Новое вымогательское ПО распространяется в спам-рассылке


MicrosoftИсследователями из Microsoft была обнаружена новая спам-кампания, посредством которой распространяется загрузчик вымогательского ПО WinPlock. Вредонос представляет собой "клон" известного шифровальщика CryptoLocker.

Впервые активность вымогателя была зафиксирована в январе 2015 года. Тогда один из экспертов безопасности разработал декриптор для зашифрованных PClock файлов. Однако, уже в мае 2015 года авторы вымогателя выпустили новую версию. С тех пор число атак с использованием PClock значительно уменьшилось. Недавно экспертами была обнаружена новая волна спам-писем, распространяющих вредонос.

 

Злоумышленники маскируют вредоносные письма под факсимильные сообщения с темой письма:

  • "PLEASE READ YOUR FAX T6931" ("Пожалуйста, прочтите ваш факс").


Непримечательный заголовок, а также вложенный в письмо документ под названием

  • "Criminal case against you" ("Уголовное дело против вас")

не оставляет пользователей равнодушными.

RAR-архив содержит WSF-файл. После его выполнения функция JScript инициирует ряд операций, в частности, загружается дроппер Crimace. В свою очередь дроппер загружает на компьютер жертвы вымогательское ПО PClock.


Обновлено (17.11.2016 22:10)