Schlechte News für alle WordPress Benutzer, was bisher vor allem Windows User kennen trifft anscheinend nun auch immer mehr WordPress User und zwar gehts hier um Ransomware. Anscheinend gibts immer mehr Fälle wo ganze WordPress Installationen von Ransomeware betroffen sind, ihre Webseiten wurden gehackt, verschlüsselt und man fordert die Leute dann auf 0,2 Bitcoin (etwa 800€) bezahlen. Die Webseite wird dabei als .ev File aufm Server abgelegt.

Also das alte Problem trifft „uns“ nun auch.

Wordfence (Die das bei einer Analyse ihres Traffics herausgefunden haben) rät von der Lösegeldzahlung ab: Hinter dem Eingabefeld verberge sich gar keine Entschlüsselungsfunktion. Selbst im unwahrscheinlichen Fall, dass der Angreifer den Key tatsächlich herausrücke, sei die Wiederherstellung der verschlüsselten Dateien nur mit zusätzlichem Programmier- und Zeitaufwand möglich.

Weitere Nachforschungen durch Wordfence ergaben, dass es sich bei dem Schadcode um eine Ransomware-Variante handelt, die auf frei verfügbarem PHP-Code basiert. Dieser sei bereits seit Mitte letzten Jahres auf GitHub verfügbar.

Details wie Variablennamen im Code sowie die Facebook-Seite des Repository-Besitzers deuten laut Wordfence auf eine indonesische Hackergruppe als Urheber der „Open-Source-Ransomware“ auf GitHub hin. Ob diese auch hinter den Angriffen auf WordPress steckt, sei unklar. Das Entwickler-Team habe jedoch einige der bei den Angriffen geloggten IPs der indonesischen Hauptstadt Jakarta zuordnen können.

Wie kann ich sowas verhindern?

Zuerst die alte Regel die ich immer wieder wiederhole – und zwar macht saubere Backups und zwar regelmässig. Und dann aktualisiert auch regelmässig eure WordPress Seiten (Core und Plugins) und vertraut nicht blind allen Plugins sondern hört euch um.

Wie auch immer einen 100% Schutz gibts nicht – also ist regelmässiger Backup die einzige wirkliche Sicherheit die ihr habt…