Hacker maakt tool om ransomware op Mac te voorkomen
· Laatst bijgewerkt:
Mac-gebruikers kregen ongeveer een maand geleden de schrik van hun leven: voor het eerst was er ransomware voor Apple-computers ontdekt. Ransomware is een vorm van malware die je gehele schijf versleutelt en je pas weer toegang geeft als je geld betaalt. Nu is er een hacker opgestaan die zegt de oplossing te hebben.
Update 25 mei: iCulture-lezer Mark liet ons weten:
Vandaag heeft de ontwikkelaar versie 1.1 uitgebracht van RansomWhere (changelog). Enkele nadelen zijn wel gladgestreken nu. Zo controleert het niet alleen /Users/* maar het gehele bestandssysteem en vertrouwt het applicaties die zijn geverifieerd door Apple (dit voorkomt denk ik vals positieve meldingen).
Tool tegen ransomware
KeRanger, zoals de ransomware heet, infecteerde ongeveer 6.500 Macs. Vervelend, want je bent alle data kwijt als je slachtoffer van de malware bent, tenzij je een flink geldbedrag overmaakt. Gelukkig is er ook goed nieuws: een professionele hacker heeft een tool gemaakt waarmee hij naar eigen zeggen toekomstige infecties van ransomware kan voorkomen.
Die hacker is Patrick Wardle, die eerder bij de NSA werkte en nu onderzoek doet naar bugs voor Synack. Hij maakte ‘RansomWhere?’, dat tot stand kwam nadat Wardle een aantal voorbeelden van de ransomware op de Mac onderzocht. Hij kwam al snel tot de conclusie dat antivirussoftware niet voldoende was om deze vorm van malware te voorkomen. Wardle schreef een programma dat detecteert als er onbekende processen actief zijn die snel bestanden versleutelen. Een goede aanpak, want dit is exact wat ransomware doet. “De ransomware versleutelt waarschijnlijk een paar bestanden (idealiter maar twee of drie), voordat het ontdekt en geblokkeerd wordt”, schreef Wardle in een blog.
RansomeWhere?
Nadeel is dat sommige hackers code kunnen schrijven die zien dat RansomWhere? op je computer draait. Ze zouden daarna het programma kunnen blokkeren of een manier vinden om niet te worden opgemerkt. Daarnaast worden bestanden buiten je homedirectory niet beschermd door de tool. Ransomware zou daardoor bestanden buiten die mappen kunnen plaatsen en ze zo alsnog versleutelen.
Helemaal perfect is de tool dus niet, maar momenteel wel de beste optie om ransomware te voorkomen. De eerste versie van RansomWhere? is nu te downloaden.
- 2016 - 25 mei: Informatie over versie 1.1 toegevoegd.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Weekend kijktips: Jane, Amsterdam Centraal 24/7, The Last of Us en meer (19-04)
- Waarom je geen Apple Intelligence kan gebruiken in WhatsApp en Instagram (en andere apps) (17-04)
- Game over voor Mythic Quest: langlopende Apple TV+ serie stopt plotseling (maar met een nieuw einde) (15-04)
- Weekend kijktips: Doctor Who, Friends & Neighbors, Black Mirror en meer (12-04)
- Apple TV+ vanaf nu via Amazon Prime Video af te sluiten in Nederland (met een flinke korting) (09-04)
Ook interessant
Kwetsbaarheid in Microsoft-apps op Mac kan hackers toegang geven tot camera en microfoon
Zo gebruik je tabbladen in macOS
Zo houd je de Mac-menubalk overzichtelijk
Bluetooth-problemen op de Mac oplossen
Zo voorkom je dat je Mac in stand-by gaat
Maak een backup van je Mac met SuperDuper of Carbon Copy Cloner
Hey beter iets dan niets.
Ben zo wie zo van mening dat de grote os bouwers hier veel te weinig aan doen.
Apple, koop dit over en maak standaard voor MacOS.
Apple heeft heus de techneuten wel in huis om zoiets zelf te ontwikkelen.
Hoi Eveline,
Bedankt voor je artikel. Ik wil even een klein punt van kritiek geven op het begin van je artikel. Het is namelijk onwaarschijnlijk dat de hackers overgaan op het decrypten van je data nadat je het geldbedrag hebt betaald. Ik geloof zelfs dat je zoveel kunt betalen als je wilt aan de kwaadwillenden, maar dat ze je computer nooit gaan decrypten.
Ik weet dit niet uit eerste hand, maar ik heb nog nooit gehoord dat iemand ransomeware had en na betaling zijn data terug kreeg…
Kortom, als je slachtoffer bent van zo iets kan je beter snel je computer uitzetten en hem schoon installeren zodat je de (hopelijk niet geïnfecteerde) reservekopie gerug kan zetten. En dus nooit betalen, zou mijn advies zijn.
Inhaken op Super Remie, op een punt dat ik al wilde stellen:
Hoe zit het met je TimeMachine reservekopieën? Mijn NAS, waar deze backups op worden gemaakt is niet standaard verbonden, maar Time Machine verbindt automatisch wanneer nodig. En daarnaast is het zo dat je altijd naar een eerder punt van je back-ups kan gaan. Maar kan Ransomware ook dit encrypten?
Je argument klopt niet. Er wordt wel degelijk “gedecrypt” na betaling. Als men dit namelijk niet zou doen zou namelijk nooit iemand meer betalen. Dat ze altijd decrypten wil ik nou ook weer niet beweren, maar wel dat ze het zodanig vaak wel doen (de sleutel overhandigen) dat niet in de markt gaat rondzingen dat ze het nooit doen.
@Super Remie: dan moet je toch eerst eens wat research doen voor je iets schrijft want er word wel degelijk (meestal) een decryptiesleutel gegeven na betaling.
@Sander: Wat ik van deskundigen bij mij op het werk heb gekregen is dat ook online disken kunnen worden besmet. Ik heb om die reden twee extra harde schijven gekocht die ik periodiek om en om gebruik en off line bewaar. Naast mijn automatische backup schijf. De meeste randomware schijnt tamelijk snel na binnenkomst actief te worden, dus als je wat oudere backups bewaard is de kans groot dat die niet besmet zijn.
En wat ik begrijp is dat er wel gedecrypt wordt (in ieder geval bij bedrijven) omdat anders al snel geen hond meer betaald.
Van een groot veiligheidsbedrijf begrijp ik dat er vrijwel niets aan te doen is (nog). Ook zij hebben snuffelsoftware gebouwd die detecteert of er abnormale activiteit op het netwerk gebeurd en die dan in staat is een deel van de schijf af te schermen, maar ook dan ben je al een aantal bestanden kwijt. gaat in ieder geval ook goud geld kosten