Pri zaznanih več primerih napadov z ribarjenjem oziroma phishingom sta sporočilom skupna naslova "webmail update" ali "system admin" ter besedilo, ki je bilo strojno prevedeno v slovenščino. Pod pretvezo, da bodo imeli zaradi zapolnjenega poštnega predala blokiran dostop do elektronske pošte, poskušajo uporabnike prepričati, da kliknejo na povezavo v sporočilu.
Povezava vodi na indeksno spletno stran, ki od uporabnika zahteva vpis uporabniškega imena, e-naslova in gesla za e-pošto. Če uporabniki vpišejo svoje podatke, se napadalci prijavijo v njihovo spletno pošto in od tam širijo napad naprej, tako da vsem kontaktom pošljejo lažno sporočilo.
V SI-CERT svetujejo uporabnikom, ki prejmejo to sporočilo, naj ga čim prej posredujejo na cert@cert.si.
SI-CERT je poleg tega prejel več prijav okužb z izsiljevalskim virusom, poimenovanim Crypt0L0cker. Sicer ne gre za novo vrsto virusa, se pa v zadnjem času najbolj pogosto pojavlja med izsiljevalskimi virusi.
V večini primerov se virus širi preko elektronskih sporočil v tujem jeziku, ki mu je priložena priponka zip. Ta vsebuje datoteko s končnico .html ali .js, ki vsebujejo močno zamaskirano kodo, ki se odkodira v več korakih. V končni fazi z nekega oddaljenega spletnega strežnika prenese in zažene izvršljivo datoteko - virus Crypt0L0cker.
Omenjeni virus zašifrira nekatere datoteke v vsaki mapi, kjer jih je zašifriral pa odloži datoteki HOW_TO_RESTORE_FILES.txt in HOW_TO_RESTORE_FILES.html. Zamenja tudi sliko namizja z navodili za namestitev brskalnika Tor, s katerim uporabnika preusmerijo na spletno stran v omrežju darkweb (domena s končnico .onion) z navodili za plačilo odkupnine.
Avtorji virusa za šifrirni ključ zahtevajo 499 dolarjev s plačilom v bitcoinih. Po 78 urah ceno povišajo na 999 dolarjev, po enem mesecu pa šifrirni ključ nepreklicno izbrišejo.
Uporabniki, ki jim je virus Crypt0L0cker zašifriral datoteke, se za pomoč glede možnosti restavriranja datotek lahko obrnejo na SI-CERT.
