Thông tin trên được Ban quản trị diễn đàn Whitehat đưa ra và kẻ tấn công tiếp tục sử dụng email làm phương thức phát tán.

Khi người dùng mở file đính kèm này, một thông báo lỗi sẽ được hiện lên.

Thực chất file "Certificate_72320.xls" có định dạng là xlsm (excel macro-enable workbook) nên chương trình Microsoft Office Exel sẽ cảnh báo là file không đúng định dạng. Tuy nhiên nếu người dùng ấn “Yes” thì file vẫn được Microsoft Office Exel mở lên.

Nếu người dùng không thiết lập cài đặt chặn macro hoặc người dùng chọn Enable trên giao diện thì các macro độc hại sẽ được thực thi. Nhiệm vụ chính của đoạn macro này là tải file thư viện liên kết động .dll (ransomeware locky) về máy tính của người dùng và lợi dụng tiến trình Rundll32.exe của hệ thống để chạy thư viện này. Ransomeware Locky sẽ mã hóa các file tài liệu của người dùng lại và đòi tiền chuộc.

Cảnh báo ransomeware Locky hiển thị lên sau khi đã mã hóa hết các file tài liệu của người dùng.

Đại diện diễn đàn Whitehat (Bkav) khuyến cáo, người dùng tuyệt đối không mở file đính kèm từ các email không rõ nguồn gốc. Trong trường hợp bắt buộc phải mở để xem nội dung, người sử dụng có thể mở file trong môi trường cách ly an toàn Safe Run.