Der Erpressungs-Trojaner CTB-Locker hat es dieses Mal nicht auf Windows-Nutzer, sondern auf Webserver abgesehen. Er hat bereits Dateien hunderter Websites verschlüsselt, ein Ende ist derzeit nicht absehbar.
Erstmals hat es ein Erpressungs-Trojaner im großen Stil auf Webserver abgesehen: Die Ransomware CTB-Locker befällt Websites und verschlüsselt alle Dateien, die sie finden kann. Anschließend erscheint beim Aufruf der Site nur noch der Erpresserbrief, welcher den Admin zur Überweisung von Bitcoins auffordert. Hunderte Web-Präsenzen sind dem Krypto-Trojaner bereits zum Opfer gefallen.
Dies ist nach derzeitigem Kenntnisstand keine leere Drohung: Das Schad-Skript sucht auf den betroffenen Server nach fast 600 Dateitypen, darunter .html, .php, .js, .xml, .exe und diverse Bildformate. Die Dateinamenerweiterungen, auf die es CTB-Locker abgesehen hat, findet man auf den befallenen Servern in der Datei extensions.txt. Aktuell enthält sie folgende Endungen:
CTB-Locker verschlüsselt die Funde mit AES. Zwei zufällig ausgewählte Dateien behandelt das Skript gesondert, es nutzt für sie einen anderen AES-Schlüssel. Diese beiden Dateien kann der Website-Betreiber über das Erpresser-Skript kostenlos entschlüsseln, um sich von der einwandfreien Funktion des Decryptors zu überzeugen.
Anfangs fordert die Server-Version von CTB-Locker ein Lösegeld in Höhe von 0,4 Bitcoin, was aktuell rund 150 Euro entspricht. Die Erpresser drohen damit, das Lösegeld zu verdoppeln, wenn der Admin nicht bis zu einem bestimmten Termin zahlt. Um sicherzustellen, dass das Geld auch ankommt, haben die Täter ein YouTube-Video in ihren Erpressungsbrief eingebettet, das erklärt, wie man online Bitcoins kauft. Über das Schad-Skript kann der Admin die Täter sogar über einen Support-Chat erreichen.
Krypto-Trojaner in PHP
Die aktuell bekannte Fassung des Server-Schädlings ist in PHP programmiert. Den Quellcode seiner Skripte
Bisher ist kein Weg bekannt, die Dateien ohne Zahlung des Lösegelds zu entschlüsseln. Wer betroffen ist, sollte zunächst versuchen, das Schlupfloch aufzuspüren, durch das die Täter eingedrungen sind. Anschließend sollte man das jüngste Backup vor der Infektion einspielen und das Schlupfloch schnellstmöglich schließen.
Schutzmaßnahmen
Um eine Infektion zu verhindern, sollte man inbesondere darauf achten, dass die eingesetzten Web-Applikationen wie WordPress und Joomla laufend auf dem aktuellen Stand sind. Selbiges gilt für Server-Prozesse wie Apache, nginx und PHP. Aktuell ist ausschließlich eine PHP-Version des Schädlings bekannt, er kann also nur Dateien auf Servern verschlüsseln, die PHP ausführen können.
Quelle; heise
Erstmals hat es ein Erpressungs-Trojaner im großen Stil auf Webserver abgesehen: Die Ransomware CTB-Locker befällt Websites und verschlüsselt alle Dateien, die sie finden kann. Anschließend erscheint beim Aufruf der Site nur noch der Erpresserbrief, welcher den Admin zur Überweisung von Bitcoins auffordert. Hunderte Web-Präsenzen sind dem Krypto-Trojaner bereits zum Opfer gefallen.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
kannte man bisher nur als Windows-Schädling. Nun befällt ein gleichnamiger Verschlüsselungs-Trojaner hunderte Websites, wodurch diese nur noch eine englischsprachige Botschaft der Online-Erpresser anzeigen: "Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site".Dies ist nach derzeitigem Kenntnisstand keine leere Drohung: Das Schad-Skript sucht auf den betroffenen Server nach fast 600 Dateitypen, darunter .html, .php, .js, .xml, .exe und diverse Bildformate. Die Dateinamenerweiterungen, auf die es CTB-Locker abgesehen hat, findet man auf den befallenen Servern in der Datei extensions.txt. Aktuell enthält sie folgende Endungen:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Anfangs fordert die Server-Version von CTB-Locker ein Lösegeld in Höhe von 0,4 Bitcoin, was aktuell rund 150 Euro entspricht. Die Erpresser drohen damit, das Lösegeld zu verdoppeln, wenn der Admin nicht bis zu einem bestimmten Termin zahlt. Um sicherzustellen, dass das Geld auch ankommt, haben die Täter ein YouTube-Video in ihren Erpressungsbrief eingebettet, das erklärt, wie man online Bitcoins kauft. Über das Schad-Skript kann der Admin die Täter sogar über einen Support-Chat erreichen.
Krypto-Trojaner in PHP
Die aktuell bekannte Fassung des Server-Schädlings ist in PHP programmiert. Den Quellcode seiner Skripte
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Wie CTB-Locker auf die Server geschleust wird, ist aktuell unklar. Vermutlich nutzen die Online-Erpresser Sicherheitslücken in den eingesetzten Web-Applikationen aus. In vielen von heise Security analysierten Fällen handelt es sich um Server, auf denen vor der Infektion eine WordPress-Installation lief. Bisher ist kein Weg bekannt, die Dateien ohne Zahlung des Lösegelds zu entschlüsseln. Wer betroffen ist, sollte zunächst versuchen, das Schlupfloch aufzuspüren, durch das die Täter eingedrungen sind. Anschließend sollte man das jüngste Backup vor der Infektion einspielen und das Schlupfloch schnellstmöglich schließen.
Schutzmaßnahmen
Um eine Infektion zu verhindern, sollte man inbesondere darauf achten, dass die eingesetzten Web-Applikationen wie WordPress und Joomla laufend auf dem aktuellen Stand sind. Selbiges gilt für Server-Prozesse wie Apache, nginx und PHP. Aktuell ist ausschließlich eine PHP-Version des Schädlings bekannt, er kann also nur Dateien auf Servern verschlüsseln, die PHP ausführen können.
Quelle; heise
