War das eine Aufregung in den vergangenen Wochen! Der Erpresser Virus Locky machte sich auf vielen Rechnern wie ein Krebsgeschwür breit und die Betroffenen hatten alle Hände voll damit zu tun eine Verbreitung des Virus zu verhindern.

Neben Locky gibt es aber auch noch andere Ransomware. Erstmals hat es ein Erpressungs-Trojaner im großen Stil auf Webserver abgesehen: Die Ransomware CTB-Locker befiel Websites und verschlüsselte alle Dateien, die sie finden konnte. Anschließend erschien beim Aufruf der Site nur noch der Erpresserbrief, welcher den Admin zur Überweisung von Bitcoins auffordert. Vierstellige Web-Präsenzen waren binnen Stunden dem Krypto-Trojaner bereits zum Opfer gefallen.

Auf den betroffenen Servern sucht das Schad-Skript nach fast 600 Dateitypen, darunter .html, .php, .js, .xml, .exe und diversen Bildformaten. Der CTB-Locker hat es auf Datenerweiterungen abgesehen, die man auf den befallenen Servern in der Datei extensions.txt findet.

Anfänglich forderte die Server-Version von CTB-Locker ein Lösegeld in Höhe von 0,4 Bitcoin, was rund 150 Euro entspricht. Um sicherzustellen, dass das Geld auch ankommt, haben die Täter ein YouTube-Video in ihren Erpressungsbrief eingebettet, das erklärt, wie man online Bitcoins kauft. Sogar einen Support-Chat kann man zynischer Weise über das Schad-Skript erreichen.

Bislang ist kein Weg bekannt, wie die Dateien ohne Zahlung des Lösegelds zu entschlüsseln sind. Wer also betroffen ist, sollte zunächst versuchen die Lücke aufzuspüren, durch welche die Täter eingedrungen sind. Im Anschluss sollte man das jüngste Backup vor dem Überfall einspielen und das Schlupfloch schnellstmöglich schließen.

Um eine Infektion zu verhindern, ist insbesondere darauf zu achten, dass die eingesetzten Web-Applikationen wie WordPress und Joomla auf dem aktuellen Stand sind. Selbiges gilt für Server-Prozesse wie Apache, nginx und PHP. Wichtig ist, dass man regelmäßig Backups aller Daten anlegt, damit die verschlüsselten Dateien im Fall der Fälle wiederhergestellt werden können ohne das Lösegeld zu zahlen. Derzeit ist ausschließlich eine PHP-Version des Schädlings bekannt – er kann also nur Dateien auf Servern verschlüsseln, die PHP ausführen können, allerdings kann sich auch das schnell ändern.

Ein guter Rat zum Schluss

Webseiten- und Webshopbetreiber sollten sich über einen entsprechenden Wartungsvertrag mit ihrer Agentur oder ihrem Provider informieren, der sie in die Lage versetzt, immer über eine aktuelle CMS- & Shop-Version zu verfügen.

Das bietet höchstmöglichen Schutz Ihre Websites gegen Viren-Angriffe, auch gegen einen solch kriminellen und erpresserischen Überfall wie mit Locky oder CTB-Locker, zu schützen.

Das gilt für jede Größe von Unternehmen.