Page 1 of 1

Admins aufgepasst: Krypto-Trojaner befällt Webserver

Posted: Mon Mar 07, 2016 12:28 pm
by Michael_G
Hallo allerseits,

ich zitiere heise security, Meldung vom 24.02.2016 http://www.heise.de/security/meldung/Ad ... 16470.html:
Der Erpressungs-Trojaner CTB-Locker hat es dieses Mal nicht auf Windows-Nutzer, sondern auf Webserver abgesehen. Er hat bereits Dateien hunderter Websites verschlüsselt, ein Ende ist derzeit nicht absehbar.
Leider weiß man noch nicht, auf welchem Weg die Infizierung stattfindet. Wer regelmäßig Backups macht, möglichst auch vom kompletten CMSimple_XH und diese auf nicht ständig verbundenen Laufwerken, ist auch bei Befall von Webserver und lokalem Rechner rasch wieder online.
:!: Wichtig: den Erpressern nichts zahlen, sondern zuerst FTP-Kennwort ändern, den Webspace komplett löschen (man weiß ja nie, was sonst noch für Malware versteckt worden ist), dann Website aus dem Backup per FTP einspielen.
:idea: Wenn der lokale PC mit dem verwandten CTB-Locker verschlüsselt wurde und extrem wichtige Daten auf der Festplatte sind, wenn möglich diese Platte unverändert aufbewahren oder ein Image ziehen.
Es kann sein, dass in einigen Wochen / Monaten eine Entschlüsselungsmöglichkeit gefunden wird - das war schon öfters der Fall. Also nicht gleich komplett aufgeben.

Wenn die verschlüsselte Festplatte sowieso nur das Betriebssystem oder Daten enthält, von denen man ein Backup hat, dann kann man die Festplatte neu formatieren und das Betriebssystem neu aufspielen.

Re: Admins aufgepasst: Krypto-Trojaner befällt Webserver

Posted: Mon Mar 07, 2016 12:43 pm
by cmb
Danke für die Info, Michael. Was ich noch ergänzen möchte: sollte einem CMSimple(_XH) User das passieren, dann bitte auch hier im Forum Bescheid geben. Es könnte ja sein, dass sich im System oder einem Plugin eine Sicherheitslücke befindet, durch die der Trojaner auf den Server kam, und die dann vielleicht auch gefunden und geschlossen werden kann.