Uno dei primi attacchi moderni Ransomware è stato rilevato oltre dieci anni fa in Russia, spostando i file dal PC attaccato a una cartella ZIP protetta da password ed eliminando gli originali. Per recuperare i propri file, le vittime hanno dovuto trasferire 300 $ su un conto E-Gold che può essere considerato il precursore di BitCoin.
Anche se di solito si affidano a questo tipo di strategie per approfittarsi degli utenti e tenere i dati in ostaggio, esistono diverse famiglie di Ransomware. Ecco quelle più comuni:
Bad Rabbit - Russia and Ukraine first reported the ransomware attack, which follows a similar pattern to WannaCry and Petya by encrypting the user's file tables and then demands a Bitcoin payment to decrypt them. It was distributed via a fake Flash software installer, which allegedly arrives as a pop-up from a legitimate Russian news site. Once run, the pop-up leads to a compromised site, which in turn downloads an executable dropper.
Petya - The ransomware targets Microsoft Windows-based systems, infecting the master boot record to execute a payload that encrypts a hard drive's file system table and prevents Windows from booting. It subsequently demands that the user make a payment in Bitcoin in order to regain access to the system. There are several variants of Petya, including the one dubbed NotPetya.
WannaCry - è il più recente (risalente al maggio scorso) e il più grande attacco Ransomware riscontrato fino ad ora. Ha infettato più di 10.000 computer sfruttando la vulnerabilità priva di patch di Microsoft Windows.
Locky - prima è stato rilevato come macro in un documento Word, poi si è diffuso attraverso Adobe Flash e Windows Kernel Exploits. I ransomware Locky sono noti per eliminare le copie shadow dei file per rendere inutili i backup locali.
Cryptowall - l'ultima versione è nota per crittografare anche i nomi dei file crittografati, rendendo più difficile sapere cosa è stato crittografato. Viene diffuso in diversi modi, fra cui come allegato in e-mail phishing provenienti da istituti finanziari. Il riscatto richiesto di solito ammonta a 700 $, che raddoppia dopo una settimana passando a 1.400 $.
Cerber - è la più grande strategia Ransom-as-a-service: lo sviluppatore recluta i collaboratori che diffondono il malware, accaparrandosi una parte dei profitti. Cerber è stato usato in un attacco che ha potenzialmente esposto all'infezione milioni di utenti di Microsoft Office 365.