Компания Microsoft выпустила предупреждение о новом варианте приложения-вымогателя под названием ZCryptor, которое обладает возможностью распространять себя через съёмные и сетевые диски. Исследователь безопасности по имени Джек первым обнаружил и описал эту угрозу в блоге MalwareForMe 24 мая. Через три дня команда безопасности из Microsoft также обратила внимание на приложение.
Злоумышленники используют поддельные инсталляторы, обычно маскирующиеся под Adobe Flash, а также макросы в файлах Office, с целью распространения Zcryptor. Попав на компьютер, вымогатель добавляет ключ в реестр и потом начинает шифровать файлы, добавляя к их именам расширение .zcrypt. На основе анализа образцов Microsoft пишет о том, что шифруются файлы 88 типов. В MalwareHunterTeam говорят о 121 типе файлов.
Microsoft говорит о поведении вымогателя в стиле червя, способного распространять себя на ближайшие цели. Такого поведения за приложениями-вымогателями прежде не наблюдалось. Анализ от компании Trend Micro подтверждает информацию Microsoft.
Ранее Alpha Ransomware обладало возможностью шифровать файлы в общих папках, но распространяться на другие диски программа не умела. Авторы ZCryptor постоянно обновляют её код и добавляют новые возможности.