Krypto-Trojaner befällt hunderte Webserver

ball-216836_1280Diesmal hat es der Trojaner CTB-Locker nicht auf die Benutzer von Windows abgesehen, sondern Webserver befallen. Schon über hundert Internetseiten wurden angegriffen und zahlreiche Dateien verschlüsselt; ein Ende des Spuks ist noch nicht absehbar. Die mögliche Ursache: Sicherheitslücken in Web-Applikationen.

Zahlreiche Webserver wurden bereits angegriffen

Es ist das erste Mal, dass ein sogenannter „Erpressungs-Trojaner“ auf Webserver losgegangen ist. Wie nun bekannt wurde, hat die Ramsomware CTB-Locker Websites befallen und alle Dateien verschlüsselt, welche der Trojaner finden konnte. Wer die Seite aufruft, erhält einen Erpresserbrief, der den Admin auffordert, Bitcoins zu überweisen. Hunderte Internetseiten sind bereits Opfer des Krypto-Trojaners geworden.

Der Windows-Schädling attackiert nun Webserver

Bislang waren CTB-Locker klassische Windows-Schädlinge. Nun hat ein Trojaner auch die Server von zahlreichen Websites befallen. Wer die betroffene Seite aufruft, erhält einen englischen Erpressertext. Im Wortlaut: „Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site“. Leider ist das keine leere Drohung. Denn der Schädling sucht nach Dateitypen mit den Endungen .html, .js, .php, .exe oder auch .xml sowie Bildformaten, die er verschlüsselt und unbrauchbar macht. Der CTB-Locker verschlüsselt sodann die Dateien mit AES. Das Skript behandelt die ausgewählten Dateien gesondert und nutzt jene für andere AES-Schlüssel. Die Dateien können vom Betreiber der Seite nur über das Erpresser-Skript entschlüsselt werden, wenn eine einwandfreie Decryptro-Funktion vorhanden ist.

Sind Sicherheitslücken in Web-Applikationen das Problem?

Zu Beginn sind es noch Lösegeldforderungen von 0,4 Bitcoin – das sind derzeit rund 150 Euro. Verweigert der Admin die Bezahlung bis zu einem vom Erpresser festgelegten Zeitpunkt, verdoppelt sich die Forderung des Lösegelds. Damit der Admin auch weiß, was er zu tun hat, haben die Erpresser ein YouTube-Tutorial-Video eingebettet, welches den Kauf von Bitcoins erklärt. Die derzeitige Fassung des Trojaners wurde in PHP programmiert. Der Quellcode der Skripte ist etwa im KernelMode.info.-Forum zu finden. Wie die Schädlinge jedoch auf Webserver gelangten, ist bislang nicht geklärt. Sicherheitslücken von Web-Applikationen wären eine Möglichkeit; bestätigt wurde diese Vermutung noch nicht.

Wie können sich User schützen?

Bislang gibt es keinen Weg, der die Dateien – ohne die Zahlung des geforderten Lösegelds – entschlüsselt. Personen, die von dem Trojaner betroffen sind, sollten daher zuerst feststellen, wie jener eindringen konnte. Danach sollte das jüngste Backup, welches vor dem Befall gemacht wurde, eingespielt und somit die Sicherheitslücke „gestopft“ werden. Damit derartige Infektionen verhindert werden können, sollten Admins darauf achten, etwaige Web-Applikationen wie Joomla oder WordPress zu aktualisieren. Das gilt auch für alle Server-Prozesse wie PHP, nginx oder Apache. Regelmäßige Backups verhindern größere Verluste von Dateien.