Исследователи Microsoft обнаружили новую волну спам-писем, распространяющих загрузчик вымогательского ПО PClock (детектируется продуктами Microsoft как WinPlock). Вредонос является “клоном” известного шифровальщика CryptoLocker, а его активность была впервые зафиксирована в январе прошлого года.
ИБ-эксперт Фабиан Восар (Fabian Wosar) разработал декриптор для зашифрованных PClock файлов, но в мае 2015 г. авторы вымогателя выпустили новую версию. С тех пор число атак с использованием PClock пошло на убыль, однако недавно эксперты обнаружили новую волну спам-писем, распространяющих вредонос.
Злоумышленники маскируют вредоносные письма под факсимильные сообщения. В теме письма указано “PLEASE READ YOUR FAX T6931” (“Пожалуйста, прочтите ваш факс”). Несмотря на весьма непримечательный заголовок, вложенный в письмо документ под названием “Criminal case against you” (“Уголовное дело против вас”) не оставляет пользователей равнодушными. RAR-архив содержит WSF-файл, после выполнения которого функция JScript инициирует ряд операций. В частности, загружается дроппер Crimace, в свою очередь загружающий на компьютер жертвы PClock. (Microsoft/NovostIT)