暗号化されたDLLファイルを利用とのこと。

暗号化型ランサムウェア「Locky」ファミリは、2016年2月に確認されて以来、注目度の高いランサムウェアの1つとなっています。そしてブラジルのアンダーグラウンドで販売されたり、様々なエクスプロイトキットにより拡散されたりしてきました。また、拡散の手法にマクロや JavaScript、VBScript、Windows スクリプトファイルといったファイルを利用することで知られています。そして今回、トレンドマイクロは、DLLファイルを利用する「Locky」を新たに確認しました。
今回弊社が確認した「Locky」の亜種「RANSOM_LOCKY.F116HM」は、何の変哲もないメッセージの書かれたメール（図1参照）を送信する大規模なスパムメール送信活動で拡散されており、一見、従来の「Locky」と同様の手法が採用されているように見えます。しかし、実際には、幾つかの変更が確認されました。

暗号化型ランサムウェア「Locky」、今度は暗号化された DLLファイルを利用 | トレンドマイクロ セキュリティブログ