Hacker maakt tool om ransomware op Mac te voorkomen
Mac-gebruikers kregen ongeveer een maand geleden de schrik van hun leven: voor het eerst was er ransomware voor Apple-computers ontdekt. Ransomware is een vorm van malware die je gehele schijf versleutelt en je pas weer toegang geeft als je geld betaalt. Nu is er een hacker opgestaan die zegt de oplossing te hebben.
Update 25 mei: iCulture-lezer Mark liet ons weten:
Vandaag heeft de ontwikkelaar versie 1.1 uitgebracht van RansomWhere (changelog). Enkele nadelen zijn wel gladgestreken nu. Zo controleert het niet alleen /Users/* maar het gehele bestandssysteem en vertrouwt het applicaties die zijn geverifieerd door Apple (dit voorkomt denk ik vals positieve meldingen).
Tool tegen ransomware
KeRanger, zoals de ransomware heet, infecteerde ongeveer 6.500 Macs. Vervelend, want je bent alle data kwijt als je slachtoffer van de malware bent, tenzij je een flink geldbedrag overmaakt. Gelukkig is er ook goed nieuws: een professionele hacker heeft een tool gemaakt waarmee hij naar eigen zeggen toekomstige infecties van ransomware kan voorkomen.
Die hacker is Patrick Wardle, die eerder bij de NSA werkte en nu onderzoek doet naar bugs voor Synack. Hij maakte ‘RansomWhere?’, dat tot stand kwam nadat Wardle een aantal voorbeelden van de ransomware op de Mac onderzocht. Hij kwam al snel tot de conclusie dat antivirussoftware niet voldoende was om deze vorm van malware te voorkomen. Wardle schreef een programma dat detecteert als er onbekende processen actief zijn die snel bestanden versleutelen. Een goede aanpak, want dit is exact wat ransomware doet. “De ransomware versleutelt waarschijnlijk een paar bestanden (idealiter maar twee of drie), voordat het ontdekt en geblokkeerd wordt”, schreef Wardle in een blog.
RansomeWhere?
Nadeel is dat sommige hackers code kunnen schrijven die zien dat RansomWhere? op je computer draait. Ze zouden daarna het programma kunnen blokkeren of een manier vinden om niet te worden opgemerkt. Daarnaast worden bestanden buiten je homedirectory niet beschermd door de tool. Ransomware zou daardoor bestanden buiten die mappen kunnen plaatsen en ze zo alsnog versleutelen.
Helemaal perfect is de tool dus niet, maar momenteel wel de beste optie om ransomware te voorkomen. De eerste versie van RansomWhere? is nu te downloaden.
- 2016 - 25 mei: Informatie over versie 1.1 toegevoegd.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 8 reacties