CTB-Locker greift Webseiten an: WordPress gefährdet?

Der Kryto-Trojaner „CTB-Locker“ hat es (wie der gerade in Deutschland und Österreich sehr aktive Virus „Locky“) mittlerweile nicht mehr nur auf die Windows-PCs zuhause und im Büro abgesehen: Mittlerweile soll eine neue Variante des Trojaners auch versuchen, Webserver anzugreifen und die Daten dort zu verschlüsseln: Bilder, Texte, Datenbanken und Skripte sollen mit einem AES-256 Code verschlüsselt werden und lassen sich erst nach Zahlung von aktuell 0,4 Bitcoins wieder freischalten. Wer nicht schnell genug zahlt, soll anschließend die doppelte Summe für die Freischalten zahlen: Die knapp gesetzten Termine sollen die Webmaster zur schnellen Zahlung ermutigen, anstatt mit Backups zu versuchen, die Daten wiederherzustellen.

Hat der Erpresser-Trojaner eine Webseite erfolgreich infiziert, wird statt dem eigentlichen Inhalt nur noch der Erpresser-Brief gezeigt, nahezu alle Dateien auf dem Webserver sollen verschlüsselt sein und sich erst nach der Zahlung des Lösegeldes wieder anzeigen lassen. Schuld könnte eine Sicherheitslücke in einer häufig genutzten Software sein: Die Webseite heise.de vermutet, dass Sicherheitslücken in veralteten Versionen von der Blog- und CMS Software WordPress den Schädling auf den Server lassen – die aktuelle Version 4.4.2 behob, wie auch die Vorgänger, wieder einige Fehler im Programmcode.

Attention! What happened?

Your personal files are encrypted by CTB-Locker.
Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.

Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.

Learn more about the algorithm can be here: Wikipedia

Fbi’s advice on cryptolocker just pay the ransom

 
Die deutsche Übersetzung der Meldung kommt mit Google Translate und ist daher nicht immer direkt verständlich, enthält aber die gleiche Warnung:

Aufmerksamkeit! Was ist passiert?

Ihre persönlichen Dateien werden verschlüsselt durch CTB-Locker.
Ihre Skripte, Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden mit stärkste Verschlüsselungsalgorithmus AES-256 und eindeutigen Schlüssel, generiert für diese Seite verschlüsselt.

Decryption Key befindet sich auf einem geheimen Internet – Server gespeichert und niemand kann Ihre Dateien entschlüsseln , bis Sie den Entschlüsselungsschlüssel bezahlen und erhalten.

Erfahren Sie mehr über den Algorithmus kann hier sein: Wikipedia

Fbi Rat auf cryptolocker zahlen nur das Lösegeld

 
Daten retten ohne zahlen?

Bisher ist keine Möglichkeit bekannt, um die Daten zu entschlüsseln, ohne das verlangte Lösegeld zu zahlen. Wer ein aktuelles Backup von allen Dateien, Skripten und Datenbanken des Servers hat, kann dieses versuchen einzuspielen. Da bisher nicht bekannt ist, wie genau die Angreifer den Trojaner auf den Server überspielen konnten, hilft anschließend aber nur eine Aktualisierung sämtlicher Web-Applikationen wie zum Beispiel WordPress, um den Angreifer von einer neuen Infektion abzuhalten.

Die Angreifer warnen aber davor, Daten zu verändern oder zu löschen, da ansonsten auch das Entschlüsselungsprogramm nicht mehr helfen könne und man trotz Zahlung des Lösegeldes seine Dateien nicht mehr retten kann.