC-WB1733D-I Bloetooth 5 Wlan 2x2 802.11ac)

    Bruder PC: ASUS Z170-P D3/ i5-6600K/ Intel HD 530/ BRCM4352/ ALC 887/ Intel Ethernet Server Adapter I350-T2

    Jap und Microsoft bekommt Locky nicht in den Griff



    Gesendet von iPhone mit Tapatalk

    Meiner ist sauber! :D

    Spoiler anzeigen

    @'SnowLeo
    wie meinst du das "Apple hat das schon gefixt"? es gab doch noch kein Update.

    Gigabyte GA-Z87X-UD3H - BIOS F10b, AMD Radeon RX 5500 XT 8GB, Corsair Vengeance 16GB 2x8 DDR3 1600 MHz , Intel Core i7 4770K

    OSX 14.7.1 Sonoma (iMac 19,2)

    OSX 11.7.10 Big Sur (iMac 19,2)


    MacBookPro 13" Retina (Late 2013) - 8 GB RAM - 256 GB SSD, OSX 14.7.2 Sonoma OCLP

    Mac mini (Late 2012) - 16 GB RAM - 128 GB SSD, 500 GB HDD, OSX 14.7.2 Sonoma OCLP

    Apple hat das Zertifikat was verwendet wurde ungültig gemacht sprich er kann nicht mehr ausgeführt werden



    Gesendet von iPhone mit Tapatalk

    @sn0wleo


    Was jetzt Vorteil ist, ist sonst meist ein Nachteil: das geschlossene System von Apple...


    In Windows ist der "Infektionsverlauf" ja folgendermassen:
    1. Spoofing-Mail mit "Ihre Rechnung" etc als .doc-File.
    2. User öffnet jenes File
    a) weil MS Office in der Standardeinstellung alle Makros blockiert (= keine Chance für Locky), meckert es so ziemlich bei jedem Start von Office (ob Word, Excel - schnurz). Also stellen viele Admins die Blockier-Einstellung runter...
    b) wurde die "blockiere unsichere/nichtvertrauenswürdige/nichtsignierte/nicht von diesem System stammende" Makros NICHT deaktiviert, ists jetzt schon vorbei, leeres Word-Doc, wird geschlossen, feddich.
    3. wurde "entblockt", wird nun der eigentliche Locky als .exe gedownloaded (über Makro) und ausgeführt


    ...währenddem Apple noch die Signatur ungültig machen kann, und somit Ausführung/Installation vom eigentlichen Schädling geblockt wird, müsste man unter Windows mal primär die Anwendung "brain.exe" in den Autostart legen...


    Seitens Microsoft: mit Altlasten aufräumen, endlich sauberen Code schreiben, Makros grundsätzlich nichts downloaden und (ohne Aufforderung!) ausführen lassen... ABER dazu muss MS sowohl Windows als auch Office grundlegend überarbeiten. Und DAS ist sehr unwahrscheinlich... (wobei - heute wurde MS SQL für Linux angekündigt, ev. wird dieses Monstrum an Sicherheitslücken (Windows) eingestampft - sobald MS Office für Linux ausgibt, hat sich Windows als OS erledigt)

    Mit PlayOnLinux (GUI für wine) kann man sich MS Office unter Linux installieren. Inwiefern allerdings VBA damit läuft .... keine Ahnung. Ich hatte mal Office 2003 damit probiert. Das reguläre Arbeiten damit hat geklappt.

    Intel Systeme
    Commodore