Il ransomware è un tipo di malware utilizzato dagli hacker per rubare o crittografare i file delle loro vittime per estorcerle un riscatto in cambio della decrittazione o ripristino dei file. Il pagamento del riscatto può variare da pochi dollari a milioni, solitamente pagato in cripto. I programmi ransomware possono accedere a dispositivi o sistemi in molti modi, più comunemente attraverso schemi di phishing, che arrivano tramite e-mail presentate alle potenziali vittime come file attendibili. Le e-mail di spam hanno spesso dei link infetti, PDF o altri allegati. Una volta attivati, i programmi ransomware prendono rapidamente il controllo di un dispositivo mentre l'attaccante ricatta il bersaglio minacciando di distruggere, divulgare o vendere i dati rubati se il riscatto non viene pagato a tempo debito. Esistono tre categorie di ransomware: scareware, screen locker e ransomware encrypting. I programmi scareware si presentano sotto forma di messaggi pop-up che affermano di aver trovato malware nel dispositivo e che l'unico modo per sbarazzarsene è pagare una certa somma di denaro. Gli screen locker vengono utilizzati dagli hacker per bloccare gli utenti dai loro dispositivi. Non appena i loro dispositivi vengono avviati, le vittime ricevono un messaggio dalle forze dell'ordine (FBI, Dipartimento di Giustizia, ecc.) che afferma che sono state rilevate attività illegali sui loro dispositivi o sistemi e che deve essere pagata una multa. I programmi ransomware encrypting vengono utilizzati dagli hacker per bloccare i file di un utente crittografandoli e richiederne il pagamento per fare in modo che i loro file vengano decrittografati. Nessun software o strumento di sicurezza può mai decifrare un file o un sistema crittografato. Bitcoin sembra essere la forma più popolare di pagamento del riscatto richiesta dagli hacker di ransomware, seguita da Monero per le sue caratteristiche di privacy coin.