ich zitiere heise security, Meldung vom 24.02.2016 http://www.heise.de/security/meldung/Ad ... 16470.html:
Leider weiß man noch nicht, auf welchem Weg die Infizierung stattfindet. Wer regelmäßig Backups macht, möglichst auch vom kompletten CMSimple_XH und diese auf nicht ständig verbundenen Laufwerken, ist auch bei Befall von Webserver und lokalem Rechner rasch wieder online.Der Erpressungs-Trojaner CTB-Locker hat es dieses Mal nicht auf Windows-Nutzer, sondern auf Webserver abgesehen. Er hat bereits Dateien hunderter Websites verschlüsselt, ein Ende ist derzeit nicht absehbar.
Wichtig: den Erpressern nichts zahlen, sondern zuerst FTP-Kennwort ändern, den Webspace komplett löschen (man weiß ja nie, was sonst noch für Malware versteckt worden ist), dann Website aus dem Backup per FTP einspielen.
Wenn der lokale PC mit dem verwandten CTB-Locker verschlüsselt wurde und extrem wichtige Daten auf der Festplatte sind, wenn möglich diese Platte unverändert aufbewahren oder ein Image ziehen.
Es kann sein, dass in einigen Wochen / Monaten eine Entschlüsselungsmöglichkeit gefunden wird - das war schon öfters der Fall. Also nicht gleich komplett aufgeben.
Wenn die verschlüsselte Festplatte sowieso nur das Betriebssystem oder Daten enthält, von denen man ein Backup hat, dann kann man die Festplatte neu formatieren und das Betriebssystem neu aufspielen.