Ransomware jest wyjątkowo podstępną formą złośliwego oprogramowania. Jak sugeruje nazwa, oprogramowanie ransomware pobiera dane i przechowuje je w celu uzyskania okupu, szyfrując je. Wirusy te są zaprogramowane do wyszukiwania plików z określonymi rozszerzeniami. Typowe pliki, takie jak JPEG, dokumenty Word i Excel, pliki projektów Photoshop i pliki baz danych, należą do wielu dotkniętych tym problemem. Pliki, których dotyczy problem, zwykle mają dołączone nowe rozszerzenie, na przykład „.CRYPTED„, „.VAULT” lub „.LOCKED„.
Większość wirusów ransomware używa złożonego szyfrowania AES, aby zablokować pliki. Szyfrowanie to jest niemożliwe do złamania, jedynym sposobem na złamanie szyfrowania jest zapłacić hakerom za klucz odszyfrowywania i mieć nadzieję, że dotrzymają swojego słowa i prześlą klucz. Niektóre wirusy ransomware jednak oszukują. Używają prostszych form szyfrowania. Lub mają inne słabości, które możemy wykorzystać, aby ominąć szyfrowanie. Na przykład, nieistniejący obecnie kryptowirus TeslaCrypt twierdził, że używa znacznie silniejszej formy szyfrowania niż to, którego faktycznie używał, co dało lukę Talos do opracowania oprogramowania odszyfrowującego dla ofiar TeslaCrypt.
Ransomware może rozprzestrzeniać się tak, jak każdy inny rodzaj wirusa lub złośliwego oprogramowania. Przeglądanie podejrzanych stron internetowych lub otwieranie podejrzanych załączników wiadomości e-mail może zapewnić wirusowi ransomware otwarcie potrzebne do zainfekowania systemu. Przez lata hakerzy narażali na szwank swoje ofiary, wysyłając e-maile przedstawiające się jako krewni, współpracownicy lub sysadmin, partnerzy biznesowi lub działy prawne, prosząc ich o pobranie i otwarcie załącznika do wiadomości e-mail.
