Aanvallers hebben van .EGG-bestanden gebruikgemaakt om de GandCrab-ransomware te verspreiden. EGG is een bestandsextensie voor archiefbestanden, net als .zip. Het wordt veel gebruikt in Zuid-Korea en kan alleen door het programma ALZip worden geopend, zo meldt anti-virusbedrijf Trend Micro.

De bestanden worden verspreid via e-mailbijlagen die zogenaamd van de Zuid-Koreaanse Fair Trade Commission afkomstig zijn. In de e-mail wordt gesteld dat de ontvanger een overtreding heeft begaan en er een onderzoek tegen hem of haar is ingesteld. Het EGG-bestand bevat drie bestanden, waaronder twee .lnk-bestanden die zich als documenten voordoen en een .exe-bestand dat verdwijnt zodat de gebruiker het EGG-bestand uitpakt.

Windows laat standaard de extensies van bestanden niet zien. Wanneer gebruikers echter de detailweergave hebben ingeschakeld wordt duidelijk dat de bestanden die op .doc lijken te eindigen in werkelijkheid snelkoppelingen zijn. Als de gebruiker de als document vermomde .lnk-bestanden opent wordt de GandCrab-ransomware uitgevoerd, die allerlei bestanden op het systeem versleutelt. Voor het ontsleutelen van de bestanden moet er een bedrag worden betaald.