La cosa più importante da tenere a mente sul ransomware è che lo scopo dei creatori è quello di far pagare la vittima al riscatto. Da questo punto di vista è importante notare il fatto che ci sono almeno tre categorie di ransomware:
- Tipico ransomware, che crittografa i file e se le vittime pagano, ricevono chiavi o strumenti di decrittografia e possono recuperare i file;
- Il ransomware che crittografa, distrugge o sostituisce i file e anche se le vittime pagano, non riceveranno mai i loro dati (uno studio del 2016 stima che il 20% di coloro che pagano, non recuperi i propri dati);
- Gli armadietti, che non crittografano i file, ma impediscono alle persone di usare i loro computer negando l'accesso al desktop, a Windows Explorer, al Task Manager e ad altre app, a meno che non paghino un riscatto.
Per quanto riguarda la crittografia dei file, che viene eseguita da molte varianti di ransomware, in genere utilizzano una combinazione di crittografia a chiave simmetrica, che è veloce (ad esempio AES, DES) e crittografia a chiave asimmetrica (ad esempio RSA).
La chiave simmetrica viene generalmente generata dinamicamente ed esiste nella memoria dell'eseguibile ransomware durante il processo di crittografia. La chiave pubblica asimmetrica viene utilizzata per crittografare la chiave simmetrica e il risultato viene comunicato ai creatori del ransomware in generale seguendo i passaggi del file relativo al riscatto.
Molti ransomware usano la libreria CryptoAPI di Windows, ma ci sono anche varianti che incorporano gli algoritmi di crittografia nel codice malware (ci sono molte implementazioni di questi algoritmi in diversi linguaggi di sviluppo, disponibili pubblicamente).