Admins aufgepasst: Krypto-Trojaner befällt Webserver

A place for security related announcements and discussions - please check this forum frequently!
Post Reply
Michael_G
Posts: 54
Joined: Thu Feb 18, 2016 11:01 pm

Admins aufgepasst: Krypto-Trojaner befällt Webserver

Post by Michael_G » Mon Mar 07, 2016 12:28 pm

Hallo allerseits,

ich zitiere heise security, Meldung vom 24.02.2016 http://www.heise.de/security/meldung/Ad ... 16470.html:
Der Erpressungs-Trojaner CTB-Locker hat es dieses Mal nicht auf Windows-Nutzer, sondern auf Webserver abgesehen. Er hat bereits Dateien hunderter Websites verschlüsselt, ein Ende ist derzeit nicht absehbar.
Leider weiß man noch nicht, auf welchem Weg die Infizierung stattfindet. Wer regelmäßig Backups macht, möglichst auch vom kompletten CMSimple_XH und diese auf nicht ständig verbundenen Laufwerken, ist auch bei Befall von Webserver und lokalem Rechner rasch wieder online.
:!: Wichtig: den Erpressern nichts zahlen, sondern zuerst FTP-Kennwort ändern, den Webspace komplett löschen (man weiß ja nie, was sonst noch für Malware versteckt worden ist), dann Website aus dem Backup per FTP einspielen.
:idea: Wenn der lokale PC mit dem verwandten CTB-Locker verschlüsselt wurde und extrem wichtige Daten auf der Festplatte sind, wenn möglich diese Platte unverändert aufbewahren oder ein Image ziehen.
Es kann sein, dass in einigen Wochen / Monaten eine Entschlüsselungsmöglichkeit gefunden wird - das war schon öfters der Fall. Also nicht gleich komplett aufgeben.

Wenn die verschlüsselte Festplatte sowieso nur das Betriebssystem oder Daten enthält, von denen man ein Backup hat, dann kann man die Festplatte neu formatieren und das Betriebssystem neu aufspielen.
Ciao,
Michael

cmb
Posts: 12314
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Admins aufgepasst: Krypto-Trojaner befällt Webserver

Post by cmb » Mon Mar 07, 2016 12:43 pm

Danke für die Info, Michael. Was ich noch ergänzen möchte: sollte einem CMSimple(_XH) User das passieren, dann bitte auch hier im Forum Bescheid geben. Es könnte ja sein, dass sich im System oder einem Plugin eine Sicherheitslücke befindet, durch die der Trojaner auf den Server kam, und die dann vielleicht auch gefunden und geschlossen werden kann.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

Post Reply