Seit einiger Zeit macht eine neue Variante der Ransomware TeslaCrypt Schlagzeilen. Der Trojaner verschlüsselt Daten, welche nur gegen Zahlung wieder brauchbar gemacht werden. Neben PC, Wordpress und Drupal, sind inzischen auch Joomla und andere CMS von dieser offensichtlich lukrativen Erpressung betroffen.
TeslaCrypt verseucht Server und Rechner!
Eine ganz üble Masche ist die Verbreitung von Erpressungstrojanern. Zu dieser Sorte gehört seit geraumer Zeit die Ransomware TeslaCrypt, wovon inzwischen eine neue Variante umhergeht.
Das Ziel der Angreifer ist es, kompromittierenden JavaScript-Code zu verbreiten. Das kann über E-Mail-Anhänge passieren. Aber auch der Besuch einer vermeintlich harmlosen Website kann schon genügen, um sich diesen Schadcode auf den PC zu holen.
Damit sich der Trojaner schön verbreiten kann, wird versucht, die Schadskripte auf einen Server, oder direkt auf einen PC zu bringen. Anfangs war Wordpress das Ziel der Angreifer. Dort wurden JavaScript-Dateien mit gefährlichem Inhalt eingeschleust. So wurden plötzlich IFrames mit Werbung geladen. Zusätzlich wurden Einfallstore geschaffen, um weitere Wordpress-Installationen anzugreifen.
Besucher einer infizierten Seite wurden dann auf Seiten umgeleitet, welche das Nuclear Exploit Kit beinhalteten. Inzwischen ist auch die Rede vom Angler Exploit Kit. Vorsicht scheint vor allem bei Produkten von Adobe, wie Flash, Reader und Acrobat, sowie bei Microsoft Silverlight und Internet Explorer, angebracht zu sein.
Längst hat man sich Drupal und jetzt auch verstärkt Joomla zugewandt. Und auch andere CMS sind nicht gefeit vor diesen Angriffen. Dabei können nicht nur die Seitenbesucher Daten auf ihrem eigenen Rechner unbrauchbar machen, auch die Daten von Webseiten können offenbar verschlüsselt und damit nicht mehr genutzt werden.
Sollte der Supergau passiert sein, kann man einen Encryption-Key käuflich erwerben. Das kann dann locker 500 Dollar kosten. Selbstverständlich sollte man das niemals bezahlen, sofern nicht das eigene Leben von den Daten abhängt. Zum Teil werden auch Tools angeboten, welche die Verschlüsselung wieder aufheben sollen. Das wird aber nicht unbedingt funktionieren, weil die Verbrecher ihre Skripte natürlich auch immer wieder aktualisieren. Trotzdem sind so manche Entwickler von Antiviren-Software schon erfolgreich beim Entschlüsseln gewesen.
Um diese Probleme von vorneherein zu verhindern, sollte unbedingt immer zeitnah das aktuelle Update für das jeweilige CMS und natürlich auch für Windows und die installierten Programme aufgespielt, sowie eine gute Firewall und ein Anti-Viren-Programm verwendet werden. Offensichtlich bestanden wie bei Joomla, Lücken schon lange genug vor Erscheinen des letzten Updates. Somit sind bereits viele Installationen betroffen. Es dürfte sich hauptsächlich um infizierte .js-Dateien handeln. Möglicherweise könnten sogar sämtliche JavaScript-Dateien einer Installation betroffen sein.
Im Prinzip helfen nur regelmäßige Backups, welche ohnehin immer gemacht werden sollten. Und natürlich sollte nicht jede E-Mail unbedarft geöffnet und bei Downloads genau aufgepasst werden.
