Il ransomware è un tipo di malware utilizzato dagli hacker per rubare o crittografare i file delle loro vittime al fine di estorcere un riscatto in cambio della decrittazione o del ripristino dei file. Il pagamento del riscatto può variare da pochi dollari a milioni, ed è solitamente effettuato in criptovaluta.

I programmi ransomware possono accedere a dispositivi o sistemi in molti modi, più comunemente attraverso schemi di phishing, che arrivano tramite e-mail presentate alle potenziali vittime come file attendibili. Le e-mail di spam contengono spesso link infetti, PDF o altri allegati. Una volta attivati, i programmi ransomware prendono rapidamente il controllo di un dispositivo, mentre l'attaccante ricatta il bersaglio minacciando di distruggere, divulgare o vendere i dati rubati se il riscatto non viene pagato in tempo.

Esistono tre categorie di ransomware:

• scareware: si presentano sotto forma di messaggi pop-up che affermano di aver trovato malware nel dispositivo e che l'unico modo per eliminarlo è pagare una certa somma di denaro
• screen locker: vengono utilizzati dagli hacker per bloccare l'accesso degli utenti ai loro dispositivi. Non appena i dispositivi vengono avviati, le vittime ricevono un messaggio che sembra provenire dalle forze dell'ordine (FBI, Dipartimento di Giustizia, ecc.), che afferma che sono state rilevate attività illegali sui loro dispositivi o sistemi e che deve essere pagata una multa
• ransomware encrypting: vengono utilizzati dagli hacker per bloccare i file di un utente crittografandoli e richiedere un pagamento per la loro decrittazione. Nessun software o strumento di sicurezza può decifrare un file o un sistema crittografato.

Bitcoin sembra essere la forma più popolare di pagamento del riscatto richiesta dagli hacker di ransomware, seguita da Monero per le sue caratteristiche di privacy coin.