|
Alles rund um Mac OSX & Linux: Ransoms in Linux und MacWindows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate. |
17.02.2016, 12:13 | #1 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ransoms in Linux und Mac Mal ne Frage. Trojan-Downloader.MSWord.Agent.yc ist doch bestimmt so ein schiet mit Makrovirus oder? Kann der denn überhaupt auf dem Mac was anrichten, wenn man den mit Word for MacOS öffnet oder wird da eher ein Windows als Unterbau erwartet?
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (18.02.2016 um 11:47 Uhr) |
17.02.2016, 22:29 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ransoms in Linux und Mac Dante12 antwortete:
__________________Zitat:
.yc bezieht sich aber doch auf den Namen einer Schdälingsvariante, nicht auf eine Dateiendung, oder doch?
__________________ Geändert von cosinus (18.02.2016 um 10:39 Uhr) |
18.02.2016, 01:14 | #3 |
/// Mac Expert | Ransoms in Linux und Mac Das ist möglich genaueres kann ich sagen wenn ich den Anhang in den Resourcen-Editor laden kann. Allerdings wird dieses Dokument beim öffnen das eingebettete VBA-Makro aufrufen das den Schädling auf den Rechner installiert. Da Kaspersky das nicht entfernen konnte, vermutete ich das es mittels yacc kompiliert und verschlüsselt wurde.
__________________Zwei Dinge aber kann ich auf jeden Fall sagen die zu einer Nicht-Infizierung auf einen Mac führen: 1. Das MS Office läuft am Mac im Sandboxed-Modus (kein direkter Zugriff auf kritische Systemordner). 2. Ich kenne noch keine Implementierung von VBA (bis heute) die zuverlässig auf den Mac funktioniert.
__________________ |
18.02.2016, 09:33 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ransoms in Linux und Mac Ich glaub den Erpressern sind Systemordner egal, die haben ihr Ziel ja schon erreicht, wenn die (ungesicherten) Userfiles verschlüsselt sind. Gibt es beim Mac eigentlich sowas wie Schattenkopien?
__________________ Logfiles bitte immer in CODE-Tags posten |
18.02.2016, 10:10 | #5 | |
/// Mac Expert | Ransoms in Linux und MacZitat:
Mac OS X (Unix) wie jedes andere Linux-System mit der Funktion Journaling das was du meist. Von jeder gemachten Änderung wird eine Kopie angelegt. Das erhöht die Ausfallsicherheit. Die Kopien werden zum ersten auf den Datenträger versteckt angelegt und zum zweiten durch das Journaling Hardwareseitig eine inode angelegt die die Metadaten jeder einzelnen Datei beinhaltet. Diese bleiben solange erhalten bis sie durch löschen UND überschreiben endgültig entfernt werden. Die INode ist eindeutig. https://support.apple.com/de-de/HT204435
__________________ ----------------- -Gruß dante12 ----------------- Lob, Kritik, Wünsche? Spende fürs trojaner-board? Geändert von cosinus (18.02.2016 um 10:41 Uhr) Grund: Frage an "joha" in den ursprünglichen Thread zurückkopiert |
18.02.2016, 10:33 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ransoms in Linux und Mac Das Journal bei Journaling-Dateisystemen hat aber doch nen anderen Zweck, nämlich die Konsistenz bei Systemabstürzen/Stromausfall sicherzustellen => https://de.wikipedia.org/wiki/Journaling-Dateisystem Ein Journal hat doch nix mit mit Schattenkopien/VSS o.ä. zu tun. Angenommen so ein ransom ist lauffähig unter Macoder Linux und verrichtet erfolgreich seine Arbeit, sprich hat die Dateien oder zumindest einen Teil aller Dateien verschlüsselt, dann sind das doch formell saubere Dateisystemoperationen oder nicht? Mir fällt da nur eine Sache unter Linux ein, mit dem ich so etwas ähnliches wie Schattenkopien hätte: snapshot-device in LVM, wo die Schreibzugriffe umgelenkt werden die Originaldateien aber erhalten bleiben. BTW: ich glaub wir sollten unsere Diskussionen mal auslagern, das stört den TO wohl zu sehr sonst
__________________ --> Ransoms in Linux und Mac |
19.02.2016, 06:52 | #7 |
/// Mac Expert | Ransoms in Linux und Mac Einen direkten VSS Service hat der Mac nicht. Dafür gibt es ja Time Machine. Damit wird stündlich ein lokales Snapshot des Systems und der Dateien erstellt. Eine Wiederherstellung erfolgt dann am besten über die Wiederherstellungsumgebung. Da kann man das System Neu installieren und die User-Daten aus Time Machine wiederherstellen. Somit ist sichergestellt das alle Systemdateien ersetzt und die Daten des Users zurückgeschrieben werden.
__________________ ----------------- -Gruß dante12 ----------------- Lob, Kritik, Wünsche? Spende fürs trojaner-board? |