Nicht auch das noch: Nach Angaben im Blog des WordPress-Security-Plugin-Herstellers Wordfence breite sich eine Bedrohung aus, die man bisher aus dem Desktop- und PC-Bereich gewohnt war.
Demnach werden Dateien in vorher kompromittierten WordPress-Installationen hochgeladen und ausgeführt.
Dann beginnt ein Verschlüsselungsprozess unter Zuhilfenahme von mcrypt mit dem Rijndael-128-Algo. Die Originaldateien werden ersetzt mit einer verschlüsselten Kopie mit der Endung „.EV“.
Die von Wordfence inspizierte Schadsoftware verschickt eine Mail die Adresse htaccess12@gmail.com, um den Empfänger – wer immer das auch ist – über sein vollendetes Werk zu berichten.
Eine Reihe von Dateien wie die index.php-Datei oder htaccess wird nicht verändert.
Ist die WordPress-Installation befallen, sieht man beim Aufruf im Browser einen Screen im Hacker-/Underground- typischen ASCII-Look&Feel anstatt der normalen Startseite.
Hier kann man einen Code eintippen, den man eventuell nach Bezahlung des Lösegelds bekommt.
Ob dann tatsächlich die Dateien wieder freigegeben werden, ist unklar. Wahrscheinlich, so Wordfence, ist das nicht der Fall, da die Decryption-Funktion aktuell nicht funktionieren kann. Also: Nicht zahlen!
Spuren der Ransomware führen nach Indonesien. Darauf deuten Bezüge auf Github zu einer Facebookseite und Benennungen im Code hin.
Nun ist zu erwarten, dass es „Verbesserungen“ der Ransomware gibt.
Zum einen sollte der Entschlüsselungsvorgang irgendwann funktionieren, sonst wird einfach niemand das Lösegeld bezahlen, zum anderen wird es nur eine Frage der Zeit sein bis auch die Datenbankinhalte angegriffen werden.
Dies ist in den aktuell beobachteten Angriffen noch nicht der Fall.
Und: Man muss mit mehr Attacken dieser Art rechnen, wenn dieses „Geschäftsmodell“ Schule macht.
Fazit: Wie kann ich mich schützen?
Grundsätzlich: Backups können helfen, schadhafte Dateien wieder herzustellen, das heißt, die vorher laufende WordPress-Installation wieder herzustellen.
Voraussetzung ist, man hat Backups und weiß, dass diese Backups noch nicht befallen sind.
Zudem ist es wichtig, die neuesten Versionen der Hauptdateien von WordPress sowie die aktuellsten Versionen von Themes und Plugins einzusetzen.
Wenn ältere Themes oder Plugin nicht mehr durch den damaligen Entwickler gepflegt werden, sollte man auf den Einsatz verzichten, auch wenn es weh tut. Eine gehackte Website macht viel mehr Ärger und Arbeit.
Natürlich kann man auch Tools wie Wordfence einsetzen. Dieses Plugin ist allerdings nicht Open Source. Zwar ist eine Basisversion kostenlos verfügbar, aber der Scan der Dateien über die Filter von Wordfence ist nur in der Premiumversion verfügbar.
Der beste vorbeugende Schutz ist demnach, die Installation sicher zu halten, damit Dateien nicht unberechtigt hochgeladen werden können.