A un año de la aparición de CTB-Locker que alertó el Laboratorio de Investigación de ESET Latinoamérica, se ha descubierto una nueva variante de este ransomware, caracterizada por afectar servidores web cifrando el contenido de los sitios que alojan - es decir, cifrando archivos mediante código PHP. Las soluciones de ESET la detectan como PHP/Filecoder.A y ha sido denominada "CTB-Locker para sitios web".

Tras infiltrarse en el servidor, cifra sitios web y hace un defacement para mostrar el mensaje de rescate

El apodo tiene sentido si consideramos que solo apunta a cifrar sitios web una vez que se infiltra en el servidor, tras lo cual hace un defacement para mostrar el mensaje de rescate en el sitio afectado. En él, pide 0,4 bitcoins para descifrar el contenido y para ello, se vale de reemplazar el archivo index.php o index.html original con un nuevo index.php. Este es luego usado para cifrar los datos usando AES-256, explica el análisis de BleepingComputer.

"Debe señalarse que si el sitio web no usa PHP, CTB-Locker no podrá funcionar", aclara Lawrence Abrams en su post.

¿Qué diferencia a esta versión de la anterior?

Hay dos particularidades de esta nueva variante que llaman la atención: la primera es que permite "descifrar en forma gratuita" dos archivos, como muestra de que la herramienta de descifrado funciona y así lograr que las víctimas hagan el pago del rescate. Estos dos archivos son preseleccionados al azar al momento de la infección, por lo que el usuario no puede elegir cuáles serán.

Sin embargo, como de costumbre, recomendamos no pagar porque esto alienta la práctica criminal de los atacantes y deja abierta la posibilidad de futuras extorsiones; además, en este caso (quizá más que en otros de ransomware) el backup puede disminuir significativamente el impacto de la amenaza. Esto se debe a que la mayoría de los archivos de sitios web son estáticos y permanecen sin cambios por períodos considerables, por lo que los administradores seguramente tendrán una copia de las últimas versiones y podrán restaurarlos.

Otra nueva versión de CTB-Locker para Windows utiliza certificados digitales válidos

La otra particularidad de CTB-Locker para sitios web es que permite a la víctima entablar conversación con el atacante en caso de que haya "preguntas o sugerencias".

En cuanto a los archivos que cifra, pueden ser de prácticamente cualquier extensión, dentro de una lista de decenas que incluye a las más populares: imágenes .JPG, .PNG o .GIF, bases de datos como .MDB, .SQLITEDB o .DBF , videos como .MP4, .MOV o .FLV, proyectos de programación como .JS, .VBS o .JAVA, comprimidos como .ZIP y muchos más.

Finalmente, vale la pena mencionar que no solo ha aparecido CTB-Locker en su versión para servidores web, sino también una versión para Windows que utiliza certificados digitales válidos. Si bien el código de este malware está firmado digitalmente, dichos certificados han sido robados, por lo que es de esperar que todas las soluciones de seguridad reconozcan y bloqueen aplicaciones con estos certificados falsos.

Cómo proteger sitios web de CTB-Locker

Como ya hemos dicho en varias ocasiones, la herramienta más poderosa contra el ransomware es el backup. Asimismo, sabemos de su importancia en un servidor web, ante cualquier posible contingencia.

Pero como en los servidores web hay muchos archivos que no son modificados frecuentemente, sería una pérdida de tiempo y recursos realizar varias copias de la misma información. Por ello, resulta fundamental tener una adecuada política de backups en donde se especifique qué documentos van a ser resguardados en forma incremental.