Ransomware CTB-Locker infiziert Webserver

wp_ctb_lockerDer CTB-Locker ist für uns kein Unbekannter, hat dieser doch letztes Jahr noch für Probleme mit gefälschten Windows 10 Updates auf den Rechnern der Anwender gesorgt, so treibt er diesmal Administratoren und Webseiten-Besitzer in den Wahnsinn. Gezielt attackieren Kriminelle mit dem CTB-Locker Webserver von Internetauftritten und verschlüsseln auf diesen nicht nur den kompletten Internetauftritt, sondern auch alle anderen vorhandenen Dateien. Zudem hinterlässt der Krypto-Locker statt dem eigentlichem Webauftritt, eine in englischer Sprache gehalte Webseite mit der erpresserischen Warnung.

Bildschirmfoto 2016-02-25 um 14.29.07

Bild: bleepingcomputer.com – erpresserische Warnung CTB-Locker

Laut Experten sind bereits mehrere hundert Webseiten zum Opfer des Krypto-Trojaner geworden, dabei scannt der Schadcode alle Laufwerke und mit einer Liste von über 600 Dateitypen im Gepäck, werden Dateien wie z.B. .html, .php, diverse Bildformate und Scripte auf dem Server mit AES-256 verschlüsselt. Zudem zeigen die Kriminellen, dass Sie es ernst meinen und bieten die mögliche Entschlüsselung von zwei Dateien mittels ihres Decryptors an.

Bildschirmfoto 2016-02-25 um 15.51.47

Bild: bleepingcomputer.com – Decryptor

Für die Entschlüsselung der Daten fordern die Cyberkriminellen einen Betrag von 0,4 Bitcoins(150 Euro), allerdings nur bei Einhaltung einer bestimmten Frist. Bei nicht Einhaltung, wird das Lösegeld verdoppelt. Da es wohl immer wieder Schwierigkeiten bei der Lösegeldtransaktion gibt, haben die Kriminellen ein Youtube-Video und ein Verlinkung für eine Chat-Funktion für Supportfragen in Ihre erpresserische Warnung integriert.

Der Infektionsweg auf den Webserver ist den Experten noch unbekannt, dennoch vermuten Sie, dass Kriminelle diverse Sicherheitslücken in CMS-Systemen wie Joomla oder WordPress ausnutzen.

Ob eine Lösegeldzahlung wirklich zum gewünschen Ergebnis führt, wurde bislang noch nicht bestätig. Webseiten-Besitzer sollten erstmal von einer Lösegeldzahlung absehen, letzte Backups zurückspielen und die System auf den aktuellsten Stand bringen. Zudem sollen verwendete Plugins in den CMS-Systemen überprüft und bei Nichtgebrauch entfernt werden.

Lesen Sie dazu auch diesen sehr interessanten Beitrag:
WordPress gehackt: So findet man die meisten Hintertüren im Code

Sind Sie Betreiber von Webseiten, dann zeigen „Sie“ Vorbild und registrieren sich beim kostenfreien Service der Initiative-S.

Nutzen Sie den Security-Service, den der eco -Verband der Internetwirtschaft anbietet, um die IT-Sicherheit von Firmen und den Schutz im Internet zu erhöhen. Lassen Sie Ihren Internet-Auftritt einfach, bequem und kostenfrei von den Profis der Initiative-S online prüfen.

Zeigen Sie mit ihrem individuellen Siegel auf der Webseite, Ihre Mithilfe und Verantwortung im Kampf gegen Botnetze und Netzmissbrauch und vorallem für die gesamte Internetwirtschaft!

Bildschirmfoto 2015-06-25 um 11.24.02

Siegel der Initiative-S

Weitere Informationen zur Initiative-S: http://www.initiative-s.de/ueber-das-projekt.html