Зафиксирована новая волна атак с использованием «клона» CryptoLocker

Исследователи Microsoft обнаружили новую волну спам-писем, распространяющих загрузчик вымогательского ПО PClock (детектируется продуктами Microsoft как WinPlock). Вредонос является «клоном» известного шифровальщика CryptoLocker, а его активность была впервые зафиксирована в январе прошлого года.

ИБ-эксперт Фабиан Восар (Fabian Wosar) разработал декриптор для зашифрованных PClock файлов, но в мае 2015 года авторы вымогателя выпустили новую версию. С тех пор число атак с использованием PClock пошло на убыль, однако недавно эксперты обнаружили новую волну спам-писем, распространяющих вредонос.

Злоумышленники маскируют вредоносные письма под факсимильные сообщения. В теме письма указано «PLEASE READ YOUR FAX T6931» («Пожалуйста, прочтите ваш факс»). Несмотря на весьма непримечательный заголовок, вложенный в письмо документ под названием «Criminal case against you» («Уголовное дело против вас») не оставляет пользователей равнодушными.

RAR-архив содержит WSF-файл, после выполнения которого функция JScript инициирует ряд операций. В частности, загружается дроппер Crimace, в свою очередь загружающий на компьютер жертвы PClock.