När användaren aktiverar dessa makron installeras den skadliga programvaran som krypterar användarens filer. Ett meddelande säger åt användaren att ladda ned webbläsaren Tor och besöka en webbsida som kräver bitcoin-betalning. Sedan juni 2016 drivs en uppdaterad version av Locky av Necurs som är ett botnet.

– Att Locky återuppstått visar att cyberkriminella enkelt kan ändra och göra gamla skadliga koder kraftfulla igen, säger Åsa Edner, Sverigechef på Check Point.

– Gamla varianter kan vara minst lika skadliga som nya. Om det finns verksamheter som fortfarande är tveksamma till om de ska ta ransomware på allvar så måste de tänka om.

Roughted tar första platsen i Sverige och är en så kallad malvertising. Den sprids via marknadsföring på nätet och adblockers. Rig EK hamnar på tredje plats och levererar sårbarheter till Flash, Java, Silverlight och Internet Explorer. Infektionskedjan börjar med en omdirigering till en landningssida som innehåller JavaScript som i sin tur kontrollerar sårbara plugin-program för att exploatera enheten.