Nedavno je otkriven novi crypto-ransomware tip malvera, naziva “Locky”, koji koristi neuobičajenu metodu distribucije. Ova varijanta malvera ubacuje se u sustav pomoću maliciozne makro skripte unutar Word dokumenta. S obzirom da se rijetko nailazi na malver koji se oslanja na macro naredbe, tehnika kojom se ovaj tip distribuira mogla bi se usporediti s otprije poznatim bankarskim trojancem “DRIDEX”, koji koristi slične metode. Sigurnosni stručnjaci ističu da “Locky” malver dolazi u privitku e-mail poruke kao Word dokument s malicioznom makro skriptom. Prema dosadašnjim saznanjima u naslovu e-mail poruke piše “ATTN: Invoice J-98223146”, dok u tijelu poruke stoji “Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice”.

Jednom kada se otvori Word dokument, maliciozna makro skripta dohvaća izvršnu (.exe) datoteku s udaljenog web poslužitelja te ju instalira na sustav nakon čega započinje s pretraživanjem diskova (uključujući i mrežne diskove), a potom i šifriranjem datoteka poput dokumenata, slika, glazbenog i video sadržaja, arhive, baze podataka i ostalih web aplikacijskih datoteka. Šifrirane datoteke biti će preimenovane s dodanom ekstenzijom “.locky”. Kao i kod ostalih tipova ransomware malvera, ovaj također na računalu žrtve ostavlja poruku unutar svakog šifriranog direktorija. U poruci piše da se treba platiti 0.5 BTC (Bitcoin) ako žrtva želi povratiti šifrirane podatke. Uz Locky, istraživači su naišli na poveznicu između Lockya i drughi crypto-ransomware varijanti (CRYPTESLA i CRILOCK), što potkrjepljuju činjenicama da su pakirani istim alatom, odnosno da se radi o istom autoru, ili da je alat dostupan različitim autorima ransomware malvera. Kao prevencija od moguće ugroze, savjetuje se držanje isključene opcije otvaranja macroa, redovito ažuriranje antivirusnog alata te redovito stvaranje sigurnosne kopije važnih dokumenata i datoteka na više različitih mjesta koja nisu međusobno povezana.