Erpressungs-Trojaner CTB-Locker befällt massiv Webserver

Zum ersten Mal hat es eine Ransomware, ein Erpressungstrojaner, nicht auf Workstations, sondern auf Webserver abgesehen.

Bisher kannte man CTB-Locker nur als Windows-Ransomware – nun befällt eine neue Variation davon unablässig Websites, verschlüsselt deren Daten und hinterlässt einen Erpresserbrief, in dem man dazu aufgefordert wird, 0,4 Bitcoins zu zahlen, um die Serverdaten zu entschlüsseln.

ctb-locker

Verschlüsselt werden über 600 Datentypen – im Grunde alle wichtigen Formate. Als Algorithmus wird AES genutzt, zum Beweis der einwandfreien Entschlüsselung können zwei zufällige Dateien kostenlos entschlüsselt werden.

Letztendlich bleibt wie auch bei allen anderen Verschlüsselungstrojanern nur die Option zu zahlen, oder auf ein halbwegs aktuelles Backup zurückzugreifen und danach sofort alle Sicherheitslücken durch Updates und Patches zu schließen.

Programmiert ist diese Variante in PHP. Wie genau er auf die Server gelangt ist noch nicht klar – vermutlich über Injektion oder bekannte Sicherheitslücken in Standard-Webapplikationen wie Joomla, WordPress und Co.

Schreibe einen Kommentar