El ransomware CTB Locker ha cambiado de estrategia. Bloquea ahora sitios web en lugar de equipos, se le conoce como “CTB-Locker for Websites”.
CTB Locker está activo desde el 12-Feb y ya ha infectado al menos a 102 sitios web. La lista está publicada en el sitio de Pastebin.
Al parecer los sitios web objetivo del ransomware son los que utilizan WordPress, un gestor de blog basado en PHP. El ransomware sustituye el archivo index.php o index.html del sitio web por un archivo index.php especialmente diseñado para bloquear el contenido del sitio web mediante cifrado AES. La nueva página de inicio del sitio web muestra información de que los archivos han sido bloqueados y para su desbloqueo exige el pago de un rescate en moneda Bitcoin.
CTB Locker da la oportunidad de descifrar dos archivos sin costo, una medida más frecuente para inducir a la víctima a la extorsión.
Por el momento la única forma de restablecer el sitio web atacado por el ransomware es a través del respaldo más reciente del sitio web. Como el ransomware sólo afecta a los archivos del sitio web y no a las bases de datos, entonces es suficiente con restablecer los archivos de la aplicación para restablecer la funcionalidad del sitio web.
Es recomendable también averiguar con el proveedor del hospedaje web cómo es que el sitio fue comprometido para juntos tomar las medidas necesarias de protección del sitio web.