it-swarm.com.de

MacOS Ransomware mit EFI Lock

Problembeschreibung

Gestern hat mich meine Mutter angerufen, dass sie eine Nachricht auf ihrem iPhone erhalten hat, dass sie gestohlen wurde ( iCloud Find My Phone). Sie musste dann Sicherheitscodes ( Zwei-Faktor-Authentifizierung) in ein Textfeld auf ihrem MacBook eingeben. Ich war zu diesem Zeitpunkt nicht dort, daher kann ich es nicht wirklich beweisen. Ich denke, dies war bereits ein Phishing-Fenster der Ransomware.

Sie benutzt mein altes MacBook, ein Anfang 2011, 13 "mit aktualisierter SSD und 16 GB RAM, mit 10.10 installiert.

Als ich ankam, war das MacBook bereits kompromittiert und zeigte nach dem Booten die folgende Meldung an:

(Ransomware Screenshot

Die Nachricht ist auf Deutsch und sagt:

Ihr Computer ist deaktiviert. Versuchen Sie es in 59 Minuten erneut.
(Translation: Your computer is deactivated. Try it again in 59 minutes.)

write to email: [email protected]

[email protected] ist definitiv keine gültige Apple Mail-Adresse.

Ich habe nach genau der gleichen Nachricht gegoogelt und keine wirklich guten Ergebnisse erzielt. Die einzigen Ergebnisse, die ich fand, waren diese:

Wie man es repariert?

Mein Gedanke war, dass es nur eine Bildschirmüberlagerung war und es möglich sein sollte, in ein anderes Betriebssystem (Live-Ubuntu) zu booten, um Zugriff auf die Daten zu erhalten. Ich wollte eine Spur der Ransomware finden. Vielleicht könnte ich herausfinden, wie es heißt oder was es mit den Daten macht.

Als ich versuchte, von einem anderen Gerät zu booten, wurde der Mac mit einem EFI-Firmware-Schutzkennwort gesperrt (der gleiche Bildschirm mit der kleinen Sperre wurde angezeigt). Ich habe das nie eingestellt und ich bezweifle wirklich, dass meine Mutter es getan hat. Es könnte also nur die Ransomware sein.

Also musste ich zuerst das Firmware-Passwort zurücksetzen. Zum Glück habe ich einen Blogeintrag gefunden, der beschreibt, wie Sie die Anzahl der RAM - Sticks in Ihrem System ändern und dann die [~ # ~] zurücksetzen müssen. Kinderwagen [~ # ~] / [~ # ~] nvram [~ # ~] . Ich dachte, es klingt ein bisschen wie Magie, aber auf der anderen Seite könnte das System nicht schlechter werden.

Ich entfernte einen RAM Stick, gebootet mit STRG + ALT + P + R und wartete auf drei Neustarts .

Danach war die Firmware-Sperre weg und es war möglich, auf einen USB-Stick zu booten. Ich habe auf der Mac-Partition nach den letzten Dateiänderungen gesucht, konnte aber nichts finden. Die Daten des Home-Ordners wurden nicht verschlüsselt (es handelte sich also möglicherweise um einen Hoax).

Also habe ich eine Sicherungskopie ihrer Daten erstellt und dann erneut versucht, einen normalen Startvorgang durchzuführen. Überraschenderweise war die Ransomware-Nachricht weg! Ich könnte einfach wie gewohnt in das System booten.

Ich führe einen Bitdefender-Scan durch, aber es wurde nichts gefunden. Es ist wirklich mysteriös und ich habe keine Ahnung, was wirklich passiert ist.

Frage

Meine Frage ist nun, kennt jemand dieses Problem oder diese Art von Angriff? Ich habe keine Ahnung, wie die Angreifer das Firmware-Passwort festlegen konnten und wo die Software der Ransomware lief.

Vielleicht war es auf einer eigenen Partition, aber ich konnte es nicht finden. Das MacOS scheint nicht beschädigt zu sein.

Update

Ich fragte einen Apple Store-Mitarbeiter heute und er wusste nichts über einen solchen Hack. Aber er sagte mir, dass es nicht möglich sein sollte, das Firmware-Passwort zurückzusetzen. Nur Apple ist dazu in der Lage.

7
cansik

Erläuterung

Es scheint, dass es kein Virus oder Hack auf Ihrem Computer ist. Die angezeigte Meldung kann festgelegt werden, wenn Sie Ihr Gerät über iCloud (Find My Phone) sperren.

Es scheint also, dass Apple hat eine iCloud-Hintertür oder ähnliches. Nur mit dem Passwort wäre es aufgrund der aktivierten Zwei-Faktor-Authentifizierung nicht möglich, sich bei iCloud anzumelden. Also die Angreifer wirklich Sie haben Zugriff auf Ihre iCloud, jedoch nicht direkt auf Ihren lokalen Computer.

Der iCloud-Account meiner Mutter stammt aus dem April 2017, es handelt sich also nicht nur um einen alten iCloud-Hack.

Höchstwahrscheinlich liegt es am folgenden iCloud-Hack:

Hacker: Wir werden iPhones aus der Ferne löschen, es sei denn Apple zahlt Lösegeld (Vice, 21. März 2017)

Lösung

Wenn Ihnen dasselbe passiert ist, müssen Sie Ihr Apple Gerät zum nächsten Apple Speichern zusammen mit Ihrer Quittung) bringen. Die Quittung bestätigt, dass Sie der Eigentümer sind das Gerät, so kann der Apple Store es entsperren.

Aus Sicherheitsgründen empfehle ich, Ihr Passwort zurückzusetzen und die Zwei-Faktor-Authentifizierung zu aktivieren.

Wenn Sie ein 2011 Macbook besitzen, könnte das PRAM/NVRAM-Wipe auch für Sie funktionieren, aber Sie müssen es auf eigenes Risiko tun.

4
cansik

Wie Sie bereits erwähnt haben, scheint dies kein echter Ransomware-Angriff zu sein. Die meisten Ransomware-Programme, einschließlich der neuesten WannaCry und NotPetya, verfügen über mindestens gute Dateiverschlüsselungsmechanismen. Sie haben jedoch erwähnt, dass die Dateien nicht wirklich verschlüsselt waren, sodass ich sie nicht als Ransomware klassifizieren würde.

Da das Hauptziel einer Ransomware darin besteht, Geld zu verdienen (es wird diskutiert, dass einige der jüngsten Varianten eher als DoS-Angriffstools als für die Lösegeldsammlung existieren - aber darauf werde ich nicht eingehen), hinterlassen sie normalerweise eine Bitcoin-Adresse, wo Sie könnten Machen Sie eine Zahlung an sie, um einen eindeutigen Entschlüsselungsschlüssel zu erhalten.

Der Modus Operandi dieser Infektion stimmt nicht wirklich mit dem einer Ransomware überein. Dies scheint eher ein Scherz zu sein, der Benutzer nervt, indem er sie von ihren Maschinen ausschließt.

Nebenbei

Vielleicht werde ich versuchen, eine E-Mail an die von Ihnen angegebene Adresse zu schreiben und zu prüfen, ob sie einen Lösegeldbetrag verlangen, um meinen Computer zu "reparieren". Da sie vorgeben, "Apple" zu sein (sie machen auch einen schlechten Job, da die Domain gmx.com ist, ein deutscher Dienst, der kostenlose E-Mail-Konten anbietet ), versuchen sie eher, ahnungslos zu betrügen Benutzer aus etwas Geld. Zum Beispiel Denken Sie an die gefälschten "Microsoft Service Support" -Anrufe, die (normalerweise ältere) Personen erhalten, die nach einer Remoteverbindung zu ihrem Computer fragen, gefälschte "Infektionen" durch Farbcodierung einiger DOS-Befehle anzeigen und um ~ 300 US-Dollar bitten, um das Problem zu beheben. Es ist ein unkomplizierter Social-Engineering-Versuch, aber er funktioniert bei Personen, die mit ihren Computern nicht sehr vertraut sind.

2
whoami

Das ist mir gestern passiert, ich habe mein Macbook Pro (neuestes Modell) und mein iPad Pro heruntergefahren. Leider können Sie die oben genannten Modelle nicht ausführen, müssen also in den Laden gehen.

1
James

Mein MacBook Pro Ende 2013 hat seit heute das gleiche Problem. Nach dem Booten wurde der gesperrte Bildschirm mit der gleichen Massage angezeigt. E-Mail an [email protected] war der Kontakt hier. Jemand hat mein iCloud-Konto gehackt und damit mein MacBook gesperrt. Ich entscheide mich, es zu prüfen und während die Anmeldung in meinem Konto Apple sagt, es ist "aus Sicherheitsgründen gesperrt". Nach dem Zurücksetzen meiner Apple ID Passwort und viele Fragen und Verfahren, ich sehe deutlich in "Find my ...", dass mein Mac Book gesperrt war und nach vielen Anrufen nur Apple Support kann es beheben.

Ich habe auch im Internet über die Änderung von RAM, um das Problem zu beheben, aber auch, dass es auf neueren MacBooks als 2012 nicht funktioniert) gelesen. Mein anderes MacBook Pro läuft Ende 2014 auf demselben Apple ID war nicht gesperrt. Vielleicht, weil ich es am Wochenende nicht heruntergefahren oder neu gestartet habe. Ich werde es nicht versuchen, bis das erste MacBook nicht läuft.

Nach dem Mailen an die gefälschte [email protected] erhalte ich eine Massage, um 50 $ in Bitcoins zu bezahlen und sie an 1LtEdJmSApVYMYFXzLeaYtuvXFVPv9kzo3 zu senden

Ich war überrascht, aber 50 $ sind nicht viel Geld und vielleicht hört es hier nicht auf, als 100 $ als 300 $ und so weiter. Und nach dem erneuten Versand war es wahr, dass sie 100 $ wollen. Auf keinen Fall...

Mein Rat: Nicht mailen, nicht antworten und definitiv nicht bezahlen.

Apple Store Korrigieren Sie das Problem und ändern Sie Ihr Passwort in Ihre Apple ID und 2-Wege-Authentifizierung ...

1
David

Ich bin auch dieser genau gleichen Fehlermeldung zum Opfer gefallen. Was seltsam ist, dass mein Mac beim Herunterfahren des Sperrbildschirms beim Herunterfahren für 60 Minuten deaktiviert ist. Dies, obwohl ich nicht einmal versucht habe, den Passcode zu knacken.

Ich gebe cmd + r ein, um in den Wiederherstellungsmodus zu gelangen, der eher dem Firmware-Sperrbildschirm ähnelt. Ich warte darauf, von Apple gesehen zu werden. Es ist schwierig, einen genialen Termin zu bekommen. Ich ging zuerst zum Apple autorisierten Reseller und sie konnten mir nicht helfen, da sie sagten, dass der Prozess erfordert, dass sie trotzdem mit Apple sprechen, also sagten sie, gehen Sie einfach direkt zu Apple.

Was ist aus Neugier der Sperrbildschirm, wie er auf dem geposteten Bild dargestellt ist? Wäre dieser 6-stellige Passcode etwas von Apple oder ist er nur für jemanden gedacht, der mein icloud-Konto gehackt hat?

Es ist jetzt 5 Tage her und ich habe immer noch keinen funktionierenden Laptop. Es ist schwer, mich um die Arbeit zu organisieren ...

1
bobby

Ich bin seit über 8 Jahren ein Apple Technition. Ich sehe dies die ganze Zeit in der Genius Bar. Planen und einfach, Ihr iCloud-Passwort wurde kompromittiert. Der Angreifer hat gerade den verlorenen Modus auf Ihren Geräten aktiviert sind mit Ihrem iCloud-Konto verknüpft. Wenn ein Computer in den "verlorenen Modus" wechselt, wird eine Firmware-Sperre hinzugefügt. Die einzige Möglichkeit, dieses Problem zu beheben, besteht darin, einen Termin in der Genius Bar zu vereinbaren und Ihren Computer mit einem Kaufnachweis einzuschalten In der Lage, die Firmware-Sperre mit dem Hash-Code des Computers zu entfernen, dann können sie das Betriebssystem neu partitionieren und neu installieren. Ich hoffe, Sie haben ein Backup.

1
DirtyOrange

Der Bildschirm, auf dem die Sperre nach dem Glockenspiel/Post angezeigt wird, ist die Firmware-Sperre. Wenn Sie cmd + opt + crtl + shift + S gedrückt halten, wird der Hashcode angezeigt. Dieser wird von Apple zum Zurücksetzen der Firmware-Sperren) verwendet. Nach dem Hochfahren des Computers wird der Bildschirm für den verlorenen iCloud-Modus mit angezeigt die 4 Ziffern. Leider habe ich keine Antwort, wie diese Angreifer 2 Schritte bestanden werden. Viel Glück.

1
DirtyOrange

Ich wurde kürzlich davon angegriffen. In meinem Fall funktioniert der Neustart des PRAM NVRAM nicht. Ich bekomme einen anderen Sperrbildschirm, nur eine Grafik eines Schlosses und ein Feld zur Eingabe von Text, sonst nichts. Der Sperrbildschirm fordert beim Booten normalerweise eine vierstellige Zahl an PIN und fordert an, eine E-Mail an [email protected] zu senden

Ich erhielt auch die Nachricht von Apple über Kalunga. Als ich auf mein iCloud-Konto zugegriffen habe, war mein Desktop ebenfalls gesperrt. Auf dem Sperrbildschirm auf meinem Desktop wurde nach einer sechsstelligen PIN gefragt.

Mein iPhone und mein zweiter Desktop, die sich an einem anderen Ort auf einem anderen Router befanden, waren nicht betroffen.

.

0
Mirvine