Der Erpressungs-Trojaner CTB-Locker hat es dieses Mal nicht auf Windows-Nutzer, sondern auf Webseiten abgesehen. Er hat bereits hunderte Webseiten verschlüsselt, ein Ende ist derzeit nicht absehbar.
Erstmals hat es ein Erpressungs-Trojaner auf Webseiten abgesehen. Die Ransomware CTB-Locker befällt Webseiten und verschlüsselt alle Dateien, die er finden kann. Danach erscheint beim Aufruf der Seite nur noch der Erpresserseite, welcher den Webmaster zur Überweisung von Bitcoins auffordert.
Am Anfang wird vom CTB-Locker ein Lösegeld von 0,4 Bitcoin gefordert, was ca. 150€ entspricht. Die Erpresser drohen auch damit, das Lösegeld zu verdoppeln, wenn der Webmaster nicht bis zu einem bestimmten Termin bezahlt.
Die aktuell bekannte Fassung des Server-Schädlings ist in PHP programmiert. Wie CTB-Locker sich auf die Webseite kopiert und ausgeführt wird, ist momentan noch unklar. Vermutlich nutzen die Online-Erpresser Sicherheitslücken in den eingesetzten Web-Applikationen aus.
Bisher ist kein Weg bekannt, die Dateien ohne Zahlung des Lösegelds zu entschlüsseln. Wer betroffen ist, sollte zunächst versuchen, das Schlupfloch aufzuspüren, durch das die Täter eingedrungen sind. Anschließend sollte man das jüngste Backup vor der Infektion einspielen und das Schlupfloch schnellstmöglich schließen.
Um eine Infektion zu verhindern, sollte man insbesondere darauf achten, dass die eingesetzten Web-Applikationen wie WordPress und Joomla auf dem aktuellen Stand sind. Zudem sollte man regelmäßig Backups aller Daten anlegen, damit man die verschlüsselten Dateien im Fall der Fälle wiederherstellen kann, ohne das Lösegeld zu zahlen.