Wie (in) anfällig ist OS X für die Verschlüsselung von Ransomware?

3

Heutzutage scheint schädliche Software Windows-Computer zu infizieren, deren Daten gegen ihren Willen zu verschlüsseln und im Austausch gegen den Verschlüsselungsschlüssel ein Bitcoin-Lösegeld zu verlangen.

  1. Müsste der Benutzer diese Software zuerst ausführen und das sudo-Kennwort eingeben, damit sie "erfolgreich" auf einem OS X-Computer ausgeführt werden kann? Ist eine solche Bedrohung unter OS X denkbar, ohne dass der Benutzer dies tut?

  2. Würde FileVault dagegen schützen? Könnte ein Ransomware-Programm, wenn es von einem Benutzer, der auch das sudo-Passwort bestätigt hat, unabsichtlich installiert wurde, Ihre FileVault-Daten als Geisel nehmen? Könnte es auch Ihre TimeMachine-Backups als Geisel nehmen, selbst wenn sie verschlüsselt sind?

  3. Wie (in) anfällig ist OS X für Ransomware-Verschlüsselung und wie nachlässig / unklug müssen die Aktionen eines Benutzers sein, damit seine Daten tatsächlich als Geiseln genommen werden?

Revetahw
quelle
Um effektiv zu sein, muss die Ransomware auch die Backups der Zeitmaschine "infizieren". Ohne so zu tun, als ob es nicht möglich wäre, wird es ernsthafter Anstrengungen bedürfen, dies zu tun.
EDV

Antworten:

2

Im Moment ist es relativ sicher. Die meisten Ransomwares waren auf Windows-Benutzer ausgerichtet, und bisher war die Ransomware, die auf Macs abzielte, relativ grob. Die neueste (sehr grobe) Mac-Ransomware-Bedrohung hat Time Machine-Backups nicht zerstört, wurde jedoch von FileVault nicht gestoppt.

Im Allgemeinen tragen die Schritte, die Sie in Teil 2 Ihrer Frage beschreiben, wahrscheinlich nicht dazu bei, Sie zu schützen. Verschlüsselte Daten sind nicht schwerer zu verschlüsseln als unverschlüsselte Daten.

Sicherheitslücken, die nicht das erfordern, was Sie in Teil 1 Ihrer Frage beschreiben, sind selten, werden aber gelegentlich gefunden. Mac Ransomware, die eine verwendet, muss noch gesehen werden. Es ist wahrscheinlich, dass Mac Ransomware langsam komplexer wird und dass vorsichtige, versierte Benutzer ihre Daten wahrscheinlich nicht so schnell an Ransomware verlieren werden. Aber ich kann die Zukunft nicht vorhersagen. Diese Antwort kann jahrelang Bestand haben und solche Ransomware wird wahrscheinlich irgendwann auftauchen. Aber die Bedeutung von "vorsichtiger, erfahrener Benutzer" wird sich wahrscheinlich auch im Laufe der Zeit ändern.

Momentan:

Ransomware wird es relativ schwer haben, Online-Time Machine-Backups zu löschen oder zu verschlüsseln. Selbst als Root / Superuser ist es schwierig, Time Machine-Backups zu löschen:

sudo rm /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak
Password:
override rw-r--r--  root/wheel for /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak? y
rm: /Volumes/BK1/Backups.backupdb/Orion/2017-03-18-184155/BOOT/var/du--sortedALLk.13224.bak: Operation not permitted

Aber es ist alles andere als ein unüberwindliches Problem. Ich denke, die Leute sollten davon ausgehen, dass der zusätzliche Schritt, den die Ransomware durchlaufen müsste (den ich kenne, aber nicht öffentlich machen möchte - ich würde Script-Kiddies lieber nicht helfen), um TM-Backups löschen oder verschlüsseln zu können, etwas ist Die meiste Mac-Ransomware, mit der Sie wahrscheinlich infiziert sind, ist für die Verwendung programmiert.

Time Machine-Benutzer werden aufgefordert, die Ausführung von Sicherungen häufig zuzulassen, was sie für Ransomware anfällig macht.

Aus diesem Grund sollten einige Sicherungslaufwerke seltener angeschlossen und sicherer aufbewahrt werden - sie sind nicht vollständig für das System zugänglich -, um speziell vor Ransomware zu schützen.

In der Regel stellen die Opfer fest, dass sie erst dann mit Ransomware infiziert wurden, wenn die Ransomware ihre Anwesenheit ankündigt. Daher können Sie wahrscheinlich nicht erkennen, dass ein Computer mit Ransomware infiziert ist, bevor er die Daten auf einem häufig oder ständig angeschlossenen externen Laufwerk verschlüsseln kann. Andernfalls ist keine sichere Annahme. Die Ransomware-Bedrohung macht eine bessere Katastrophenvorsorge, einschließlich einer größeren Anzahl physischer Offlinesicherungen, wichtiger.

Matthew Elvey
quelle
0

Dies ist schwer zu beantworten. Ich habe Diskussionen auf MacInTouch.com über genau dieses Thema gesehen. Und wenn Sie online über solche Neuigkeiten auf dem Laufenden bleiben, werden Sie feststellen, dass die Meinungen von "Chicken Little" bis "nee, machen Sie sich auf einem Mac keine Sorgen."

Die Wahrheit lebt wahrscheinlich irgendwo zwischen den beiden.

Generell haben es Viren aller Art auf dem Mac etwas schwerer. Ich laufe auf allen meinen Macs ohne installierten Virenscanner. Aber ich arbeite seit System 6 professionell und unterstütze Macs. Mit Sorgfalt, aktuellen Backups und wachsamen Gedanken (ja, richtig ...) sind Sie ohne Virenscanner ziemlich sicher. Trotzdem empfehle ich immer, einen Virenscanner zu installieren und auf dem neuesten Stand zu halten.

Ransomware erfordert normalerweise (wie viele andere Formen von Malware auf dem Mac), dass Sie einen Benutzernamen und ein Kennwort eingeben, um dem Malware-Installer die Rechte für seine Dirty Work zu erteilen. Unter Mac OS gibt es jedoch Schwachstellen, für die angeblich keine Administratorauthentifizierung erforderlich ist, um den Computer zu rooten.

Es gibt auch Malware, die versucht, sich als Ransomware auszugeben. Ein Mitarbeiter hat kürzlich einen Link zu einem Video geöffnet, das Safari auf seinem Mac mit etwas bösartigem Javascript infiziert hat. Beim Starten von Safari im abgesicherten Modus, dem Zurücksetzen auf die Standardeinstellungen und der anschließenden gründlichen Cache-Bereinigung (wir haben Onyx verwendet) wurde die sogenannte Ransomware von seinem Mac entfernt. er ärgerte sich, dass er darauf hereinfiel und sagte: "Ich wusste es besser und hätte dieses Video niemals öffnen sollen."

Ja, das beantwortet Ihre Fragen nicht vollständig (Teile 1 und 3), aber eine Online-Suche nach Artikeln über Ransomware auf Macs und eine Suche in MacInTouch kann Ihnen dabei helfen, sich weiterzubilden. Oder vielleicht hat hier jemand mehr Erfahrung damit.

Steve Chambers
quelle
Ich weiß, das ist einige Monate später, aber: Wissen Sie, ob FileVault vor Ransomware schützen würde? Würde einem Prozess ohne Root-Rechte der Zugriff auf das Löschen / Ändern / Verschlüsseln von durch FileVault geschützten Ordnern verweigert? Wäre Ransomware, die von einem unwissenden Benutzer Root-Rechte erhalten hat (der dachte, dass die Software etwas anderes ist), in der Lage, Ihre FileVault-Daten zu löschen, zu verschlüsseln oder zu ändern?
Revetahw
Ich habe keine wirkliche Erfahrung mit FileVault, sorry.
Steve Chambers
Okay, ich denke, ich werde das als separate Frage posten.
Revetahw
1
@fiksdal FV schützt die gesamte Festplatte, wird jedoch entsperrt, nachdem sich ein Benutzer angemeldet hat. Ich verstehe also nicht, wie dies vor Ransonware schützt.
Nohillside