Hosting-Kunden aufgepasst: Hinterhältiger Trojaner befällt Webseiten, verschlüsselt und erpresst

Kurze aber wichtige Informationen und Handlungsempfehlungen an unsere Kunden bzgl. der aktuell im Umlauf befindlichen Verschlüsslungs-Viren und Malware-Versionen, welche per eMail + Webseiten verbreitet werden und lokale Systeme, Netzwerke und Webseiten verschlüsseln - und via Erpressung Geld fordern.

Locky-Malware wütet in lokalen Netzwerken

Seit einigen Tagen geht durch die IT-Presse die Nachricht, dass durch eMail-Anhänge ein Trojaner namens Locky-Ransomware verteilt wird. Das perfide: Dieser verschlüsselt alle auf dem PC lokalen, aber auch darüber hinaus alle in zugänglichen Netzwerken, erreichbaren Datendateien. Ein einzelner infizierter PC in einer Firma kann so den zentralen Datenserver lahm legen.

Für eine Entschlüsslung müssen per anonymen und nicht rückverfolgbaren Bitcoin Geldbeträge bezahlt werden - welche durchaus sehr beträchtlich sind. Die Verschlüsslung ist extrem stark und derzeit nicht knackbar. D.h. einmal die Malware eingefangen, können Daten nur aus einem Backup wieder hergestellt werden - oder man zahlt an die Erpresser.

Handlungsempfehlung: Es ist daher dringend von allen Firmen zu überprüfen:

  • Virenschutz auf allen PCs auf dem aktuellen Stand ?
  • Funktioniert die Datensicherung ? Wichtig dabei: Mehrere Tage und Wochen im Sicherungs-Rückgriff, nicht nur eine Kopie (die dann ggf. mit verschlüsselt wird) !
  • Entkoppelt ? Datensicherungsdateien sind vom Netzwerk möglichst entkoppelt aufzubewahren
  • Zusätzliche Externe Datensicherungen ? ggf. zusätzliche Datensicherungen auf externen USB-Festplatten erzeugen, welche nach der Sicherung ohne Verbindung gelagert werden.

Nicht weniger gefährlich: Jetzt auch Webserver und Webseiten im Visir

Neu ist nun, dass auch Webseiten angegriffen werden. Zum einen um Webseiten zu infizieren und über Javascript die Malware weiter zu verteilen (siehe Bericht bei Golem). Zum anderen ist nun aber auch eine Variante aufgetaucht, welche u.a. die PHP und HTML-Dateien auf dem Webserver selber verschlüsseln (siehe heutiger Bericht bei Heise).

Selbe Prinzip: Per Bitcoin-Zahlung soll der für die Entschlüsselung nötige Key zu erhalten sein. Mit letzter Variante sehen allerdings auch alle Besucher die Erpresser-Nachricht - erheblicher Image-Schaden also zusätzlich einprogrammiert.

Insbesondere im Visir sind derzeit vor allem die auch bei unseren Kunden weit verbreiteten CMS-Systeme Wordpress und Joomla. Allerdings ist davon auszugehen, dass bald auch weitere verbreitete Websoftware angefallen werden wird. Absolut häufigster Grund für eine Infizierung sind bekannte Sicherheitslücken in älteren Software-Versionen.

Handlungsempfehlung: Es ist daher dringend zu überprüfen:

  • Wordpress, Joomla & Co auf dem aktuellen Stand: Ist die eingesetzte Websoftware, nicht ausschließlich aber insbesondere Wordpress und Joomla, auf dem aktuellen Versions-Stand ? Wenn nicht, dringend aktualisieren ! Ggf. prüfen, ob automatisierte Updates aktiviert werden können (bei neuen Versionen normal standardmäßig aktiviert).
  • Plugins aktuell ? Sind alle eingesetzten Plugins auf dem aktuellen Stand ? Insbesondere beliebte sowie nicht mehr weiterentwickelte Plugins sind hier besonders gefährdet.
  • Template-Themes aktuell ? Sind eingesetzte Template-Themes auf dem aktuellen Stand ? Diese bringen außerdem oft eine ganze Reihe von ebenfalls beliebten Plugins und Erweiterungen mit.
  • Datensicherung vorhanden ? Sofern sie eigene Server betreiben (auch vServer, angemietete Server usw.): Gibt es eine regelmäßige Datensicherung mit der Möglichkeit Daten mehrere Tage rückwirkend sicher wieder herzustellen ?

Bislang sind uns bei Hosting-Kunden keine Kunden mit einem Befall bekannt - wir rechnen allerdings stündlich mit dem ersten Anruf. Von Webhosting-Kunden mit unseren Webspace-Tarifen haben wir idR. eine Datensicherung die wir zurückspielen können - wenn schnell genug reagiert wird. Diese gibt es allerdings nicht zum Nulltarif ...

Deshalb: Aktuellste Versionen von Software auf den eingenen Websiten einzusetzen ist wirklich die allererste und wirksammste Abwehrwaffe um viel Ärger, Kosten und Repurationsschäden zu vermeiden. Datensicherungen sind gegen Netzwerkzugriffe abzusichern und auf Wirksamkeit zu überprüfen - um teure Zahlungen an Erpresser im Zweifelsfall zu vermeiden.

Kleine Belohnung: Wer durchgängig die aktuellsten Versionen einsetzt, kann dann oft auch gleich auf PHP7 wechseln. Dieses bringt einen Performance-Boost von 100% und beschleunigt Webseiten enorm. In unseren eigenen Webhosting-Tarifen bieten wir PHP7 seit Jahresanfang an (kann im Webinterface selber umgestellt werden).

Für Fragen zu dieser Problematik steht Ihnen unser Team gerne zur Verfügung. 

---

Bildnachweis: Lizensiert 24.2.2016 von Fotolia #80619220 (Urheber: lucadp)

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR
Bisher wurden keine Tags vergeben
, um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Leider sind zu diesem Artikel noch keine Kommentare vorhanden.
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.
Kommentar schreiben Kommentar via Facebook

Über den Autor

Björn Rücker
Portunity GmbH
Founder of Portunity & Entrepreneur

Hi. I'm one of the founders of Portunity - where I work with some of the coolest people on earth on projects with and for the internet.

Hallo. Ich bin einer der Gründer von Portunity - wo ich mit einigen der coolsten Menschen dieser Erde an Projekten im und für das Internet arbeite.

21.07.2016
26.05.2015
12.04.2015
11.01.2015
10.06.2014
  • ivanalexender

    ivanalexender hat sich angemeldet


    vor 3 Stunden
  • wolfer2122

    wolfer2122 hat sich angemeldet


    vor 3 Stunden
  • kruegervoip

    kruegervoip hat sich angemeldet


    vor 8 Stunden
  • BeSSeRwUeRzEl

    BeSSeRwUeRzEl hat sich angemeldet


    vor 2 Tagen
  • pdbsmqpzp

    pdbsmqpzp hat sich angemeldet


    vor 3 Tagen
  • VPN-Server

    VPN-Server hat sich angemeldet


    am 16.02.2017
  • CF-PRAXIS1

    CF-PRAXIS1 hat sich angemeldet


    am 16.02.2017
  • Human12

    Human12 hat sich angemeldet


    am 15.02.2017
  • HumanLeaasing

    HumanLeaasing hat sich angemeldet


    am 15.02.2017
  • bremen-sip

    bremen-sip hat sich angemeldet


    am 09.02.2017
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
Telefonkette für Ihr Business
Mit Telefonkette.de können Sie Telefonketten verwaltet und automatisch die aufgenommenen Sprachnachrichten an die Mitglieder via echten Telefonanruf übermitteln.
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
Telefonvalidierung
Mit unserer Webservice-API Telefonvalidierung können Telefonnummern in eigenen Projekten überprüft werden (z.B. in Onlineshops, Communities, ...).
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.