Ransomware: zijn Mac-gebruikers veilig?

Noud van Kruysbergen
0

Tot voor kort konden Mac-gebruikers rustig achterover leunen: ransomware was iets voor Windows-pc’s. Begin maart 2016 dook ineens echter KeRanger op. Dit was de eerste uitgebreide trojan die gegevens van Mac-gebruikers versleutelt en vraagt om het betalen van losgeld met bitcoins.

De manier waarop de ransomware zich verspreidde was bijzonder. Anders dan bij Windows, waar ransomware via mails of drive-bydownloaders binnenkomt, vond KeRanger zijn weg als de zogenaamd nieuwe versie van Transmission, een populaire bittorrentclient. Blijkbaar hadden de cybercriminelen de websites van de ontwikkelaar gehackt en de ransomware in een installatie bestand van de nieuwe versie van de client gestopt. Wie tussen 4 en 5 maart via de website versie 2.90 van Transmission binnenhaalde en installeerde, kreeg de ransomware ongemerkt binnen.

Omzeilen

Om de beveiligingsmechanismes van OS X te omzeilen, was de code ondertekend met een geldig ontwikkelaarscertificaat dat vermoedelijk was gestolen. De rest werkt net zoals bij Windows: na het installeren wacht KeRanger 72 uur en gaat alles versleutelen. De trojan werkt met normale gebruikersrechten en richt zich op documenten (.doc, .docx, .ppt,.pptx, .xls e.d.), foto’s, audio/videobestanden, archieven, databases en meer.

Apple heeft het ontwikkelaarscertificaat dat werd gebruikt geblokkeerd en de signatures van zijn basale virusscanner XProtect bijgewerkt. Daardoor levert die versie van KeRanger geen acuut gevaar meer op, maar in principe kan iets vergelijkbaars zo weer gebeuren.

Bescherming voor OS X

Ook voor OS X geldt: maak back-ups om je data veilig te stellen, zodat je geen losgeld hoeft te betalen. Het mooie aan OS X is de Time Machine-optie om heel makkelijk back-ups te kunnen maken. Als je daar gebruik van maakt kun je  een oudere, niet-versleutelde versie van je bestanden terughalen.

KeRanger heeft echter al functies om die back-ups dwars te liggen, maar die zijn in de huidige versie niet actief. Het is ook niet makkelijk om met normale rechten Time Machine-back-ups te wissen. Maar het is wel mogelijk. Op internet circuleren handleidingen die we bij wijze van test doorlopen hebben. Daarmee kan ransomware als KeRanger je back-ups verstoren.

Superveilig

Als je helemaal op safe wilt spelen, sla je je back-ups op buiten bereik van malware. Het makkelijkst is om je bestanden op een externe schijf te zetten die alleen voor het maken van back-ups wordt aangesloten. Dus daarna leg je hem meteen weer veilig in de la. Om te voorkomen dat tijdens het maken van een back-up de back-upschijf  wordt vernield, kun je werken met meerdere externe schijven. Wissel ze af of maak naast je dagelijkse back-ups maandelijkse back-ups op een andere schijf.

Een andere manier is bestanden opslaan op externe systemen waar ransomware geen (schrijf )toegang tot kan krijgen. Time Machine kan versleutelde back-ups maken die je veilig bij vrienden of in de cloud kunt parkeren. De in het hoofdartikel beschreven tool Duplicati kan meerdere brondoelen gebruiken en is ook beschikbaar voor de Mac.

Back-upoplossingen die werken volgens het pull-principe zie je vaak bij zakelijke omgevingen. De backupserver haalt de bestanden van de client en stelt daarvoor shares beschikbaar. Of hij installeert een speciale agent waarmee de server de bestanden kan binnenhalen. In die situatie kan een trojan op een client-pc geen toegang krijgen tot de veilig opgeslagen bestanden.

Antivirus

Of je als voorzorg een virusscanner op je Mac moet installeren? Voor zover wij weten had geen enkel bestaand antivirusprogramma de infectie met KeRanger kunnen tegenhouden. Ze grijpen pas in als ze de bijbehorende signatures binnengekregen hebben om de ransomware te kunnen herkennen. Aangezien Apple ook de XProtect-signatures heeft bijgewerkt, waren Macs zonder virusscanners net zo goed beschermd.

Hoe het er bij toekomstige ransomware gaat uitzien, is nog onbekend. De ervaringen bij Windows laten zien dat antivirussoftware niet veel bescherming biedt bij nieuwe bedreigingen. Hopelijk herkennen ze dankzij de nu bekende signatures een nieuwe versie van KeRanger op tijd. Ga daar echter niet zomaar vanuit. Bestaande signatures zijn met niet al te veel moeite te omzeilen. Totdat er nieuwe komen kan er al veel schade worden aangericht.

Of het bij Mac-gebruikers net als bij Windows ook zo’n miljoenenbusiness is, is echter de vraag. Zonder het geld ontbreekt de belangrijkste reden om aan de lopende band ransomware uit te brengen. Het is waarschijnlijker dat er meer losse proefballonnen gaan opduiken die op KeRanger lijken. Maar ransomware voor OS X zal niet ineens massaal gaan opkomen.

Meer over

Malware

Deel dit artikel

Lees ook

Processor snelheid opvoeren: trucs van moederbord-fabrikanten

Moederbordfabrikanten gebruiken trucs voor de processor snelheid opvoeren op hun moederborden. Daardoor kan het verbruik onverwacht hoger zijn en het ...

Antivirus programma voor Windows: Defender vs. betaalde software

Heb je een antivirus programma voor Windows nodig in plaats van de standaard geïnstalleerde Windows Defender? We zijn op zoek gegaan naar een antwoord...

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er