Tiskane izdaje
Pri zaznanih več primerih napadov z ribarjenjem oziroma phishingom sta sporočilom skupna naslova »webmail update« ali »system admin« ter besedilo, ki je bilo strojno prevedeno v slovenščino. Pod pretvezo, da bodo imeli zaradi zapolnjenega poštnega predala blokiran dostop do elektronske pošte, poskušajo uporabnike prepričati, da kliknejo na povezavo v sporočilu.
Spletna stran od uporabnika zahteva vpis uporabniškega imena, e-naslova in gesla za e-pošto. Na prvi pogled je videti, da se stran nahaja na predmetni domeni, dejansko pa gre za storitev preusmeritve domene na poljuben spletni naslov, ki jo ponudnik Freenom ponudi tekom registracije domene. Sama spletna stran se dejansko nahaja pri ponudniku zastonjskih spletnih strani IM Creator.
Če uporabniki vpišejo svoje podatke, se napadalci prijavijo v njihovo spletno pošto in od tam širijo napad naprej, tako da vsem kontaktom pošljejo lažno sporočilo. Ob tem v SI-CERT svetujejo uporabnikom, ki prejmejo to sporočilo, naj ga čim prej posredujejo na Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled..
V večini primerov se virus širi prek elektronskih sporočil v tujem jeziku, ki mu je priložena priponka zip. Ta vsebuje datoteko s končnico .html ali .js, ki vsebujejo močno zamaskirano kodo, ki se odkodira v več korakih. V končni fazi z nekega oddaljenega spletnega strežnika prenese in zažene izvršljivo datoteko − virus Crypt0L0cker.
Avtorji virusa za šifrirni ključ zahtevajo 499 dolarjev s plačilom v bitcoinih. Po 78 urah ceno povišajo na 999 dolarjev, po enem mesecu pa šifrirni ključ nepreklicno izbrišejo.
