Onderzoekers hebben voor het eerst een ransomware-variant ontdekt die gelijktijdig spyware installeert om allerlei wachtwoorden van het systeem te stelen. Volgens het Japanse anti-virusbedrijf Trend Micro is het de eerste keer dat ransomware met spyware is gebundeld. De infectiemethode van "Cryptowall 3.0" is echter gelijk aan eerdere varianten en andere vormen van crypto-ransomware.

Gebruikers ontvangen een e-mail met een zipbijlage, die zogenaamd een C.V. zou bevatten. In werkelijkheid gaat het om een JavaScriptbestand. Zodra de gebruiker dit bestand opent worden er twee "JPG-bestanden" gedownload. De extensie is echter alleen bedoeld om beveiligingssystemen te omzeilen. Zodra de bestanden zijn gedownload worden die door het JavaScript uitgevoerd. Het gaat om een variant van Cryptowall en de Fareit-spyware. Cryptowall versleutelt allerlei gegevens op de computer en vraagt vervolgens een bedrag van 500 euro om die te ontsleutelen.

Wordt er niet op tijd betaald, dan moet de gebruiker 1.000 euro betalen. Terwijl de gebruiker hierdoor is afgeleid, steelt Fareit allerlei wachtwoorden uit FTP-programma's, browsers, e-mailclients en bitcoinportemonnees, aldus analist Anthony Joe Melgarejo. Hij stelt dat er verschillende redenen kunnen zijn waarom de spyware met de ransomware wordt gebundeld, bijvoorbeeld omdat mensen weigeren het losgeld te betalen en daardoor het stelen van wachtwoorden een 'back-upplan' is.

Zelfs als de gebruiker weigert te betalen zouden de cybercriminelen, bijvoorbeeld via de wachtwoorden van de bitcoinportemonnees, toch geld kunnen stelen. Om infecties met deze en andere soorten ransomware te voorkomen krijgen gebruikers het advies om geen bijlagen van onbekende afzenders te openen. "Sterker nog, ze zouden e-mail van onbekende afzenders moeten negeren of verwijderen", aldus Melgarejo.