Una versión renovada de un virus informático de Windows creado en el 2014, se encuentra atacando a la comunidad web encriptando los portales hechos con la plataforma WordPress.
El virus, conocido como CTB-Locker, así como también bajo el nombre de Critroni, es del tipo ransomware. Los ransomwares son softwares maliciosos que restringen el acceso a alguna característica del sistema, en este caso, a la plataforma WordPress, y piden al usuario infectado que pague una recompensa al operador del virus para remover la restricción.
Este ransomware hasta el momento ha logrado infectar más de 100 portales de Internet que utilizan la plataforma WordPress. WordPress es un servicio de alojamiento web gratuito para blogs de la corporación de desarrollo web Automattic, Inc., que trabaja con el sistema de gestión de contenido basado en PHP del mismo nombre, WordPress.
La diferencia de CTB-Locker con otros ransomwares tradicionales, es que en vez de encriptar algún archivo en el disco duro del sistema, el CTB-Locker, al ser un programa PHP, infecta a portales web, encriptándolos y denegando su acceso. Restringiéndolo hasta que se pague una recompensa en bitcoins a cambio de la entrega de la llave de decriptación.
Según explica el portal Digital Trends, el virus infectaría sitios webs que estén pobremente protegidos, reemplazando sus archivos index.php o index.html con archivos diferentes que encriptan la data del portal usando el algoritmo AES-256 y emitiendo un mensaje de alerta en la página de inicio donde se pide el “rescate” por la página web junto con una dirección de cartera bitcoin e instrucciones para comprar bitcoins para el pago del rescate. Según puede verse en la siguiente imagen, el mensaje establece:
¡Atención! ¿Qué ha pasado? Tus documentos personales están encriptados por CTB Locker. Tus scripts, documentos, fotos, base de datos y otros archivos importantes han sido encriptados con el fuerte algoritmo de encriptación AES-256, única llave generada para esto sitio. La llave de decriptación se encuentra almacenada en un secreto servidor de Internet y nadie puedes decriptar tus archivos a menos de que pagues y obtengas la llave de decriptación.
CTB-Locker
Más adelante, el mensaje continúa señalando la dirección bitcoin a la que enviar el recate y las instrucciones para hacerlo, estableciendo una fecha límite antes de la cual debe ser pagado el rescate. Uno de los trabajadores del portal Bleeping Computer, quien descubrió el virus en el 2014, establece que la única manera en la que se puede recuperar el portal además de pagando es usando un respaldo.
Un documento ha sido creado en el portal Pastebin.com con una lista con la dirección de los portales que por ahora han sido infectados por CTB-Locker. Para el momento en que se escribe, son 102 portales los que aparecen en la lista.
Este virus representa una amenaza para gran parte de la comunidad de Internet que utiliza la plataforma de manejo de contenidos, WordPress. A la fecha, data obtenida de W3Techs indica que los sitios hechos con esta plataforma representan el 59,2% de las páginas que usan Sistemas de Gestión de Contenidos (CMS), y el 26% de todas las webs existentes.
Se recomienda a los dueños de este tipo de portales, actualizar a la última versión de WordPress y realizar respaldos frecuentes de sus sitios para contar con mayor protección contra este ransomware y así evitar molestias innecesarias y extorsiones.