Megnéztem a header-eket. Sajnos erősen hiányosak (Outlook, az üzenet a törölt elemekben volt). Bár a felhasználó azt állítja, hogy ismeri a feladó cégét (a két cég állítása szerint kapcsolatban áll), sem a postafiókjában, sem a levelezésében nem találtam ilyen domain-ről érkező levelet. Ettől még persze lehet igaz az állítás.
Ha nem az, akkor sima vírusos e-mail. A mi esetünkben egy strobes.zip\strobes.zip\strobes.scr fájlban jött a csoda. Ez egy dropper, ami pár percen belül letöltötte, és elindította a CTB-Lockert.
Néhány screenshot a levélről: http://imgur.com/a/Ss7oj