Nhiều chuyên gia nghĩ rằng sự kiện trên là một tai nạn trên web nhưng điều đó không phải như vậy mà là một phần trong một chiến dịch lớn và một tuần sau đã có hơn 100 trang web đã bị hiện tượng như vậy .

Ransomware xuất hiện thông tin đòi tiền chuộc giống như CTB-Locker nhưng về kỹ thuật thì không phải bởi vì nó chỉ chạy trên môi trường Windows không có trên những máy chủ Linux Web .

Benkow , là một chuyên gia phân tích an ninh Stormshield đã phát hiện ra cách thức hoạt động của Ransomware trên và thậm chí còn lấy được mã nguồn từ những mục tiêu bị lây nhiễm . Anh này sau đó tải mã nguồn lên diễn đàn KernelMode do đó những chuyên gia an ninh khác cũng có thể phân tích . Kể từ đó Ransomware \"CTB-Locker for Websites\" đã bắt đầu nổi tiếng và có mặt trên GitHub .

Theo phân tích của Benkow thì CTB-Locker for Websites được viết bằng PHP , dùng mã hóa mạnh AES-256 , yêu cầu tiền chuộc là 0.4 Bitcoin nhưng sẽ tăng lên thành 0.8 Bitcoin nếu người dùng không trả tiền chuộc trong 2 ngày .

Tuy nhiên Benkow không phát hiện ra cách thức lây nhiễm tới những máy chủ của Ransomware này . Danh sách những trang web bị nhiễm độc không phải chỉ là những trang CMS vì thế không thể nói rằng Ransomware này nhắm tới những trang Joomla hay WordPress .

Benkow giải thích “ Những Host bị nhiễm độc trên cả Linux và Windows và hầu hết (73%) Host là dịch vụ Exim (SMTP Server) . Và hầu hết chúng đều chạy Webshell bảo vệ bằng mật khẩu có khả năng truy cập qua trang động “logout.php” “

Thêm vào đó nhiều trang bị lây nhiễm vẫn còn chứa lỗi an ninh Shellshock mà đã được vá cách đây hơn một năm trước .

Trong những tháng cuối năm 2015 , các chuyên gia an ninh đã phát hiện ra họ mã độc đòi tiền chuộc Linux.Encoder , cũng nhắm tới những máy chủ Web và kho phần mềm nguồn mở .Linux.Encoder được viết bằng C và C++ không liên quan tới CTB-Locker cho web .

Tuy nhiên ngay sau đó BitDefender đã có công cụ để giải mã Linux.Encoder .