Hosting-Kunden aufgepasst: Hinterhältiger Trojaner befällt Webseiten, verschlüsselt und erpresst

Kurze aber wichtige Informationen und Handlungsempfehlungen an unsere Kunden bzgl. der aktuell im Umlauf befindlichen Verschlüsslungs-Viren und Malware-Versionen, welche per eMail + Webseiten verbreitet werden und lokale Systeme, Netzwerke und Webseiten verschlüsseln - und via Erpressung Geld fordern.

Locky-Malware wütet in lokalen Netzwerken

Seit einigen Tagen geht durch die IT-Presse die Nachricht, dass durch eMail-Anhänge ein Trojaner namens Locky-Ransomware verteilt wird. Das perfide: Dieser verschlüsselt alle auf dem PC lokalen, aber auch darüber hinaus alle in zugänglichen Netzwerken, erreichbaren Datendateien. Ein einzelner infizierter PC in einer Firma kann so den zentralen Datenserver lahm legen.

Für eine Entschlüsslung müssen per anonymen und nicht rückverfolgbaren Bitcoin Geldbeträge bezahlt werden - welche durchaus sehr beträchtlich sind. Die Verschlüsslung ist extrem stark und derzeit nicht knackbar. D.h. einmal die Malware eingefangen, können Daten nur aus einem Backup wieder hergestellt werden - oder man zahlt an die Erpresser.

Handlungsempfehlung: Es ist daher dringend von allen Firmen zu überprüfen:

  • Virenschutz auf allen PCs auf dem aktuellen Stand ?
  • Funktioniert die Datensicherung ? Wichtig dabei: Mehrere Tage und Wochen im Sicherungs-Rückgriff, nicht nur eine Kopie (die dann ggf. mit verschlüsselt wird) !
  • Entkoppelt ? Datensicherungsdateien sind vom Netzwerk möglichst entkoppelt aufzubewahren
  • Zusätzliche Externe Datensicherungen ? ggf. zusätzliche Datensicherungen auf externen USB-Festplatten erzeugen, welche nach der Sicherung ohne Verbindung gelagert werden.

Nicht weniger gefährlich: Jetzt auch Webserver und Webseiten im Visir

Neu ist nun, dass auch Webseiten angegriffen werden. Zum einen um Webseiten zu infizieren und über Javascript die Malware weiter zu verteilen (siehe Bericht bei Golem). Zum anderen ist nun aber auch eine Variante aufgetaucht, welche u.a. die PHP und HTML-Dateien auf dem Webserver selber verschlüsseln (siehe heutiger Bericht bei Heise).

Selbe Prinzip: Per Bitcoin-Zahlung soll der für die Entschlüsselung nötige Key zu erhalten sein. Mit letzter Variante sehen allerdings auch alle Besucher die Erpresser-Nachricht - erheblicher Image-Schaden also zusätzlich einprogrammiert.

Insbesondere im Visir sind derzeit vor allem die auch bei unseren Kunden weit verbreiteten CMS-Systeme Wordpress und Joomla. Allerdings ist davon auszugehen, dass bald auch weitere verbreitete Websoftware angefallen werden wird. Absolut häufigster Grund für eine Infizierung sind bekannte Sicherheitslücken in älteren Software-Versionen.

Handlungsempfehlung: Es ist daher dringend zu überprüfen:

  • Wordpress, Joomla & Co auf dem aktuellen Stand: Ist die eingesetzte Websoftware, nicht ausschließlich aber insbesondere Wordpress und Joomla, auf dem aktuellen Versions-Stand ? Wenn nicht, dringend aktualisieren ! Ggf. prüfen, ob automatisierte Updates aktiviert werden können (bei neuen Versionen normal standardmäßig aktiviert).
  • Plugins aktuell ? Sind alle eingesetzten Plugins auf dem aktuellen Stand ? Insbesondere beliebte sowie nicht mehr weiterentwickelte Plugins sind hier besonders gefährdet.
  • Template-Themes aktuell ? Sind eingesetzte Template-Themes auf dem aktuellen Stand ? Diese bringen außerdem oft eine ganze Reihe von ebenfalls beliebten Plugins und Erweiterungen mit.
  • Datensicherung vorhanden ? Sofern sie eigene Server betreiben (auch vServer, angemietete Server usw.): Gibt es eine regelmäßige Datensicherung mit der Möglichkeit Daten mehrere Tage rückwirkend sicher wieder herzustellen ?

Bislang sind uns bei Hosting-Kunden keine Kunden mit einem Befall bekannt - wir rechnen allerdings stündlich mit dem ersten Anruf. Von Webhosting-Kunden mit unseren Webspace-Tarifen haben wir idR. eine Datensicherung die wir zurückspielen können - wenn schnell genug reagiert wird. Diese gibt es allerdings nicht zum Nulltarif ...

Deshalb: Aktuellste Versionen von Software auf den eingenen Websiten einzusetzen ist wirklich die allererste und wirksammste Abwehrwaffe um viel Ärger, Kosten und Repurationsschäden zu vermeiden. Datensicherungen sind gegen Netzwerkzugriffe abzusichern und auf Wirksamkeit zu überprüfen - um teure Zahlungen an Erpresser im Zweifelsfall zu vermeiden.

Kleine Belohnung: Wer durchgängig die aktuellsten Versionen einsetzt, kann dann oft auch gleich auf PHP7 wechseln. Dieses bringt einen Performance-Boost von 100% und beschleunigt Webseiten enorm. In unseren eigenen Webhosting-Tarifen bieten wir PHP7 seit Jahresanfang an (kann im Webinterface selber umgestellt werden).

Für Fragen zu dieser Problematik steht Ihnen unser Team gerne zur Verfügung. 

---

Bildnachweis: Lizensiert 24.2.2016 von Fotolia #80619220 (Urheber: lucadp)

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR
Bisher wurden keine Tags vergeben
, um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Leider sind zu diesem Artikel noch keine Kommentare vorhanden.
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.
Kommentar schreiben Kommentar via Facebook

Über den Autor

Lea Rücker
Portunity GmbH
Founder of Portunity & Entrepreneur

Hi. I'm one of the founders of Portunity - where I work with some of the coolest people on earth on projects with and for the internet.

Hallo. Ich bin einer der Gründer von Portunity - wo ich mit einigen der coolsten Menschen dieser Erde an Projekten im und für das Internet arbeite.

12.02.2024
07.11.2023
27.01.2023
07.09.2022
26.07.2022
LocalSuite
LocalSuite: Sammlung von Tools für Ihr lokales Unternehmen - Schwerpunkte sind die Digitalisierung von Prozessabläufen und die Module für cleveres Online-Marketing.
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.