Una versiรณn renovada de un virus informรกtico de Windows creado en el 2014, se encuentra atacando a la comunidad web encriptando los portales hechos conย la plataforma WordPress.
El virus, conocido como CTB-Locker, asรญ como tambiรฉn bajo el nombre de Critroni, es del tipoย ransomware. Los ransomwares son softwares maliciosos que restringen el acceso a alguna caracterรญstica del sistema, en este caso, a la plataforma WordPress, y piden al usuario infectado que pague una recompensa al operador del virus para remover la restricciรณn.
Este ransomware hasta el momento ha logrado infectar mรกs de 100 portales de Internet que utilizan la plataforma WordPress. WordPressย es un servicio de alojamiento web gratuito para blogs de la corporaciรณn de desarrollo web Automattic, Inc.,ย que trabaja con el sistema de gestiรณn de contenido basado en PHP del mismo nombre, WordPress.
La diferencia de CTB-Locker con otros ransomwares tradicionales, es que en vez de encriptar algรบn archivo en el disco duro del sistema, el CTB-Locker, al ser un programa PHP, infecta a portales web, encriptรกndolos y denegando su acceso. Restringiรฉndolo hasta que se pague una recompensa en bitcoins a cambio de la entrega de la llave de decriptaciรณn.
Segรบn explica el portal Digital Trends,ย el virus infectarรญa sitios webs que estรฉn pobremente protegidos, reemplazando sus archivos index.php o index.html con archivos diferentes que encriptan la data del portal usando el algoritmo AES-256 y emitiendo un mensaje de alerta en la pรกgina de inicio donde se pide el โrescateโ por la pรกgina web junto con una direcciรณn de cartera bitcoin e instrucciones para comprar bitcoins para el pago del rescate. Segรบn puede verse en la siguiente imagen, el mensaje establece:
ยกAtenciรณn! ยฟQuรฉ ha pasado? Tus documentos personales estรกn encriptados por CTB Locker. Tus scripts, documentos, fotos, base de datos y otros archivos importantes han sido encriptados con el fuerte algoritmo de encriptaciรณn AES-256, รบnica llave generada para esto sitio. La llave de decriptaciรณn se encuentra almacenada en un secreto servidor de Internet y nadie puedes decriptar tus archivos a menos de que pagues y obtengas la llave de decriptaciรณn.
CTB-Locker
Mรกs adelante, el mensaje continรบa seรฑalando la direcciรณn bitcoin a la que enviar el recate y las instrucciones para hacerlo, estableciendo una fecha lรญmite antes de la cual debe ser pagado el rescate. Uno de los trabajadores del portal Bleeping Computer, quien descubriรณ el virus en el 2014, establece que la รบnica manera en la que se puede recuperar el portal ademรกs de pagando es usando un respaldo.
Un documento ha sido creado en el portal Pastebin.comย con una lista con la direcciรณn de los portales que por ahora han sido infectados por CTB-Locker. Para el momento en que se escribe, son 102 portales los que aparecen en la lista.
Este virus representa una amenaza para gran parte de la comunidad de Internet que utiliza la plataforma de manejo de contenidos, WordPress. A la fecha, data obtenida de W3Techs indica que los sitios hechos con esta plataforma representan el 59,2% de las pรกginas que usan Sistemas de Gestiรณn de Contenidos (CMS),ย y el 26% de todas las webs existentes.
Se recomienda a los dueรฑos de este tipo de portales, actualizar a la รบltima versiรณn de WordPress y realizar respaldos frecuentes de sus sitios para contar con mayor protecciรณn contra este ransomware y asรญ evitar molestias innecesarias y extorsiones.