Ergebnis 1 bis 13 von 13

Thema: Admins aufgepasst: Krypto-Trojaner befällt hunderte Webserver

  1. #1
    VIP Team Avatar von RedDevil
    Registriert
    Jan 2016
    Beiträge
    1,721
    Gefällt mir!
    1,157
    Du gefällst: 1,201

    Admins aufgepasst: Krypto-Trojaner befällt hunderte Webserver


    Der Erpressungs-Trojaner CTB-Locker hat es dieses Mal nicht auf Windows-Nutzer, sondern auf Webserver abgesehen. Er hat bereits Dateien hunderter Websites verschlüsselt, ein Ende ist derzeit nicht absehbar.

    Erstmals hat es ein Erpressungs-Trojaner im großen Stil auf Webserver abgesehen: Die Ransomware CTB-Locker befällt Websites und verschlüsselt alle Dateien, die sie finden kann. Anschließend erscheint beim Aufruf der Site nur noch der Erpresserbrief, welcher den Admin zur Überweisung von Bitcoins auffordert. Hunderte Web-Präsenzen sind dem Krypto-Trojaner bereits zum Opfer gefallen.

    CTB-Locker kannte man bisher nur als Windows-Schädling. Nun befällt ein gleichnamiger Verschlüsselungs-Trojaner hunderte Websites, wodurch diese nur noch eine englischsprachige Botschaft der Online-Erpresser anzeigen: "Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site".

    ies ist nach derzeitigem Kenntnisstand keine leere Drohung: Das Schad-Skript sucht auf den betroffenen Server nach fast 600 Dateitypen, darunter .html, .php, .js, .xml, .exe und diverse Bildformate. Die Dateinamenerweiterungen, auf die es CTB-Locker abgesehen hat, findet man auf den befallenen Servern in der Datei extensions.txt. Aktuell enthält sie folgende Endungen:

    264 3g2 asf asx avi bik dash dat dvr flv h264 m2t m2ts 3dm 3ds 3gp 7z a3d aa aac ace adp ai amr ape apk apng arj asm asp aspx aws bas bat bbc blend bml bmp btm bzip2 c c4d cab cdr cfm cgi cgm clear clf cmd coff cpio cpp cpt cs csv dds deb dgn dicom dif dll djvu doc docx dta dvi dwg dxf edi elf emf eps exe fbx fig flac gif gpx gzip h ha hdr htm html iff ihtml phtml img inf iso jar java jpe jpeg jpg js jsp lav lha lib lwo lws lzo lzx m3d ma mac maf max mb md mdf mdl mds mhtml midi mkv ml mmf mng mod mov mp3 msi mxf nrg obj ods odt ogg out pas pcl pcx pdf pdn php pkg pl png pos prg prt ps psd py pz3 rar raw rb rib rpm rtf sai sd7 sdxf sgml sha shtml sldasm sldprt smc smil spr stdf stm stp svg swf sxc tar tex texinfo tga tgz tif tiff troff txt u3d unity uts vob vsm vue wav wif wire wlmp wma wmf wmv x x3d xhtml xls xlsx xmi xml xpm xz zip zoo m4v mp4 mpeg mpg mswmm mts ogv prproj rec rmvb tod tp ts webm 3ga aiff cda dvf gp4 gp5 logic m4a m4b m4p pcm snd sng uax wpl dib dng dt2 ico icon pic thm wbmp wdp webp arw cr2 crw dcr fpx mrw nef orf pcd ptx raf rw2 csh drw emz odg sda abr ani cdt fla icns mdi psb pzl sup vsdx 3D 3d dwfx lcf pro pts skp stl x_t eot otf ttc ttf woff aww chm cnt dbx docm dot dotm dotx epub ind indd key keynote mht mpp mpt odf ott oxps pages pmd pot potx pps ppsx ppt pptm pptx prn pub pwi rep sdd sdw shs snp sxw tpl vsd wpd wps wri xps 1st alx application eng log lrc lst nfo opml plist reg srt sub tbl text xsd xsl xslt azw azw3 cbr cbz fb2 iba ibooks lit mobi sdc xlsm accdb accdt mdb mpd one onepkg pst thmx big hi lng pak res sav save scn scx wotreplay wowpreplay g64 gb gba mbz n64 nds nes rom smd srm v64 ova ovf pvm vdi vhd vmdk vmem vmwarevm vmx ashx atom bc class crdownload css dlc download eml gdoc gsheet gslides json part partial rss torrent xap ldif msg vcf app com cpl gadget lnk scr tmp vbs bin drv ocx sys vxd 002 003 004 005 006 007 008 009 010 7zip a00 a01 a02 a03 a04 a05 air arc asec bar c00 c01 c02 c03 cso gz hqx inv ipa isz msu nbh rar r00 r01 r02 r03 r04 r05 r06 r07 r08 r09 r10 sis sisx sit sitd sitx tar.gz webarchive z01 z02 z03 z04 z05 bak bbb bkf bkp dbk gho ipd mdbackup nba nbf nbu nco old sbf sbu spb tib wbcat 000 ccd cue daa dao dmg mdx tao tc toast uif vcd crypt ipsw npf pkpass rem rsc gdb ofx qif db dbf fdb idx msmessagestore sdf sql sqlite wdb kml kmz map appx appxbundle blf dump evtx kext mui sfcache swp cnf contact deskthemepack ics ifo lrtemplate m3u m3u8 pls skn svp template theme themepack trm wba plugin safariextz xpi inc jad o rc scpt src cfg ini usr dmp ksd pfx ut adadownload cache temp 3dr cal dct dic gbk md5 prj ref upd upg
    CTB-Locker verschlüsselt die Funde mit AES. Zwei zufällig ausgewählte Dateien behandelt das Skript gesondert, es nutzt für sie einen anderen AES-Schlüssel. Diese beiden Dateien kann der Website-Betreiber über das Erpresser-Skript kostenlos entschlüsseln, um sich von der einwandfreien Funktion des Decryptors zu überzeugen.

    Anfangs fordert die Server-Version von CTB-Locker ein Lösegeld in Höhe von 0,4 Bitcoin, was rund 150 Euro entspricht. Die Erpresser drohen damit, das Lösegeld zu verdoppeln, wenn der Admin nicht bis zu einem bestimmten Termin zahlt. Um sicherzustellen, dass das Geld auch ankommt, haben die Täter ein YouTube-Video in ihren Erpressungsbrief eingebettet, das erklärt, wie man online Bitcoins kauft. Über das Schad-Skript kann der Admin die Täter sogar einen Support-Chat erreichen.

    Krypto-Trojaner in PHP
    Die aktuell bekannte Fassung des Server-Schädlings ist in PHP programmiert. Den Quellcode seiner Skripte findet man etwa im Forum KernelMode.info. Wie CTB-Locker auf die Server geschleust wird, ist momentan noch unklar. Vermutlich nutzen die Online-Erpresser Sicherheitslücken in den eingesetzten Web-Applikationen aus. In vielen von heise Security analysierten Fällen handelt es sich um Server, auf denen vor der Infektion eine WordPress-Installation lief.

    Bisher ist kein Weg bekannt, die Dateien ohne Zahlung des Lösegelds zu entschlüsseln. Wer betroffen ist, sollte zunächst versuchen, das Schlupfloch aufzuspüren, durch das die Täter eingedrungen sind. Anschließend sollte man das jüngste Backup vor der Infektion einspielen und das Schlupfloch schnellstmöglich schließen.

    Schutzmaßnahmen
    Um eine Infektion zu verhindern, sollte man inbesondere darauf achten, dass die eingesetzten Web-Applikationen wie WordPress und Joomla auf dem aktuellen Stand sind. Selbiges gilt für Server-Prozesse wie Apache, nginx und PHP. Zudem sollte man regelmäßig Backups aller Daten anlegen, damit man die verschlüsselten Dateien im Fall der Fälle wiederherstellen kann, ohne das Lösegeld zu zahlen. Derzeit ist ausschließlich eine PHP-Version des Schädlings bekannt – er kann also nur Dateien auf Servern verschlüsseln, die PHP ausführen können.

    Quelle: Heise.de

  2. Werbung - Hier werben?
  3. #2
    Senior Avatar von maz
    Registriert
    Jan 2016
    Beiträge
    529
    Gefällt mir!
    206
    Du gefällst: 428
    Eine rein hypothetische Frage

    Wenn man so doof ist und sich seinen Webserver verschlüsseln lässt und noch doofer ist und kein Backup hat, ist dann zahlen ne Option?
    Ich bin mir zwar zu 99% sicher, das mir das nie passieren wird, und falls doch hab ich natürlich sowohl einen Backup Server wie auch eine schöne HDD im Schrank, aber ich kenne leider sehr viele die denken das Backups unnötig sind oder die nur einmal im Monat backupen.
    Der Betrag von 150 Euro ist ja lächerlich wenig, wenn man dafür wirklich den chlüssel kriegt. Ich persönlich würde vermutlich einfach bezahlen, schlimmstenfalls sind ja gerade mal 150Euro weg, was für die meisten Webadmins kein sehr hoher Betrag ist.
    Klar man muss erst das Skript finden und entfernen sowie die Lücke schliessen.

    Was ist mit euch, würdet ihr, falls er euch wichtige Daten, die kein Backup haben, verschlüsslt, bezahlen?

  4. #3
    Senior
    Registriert
    Dec 2015
    Beiträge
    345
    Gefällt mir!
    118
    Du gefällst: 328
    Zahlen ist nie eine Option. Nach der ersten Forderung kommt die zweite und die dritte.
    Ist immer so.

  5. #4
    Senior Avatar von maz
    Registriert
    Jan 2016
    Beiträge
    529
    Gefällt mir!
    206
    Du gefällst: 428
    Ok, wenn das bestätigt ist, würd ichs auch nicht zahlen
    Ich musste mich zum Glück noch nie mit dem problem genauer befassen.
    Geändert von maz (25.02.2016 um 11:10 Uhr)

  6. #5
    Senior
    Registriert
    Dec 2015
    Beiträge
    345
    Gefällt mir!
    118
    Du gefällst: 328
    Naja ich nenne es mal persönliche Erfahrung. Ich hab mal in einem sehr sehr großen Rechenzentrum bei einem sehr sehr großen Dienstleister gearbeitet. Da kamen verschiedenen derartige Erpressungen an Kunden ran. Ein paar haben das trotz abraten immer mit dem Zahlen probiert. Geholfen hat es in keinem Fall.

  7. #6
    Senior Avatar von maz
    Registriert
    Jan 2016
    Beiträge
    529
    Gefällt mir!
    206
    Du gefällst: 428
    Aber wieso hat dann heise oder wer auch immer das war einen funktinoerenden schlüssel? Der aber wie sie sagen nur für ihr System geht?
    Also muss der doch mal rausgerückt werden. Und vorallem, die Masche ist viel wirksamer, wenn man weiss das danach der Schlüssel kommt. Wenn klar ist, das er nicht kommt zahlt man ja auch nicht.
    Beim Heim PC ist das was anderes, da sind genügend dumme leute, aber welcher Webadmin schaut nicht erst mal nach was andere so zu berichten haben und zahlt einfach.


    Und das alle sagen man soll nicht zahlen ist für mich klar. Das Rechenzentrum für das du gearbeitet hast sowieso. Das ist aber ein wenig so wie das Verhandeln mit Terroristen oder Geiselnehmern. Alle sagen man solls nicht tun, aber das weniger wegen des aktuellen falles sondern wegen der Signalwirkung.
    Denn auch hier gilt natürlich, je mehr das zahlen, desto mehr solche krypto Viren wird es geben.
    Geändert von maz (25.02.2016 um 11:13 Uhr)

  8. #7
    Senior
    Registriert
    Dec 2015
    Beiträge
    345
    Gefällt mir!
    118
    Du gefällst: 328
    Zum aktuellen Fall kann ich nichts sagen. Wie gesagt in der Vergangenheit war es immer der Fall das nach der ersten und zweiten Forderung eine dritte kam und eine vierte. Obwohl diverse Kunden bezahlt haben. Das ging von der Androhung von großen DDOS Angriffen über infizierte Systeme und andere Sachen. Und es waren keine kleinen Kunden. Eher die größeren die da drin standen.

  9. #8
    Senior Avatar von maz
    Registriert
    Jan 2016
    Beiträge
    529
    Gefällt mir!
    206
    Du gefällst: 428
    Eine Erpressung musste ich einmal selbst erleben. Leider ist es jemandem gelungen einen fast kompletten SQL Dump einer meiner Seiten zu stehlen. Ich hätte damals 400 Euro zahlen müssen, damit die Daten nicht veröffentlich werden. Wir haben nicht bezahlt und es wurde tatsächlich auf zwei Seiten die DB veröffentlicht. War jetzt keine Tragödie, aber da doch fast 500'000 PMs mit dabei waren wars unangenehm. Aber da war ich mir ziemich sicher, das neue Erpressungen kommen, so wie dus geschieldert hast Nachten.

    Aber bei nem Krypto Angriff krieg ich den Schlüssel oder nicht. Eine erneute Verschlüsselung ist ja nicht machbar, ganz im Gegensatz zu neuen Drohungen wie zb der veröffentlichung der Datenbank oder der von dir angesprochenen DDOS Attacke. Und wenn ich beim ersten Mal den Key nicht kriege, dann sicher auch später nicht. Ich bin mir echt usnicher ob ich nicht einfach bezahlen würde.

  10. #9
    Tangiert peripher syrius Avatar von Jana-Maria
    Registriert
    Mar 2015
    Beiträge
    2,086
    Gefällt mir!
    532
    Du gefällst: 2,047
    Deshalb läuft ein zweiter Backupserver, der vom ersten getrennt ist und dazu noch Backups lokal 1-mal wöchentlich.
    Aber wenn alles verschlüsselt wird auf einen Server wo auch das Backup läuft, da kannste doch überhaupt nix mehr retten. Weil die Backups aufn Server sind ja dann auch verschlüsselt

    Aber zahlen ist nie eine Option.

  11. Diesen Mitgliedern gefällt dieser Beitrag:


  12. #10
    Senior Avatar von Nimbus
    Registriert
    Oct 2015
    Beiträge
    561
    Gefällt mir!
    96
    Du gefällst: 573
    Ich verstehe nicht, warum das Nachgeben keine Option sein soll. Sehe das ganz ähnlich wie mazleu.
    Bei DDoS ist es klar, da ist es natürlich besser Betrag X in DDoS-Abwehr zu investieren als Betrag X zu zahlen. Wer einmal zahlt ist erpressbar, den kann man wieder attackieren.
    Bei Ransomware ist die Sache anders gelagert. Wenn ich die Daten brauche und ich auf keinem anderen Weg daran komme, dann kann man sich durchaus überlegen zu bezahlen. Es besteht zwar die Chance, dass man über den Tisch gezogen wird, allerdings ist die Chance an die Daten zu kommen (die vorher gleich Null war) danach zumindest etwas höher. In der Regel bekommt man nach Bezahlung ja auch die benötigten Schlüssel.

    Bei DDoS wird der Angriff eventuell nur kurzzeitig eingestellt (kurzzeitiger Erfolg für den Erpressten) und danach fortgesetzt. Langfristig ist man ärmer und immer noch offline.
    Bei den Kryptotrojanern zahlt man und bekommt die Daten (hoffentlich) wieder. Das aktuelle große Ziel ist komplett erreicht, denn die Daten sind wieder da. Natürlich darf man sich nicht wieder infizieren lassen, aber das ist denke ich klar.

  13. Diesen Mitgliedern gefällt dieser Beitrag:

    maz

  14. #11
    Senior Avatar von maz
    Registriert
    Jan 2016
    Beiträge
    529
    Gefällt mir!
    206
    Du gefällst: 428
    Wie gesagt, ich glaube die meisten sagen bloss das man nicht zahlen soll, um die Erpresser nicht zu unterstützen. Das leuchtet auch einigermassen ein, schliesslich würde niemand solche Viren schreiben, wenn kein einziger bezahlt. Ist halt auch eine Art Paradoxon. Wie bei den Wahlen (eine Stimme zählt nichts, wenn alle so denken zählt eine Stimme extrem).

    Aber was will man machen, wenn man tatsächlich die Daten braucht. Da hat man kaum ne Wahl.



    Zitat Zitat von Jana-Maria Beitrag anzeigen
    Aber wenn alles verschlüsselt wird auf einen Server wo auch das Backup läuft, da kannste doch überhaupt nix mehr retten. Weil die Backups aufn Server sind ja dann auch verschlüsselt
    Naja, wenn man die Backups auf dem gleichen Server mit den gleichen Rechten wie der Hauptserver einrichtet ist man ja auch selbst schuld. Deshalb trennt mans ja wie du selbst sagst und macht zudem noch ein lokales Backup. Und das es ein Virus schafft, meine unangschlossene Festplatte im Schrank zu verschlüsseln will ich erst mal sehen
    Und da ich zumindest auch verschiedene Backups anlege (Monats Wochen und Tagesbackup) wäre es auch egal, wenn mal ein Backup der bereits verschlüsselten Daten angelegt werden würde. Ich müsste dann halt einfach das Wochenbackup einspielen und hätte einige Tage verlohren.

  15. #12
    Senior
    Registriert
    Jan 2016
    Beiträge
    264
    Gefällt mir!
    77
    Du gefällst: 197
    Eigentlich sollte einem Admin sowas nicht passieren. Wenn doch, sollte es kein Stunde dauern den Server neu aufzusetzen und ein Backup einzuspielen.

  16. #13
    Senior Avatar von Teards
    Registriert
    Mar 2015
    Beiträge
    125
    Gefällt mir!
    46
    Du gefällst: 37
    Was ich nun schon häufiger gehört habe (bei anderer Ransomware), ist dass bezahlt wurde und danach auch ein Schlüssel zugestellt wurde aber das Entschlüssungstool einfach nicht funktioniert hat. Aber ja die Erpresser haben ein großes Interesse daran als "zuverlässig" wahrgenommen zu werden, damit möglichst viele bezahlen. Und auch in Verbindung mit dem für Server (mit potentiell sehr wichtigen Daten) tiefen Lösegeld steigt die Bereitschaft zu zahlen sicher extrem an.

Ähnliche Themen

  1. Das FBI hat Hunderte deutsche Tor-Nutzer gehackt
    Von RedDevil im Forum Datenschutz & Privatsphäre (IT-Security)
    Antworten: 5
    Letzter Beitrag: 17.05.2018, 13:20
  2. Antworten: 0
    Letzter Beitrag: 26.09.2017, 09:19
  3. Antworten: 0
    Letzter Beitrag: 26.02.2016, 12:20
  4. Antworten: 3
    Letzter Beitrag: 24.02.2016, 08:08

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
SzeneBox.org... im Mittelpunkt der Szene!
© since 2015 szeneBOX.org - All Rights Reserved
Domains: www.szenebox.org