Rasan­ter Anstieg in der Erken­nung der Nemu­cod-Mal­wa­re. Bekannt, aber heim­tü­ckisch. Bedro­hung per Email-Anhang, Betreff wie Rech­nung oder Gerichts­vor­la­dung. Der schad­haf­te Anhang (oft­mals ein getarn­tes ZIP-Archiv) ent­hält Java­script-Code. Die­ser lädt nach Öff­nen des Anhangs die Mal­wa­re Nemu­cod her­un­ter und star­tet die­se. Nemu­cod selbst lädt dann bekann­te Ver­tre­ter wie Locky und Tes­lacrypt nach, und akti­viert die­se sogleich. Danach beginnt das übli­che Spiel mit Ver­schlüs­se­lung und Löse­geld­for­de­rung.