Zaznane napade ribarjenja druži elektronska pošta z naslovom “webmail update” ali “system admin”, v kateri se nahaja v nerodno slovenščino prevedeno besedilo. Napadalci poskušajo v besedilu uporabnike prepričati, da bodo imeli zaradi zapolnjenega poštnega predala blokiran dostop do svoje elektronske pošte ter da lahko težavo odpravijo s klikom na povezavo v sporočilu. Če prejmete podobno sporočilo, nikar ne kliknite na povezavo!
Povezava vas namreč odpelje na novo spletno stran, ta pa vas prosi za vpis uporabniškega imena, e-naslova in gesla za e-pošto. Kdor svoje podatke vpiše, napadalcu preda vse podatke za dostop do e-pošte. Napadalci se posledično lahko prijavijo v vašo spletno pošto in od tam širijo napad naprej, tako da vsem vašim kontaktom pošljejo lažno sporočilo. V SI-CERT uporabnikom, ki prejmejo to sporočilo, svetujejo, naj ga čim prej posredujejo na cert@cert.si.
Ponovno se je pojavil že znani izsiljevalski virus
SI-CERT je prejel tudi več prijav okužb z izsiljevalskim virusom, poimenovanim Crypt0L0cker. Sicer ne gre za novo vrsto virusa, a se je v zadnjem času ponovno pojavil v povečanem obsegu in je trenutno najbolj pogost med izsiljevalskimi virusi.
V večini primerov se virus širi preko elektronskih sporočil v tujem jeziku, ki mu je priložena priponka s končnico .zip. Ta vsebuje datoteko s končnico .html ali .js, ki nosita močno zamaskirano zlonamerno kodo. Ko se ta v več korakih odkodira, prek spleta na okuženi računalnik prenese virus Crypt0L0cker. Ta nadalje zašifrira vse datoteke razen datotek s končnicami: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe.
Za vračilo podatkov zahtevajo do 999 dolarjev
V vsaki mapi, kjer je virus zašifriral datoteke, odloži datoteki HOW_TO_RESTORE_FILES.txt in HOW_TO_RESTORE_FILES.html z navodili za restavriranje datotek. Zamenja tudi sliko namizja z navodili za namestitev brskalnika Tor, s katerim uporabnika preusmerijo na spletno stran v omrežju darkweb (gre za domena s končnico .onion). Tam žrtev napada prejme navodila za plačilo odkupnine.
Avtorji virusa za šifrirni ključ, ki restavrira zakodirane datoteke, zahtevajo 499 dolarjev s plačilom v kripto valuti bitcoin. Po 78 urah ceno povišajo na 999 dolarjev, po enem mesecu pa šifrirni ključ nepreklicno izbrišejo. Uporabniki, ki jim je virus Crypt0L0cker zašifriral datoteke, se za pomoč glede možnosti restavriranja datotek lahko obrnejo na SI-CERT.
