1. Lockscreen Ransomware

มัลแวร์เรียกค่าไถ่จะทำการแสดง Pop-up บน Windows เพื่อแสดงว่าเครื่องคอมพิวเตอร์หรือ อุปกรณ์เคลื่อนที่ได้ถูกล๊อคแล้ว ทำให้ไม่สามารถใช้งานเครื่องนั้นได้อีก

2. File-encrypting Ransomware

เมื่อติดมัลแวร์เรียกค่าไถ่ชนิดนี้ เครื่องคอมพิวเตอร์หรืออุปกรณ์เคลื่อนที่ยังคงทำงานได้แต่ไม่สามารถ เปิดหรือใช้งานไฟล์ข้อมูลต่างๆได้เนื่องจากถูกเข้ารหัสไว้ต้องทำการชำระค่าไถ่ก่อนจึงจะได้กุญแจถอดรหัส

CryptoLocker (CBT-Locker)

อยู่ในรูปของไฟล์แนบแบบ Zip flie ในอีเมลล์ซึ่งถูกส่งมาจากผู้ส่งที่น่าเชื่อถือ เป็นไฟล์ .exe ในรูปของไฟล์ pdf ทั้งนี้อาศัยการทำงานของ Windows ที่เรียกว่า "Hide extensions for known file types" ซึ่งจะซ่อนนามสกุลของไฟล์ไว้ ทำให้ผู้คลิกไม่เห็นนามสกุลที่แท้จริงของไฟล์ เมื่อ .exe ถูกคลิกไวรัส CryptoLocker ที่อยู่ในไฟล์แนบจะทำงาน หากเครื่องคอมพิวเตอร์ที่ติด CryptoLocker มีการเชื่อมต่อกับ Mapped Network Drive หรือ USB Storage และมีสิทธิ์ในการเขียนไฟล์ลงในพื้นที่ดังกล่าวก็จะทำให้ไฟล์ ในพื้นที่เหล่านั้นถูกจับเป็นตัวประกันได้

การทำงานของ ไวรัส CryptoLocker นั้น เมื่อ .exe ถูกทำให้ทำงาน ข้อมูลที่จะถูกขนส่ง หรือ Payload จะถูกติดตั้งใน แฟ้มของผู้ใช้งาน (user profile folder) จากนั้นจะไปเพิ่ม Key ในส่วนของ registry ซึ่งจะทำให้มันทำงานเมื่อเปิดเครื่องคอมพิวเตอร์ (startup) จากนั้นเครื่องคอมพิวเตอร์ที่เชื้อจะติดต่อ ไปยัง C&C server ซึ่งเป็นเครื่องเซิร์ฟเวอร์กลางที่คอยควบคุมการทำงานของบ๊อทเน็ท (botnet) และคอยรับ รายงานจากเครื่องที่ติดไวรัสหรือมัลแวร์ของผู้ประสงค์ร้าย ซึ่ง C&C server จะสร้าง 2048-bit RSA key ซึ่ง เป็นการเข้ารหัสแบบกุญแจสมมาตร โดยกุญแจสาธารณะ และกุญแจส่วนตัวจะสร้างจากตัวเลขที่สุ่มขึ้นมา จาก นั้น C&C Server จะส่งกุญแจสาธารณะไปยังเครื่องที่ติดมัลแวร์ แต่กุญแจส่วนตัวจะยังคงถูกเก็บไว้ที่ C&C Server เมื่อเหยื่อชำระค่าไถ่จึงจะส่งกุญแจส่วนตัวให้เพื่อถอดรหัส

CryptoWall Ransomware

มัลแวร์ชนิดนี้พุ่งเป้าโจมตีเครื่องคอมพิวเตอร์ที่ใช้ Windows: Windows XP, Windows Vista, Windows 7, และ Windows 8 และเรียกเงินค่าไถ่ USD$500 หากไม่ชำระภายใน 7 วัน ก็จะเพิ่ม ค่าไถ่เป็น USD$1,000 โดยการจ่ายเงินต้องผ่าน Tor network และ ชำระเป็น Bitcoins ซึ่งที่อยู่ในการรับ Bitcoins จะเปลี่ยนไปในเหยื่อแต่ละราย

การทำงานนั้น จะแสดง Pop-up หลอกให้ Update แอพพลิเคชันที่น่าเชื่อถือบนเว็บไซต์ เช่น Adobe Reader, Flash Player หรือ Java Runtime Environment หรือใช้วิธีการส่ง .exe ในรูปแบบ Zip file ซึ่งจะเป็นเอกสารใบเรียกเก็บเงิน รายการสั่งซื้อ หรือใบเสร็จ ในรูป pdf ไปในอีเมลล์โดยมันจะฝังตัว ในแฟ้มชื่อ %AppData% หรือ %Temp

จากนั้น มันจะสแกนหาไฟล์ข้อมูลในที่ต่างๆที่เครื่องติดเชื้อมีการ ต่อเชื่อมแล้วทำการเข้ารหัสแบบ RSA-2048 จากนั้น มันจะเพิ่มไฟล์HKEY_CURRENT_USER\Software\\CRYPTLIST ใน Registry key และสร้างไฟล์ที่ชื่อ DECRYPT_INSTRUCTION.TXT, DECRYPT_INSTRUCTION.HTML, DECRYPT_INSTRUCTION.URL และ INSTALL_TOR.URL เพื่อบอกขั้นตอนและการถอดรหัส

จากนั้น CryptoWall จะทำการลบส่วนที่ใช้ในการกู้ข้อมูล ที่เรียกว่า Shadow Volume Copies เพื่อทำให้เครื่องไม่สามารถกู้ไฟล์กลับคืนมาได้ โดยใช้คำสั่ง C:\Windows\SYsWOW64\cmd.exe" /C "C:\Windows\Sysnative\vssadmin.exe" Delete Shadows /All /Quiet

Cryptorbit Ransomware

เป็นสายพันธุ์ของ CryptoLocker วิธีการคล้ายกับ CryptoLocker สามารถกำจัดออกได้ โปรแกรม AntiVirus มัลแวร์ชนิดนี้พุ่งเป้าโจมตีเครื่องคอมพิวเตอร์ที่ใช้Windows: Windows XP, Windows Vista, Windows 7, และWindows 8 และเรียกเงินค่าไถ่ USD$500 หากไม่ชำระภายใน 7 วัน ก็จะเพิ่ม ค่าไถ่เป็น USD$1,000 มัลแวร์ชนิดนี้จะเข้ารหัสไฟล์จำพวก PDF, DOC, DOCX, XLS, PPT, PDF, JPG หรือ ไฟล์ชนิดใดก็ตามที่สแกนพบ ทำการเข้ารหัส และสร้างไฟล์HowDecrypt.txt และ HowDecrypt.gif ในแฟ้ม ที่ถูกเข้ารหัส ซึ่งไฟล์ที่สร้างขึ้นใหม่นี้จะบอกขั้นตอนและวิธีการถอดรหัส ซึ่งที่ๆเก็บสถานที่ชำระเงินจะอยู่ใน TOR Network

การทำงานของ Cryptorbit นั้น จะไม่ได้เข้ารหัสทั้งไฟล์แต่จะทำการสำเนา 512 ไบต์แรก ของไฟล์แล้วเข้ารหัส และเก็บไว้ในพื้นที่สุดท้ายของไฟล์นั้น จากนั้นจะสร้าง 512 ไบต์Header ขึ้นมาใหม่และ เขียนทับลงไปบน Header เก่าของไฟล์นั้น เมื่อผู้ใช้ต้องการใช้ไฟล์นั้นก็จะหาไม่เจอ Cryptorbit จะสร้างไฟล์ %AppData%, %LocalAppData%, หรือ%ProgramData% ในแฟ้ม System และ สร้าง Entries ชื่อ HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run และ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce เพื่อให้มัลแวร์ทำงานเมื่อมีการเปิดเครื่องคอมพิวเตอร์

CoinVault Ransomware

มัลแวร์ชนิดนี้พุ่งเป้าโจมตีเครื่องคอมพิวเตอร์ที่ใช้ Windows: Windows XP, Windows Vista, Windows 7, และWindows 8 มัลแวร์ชนิดนี้เป็นส่วนหนึ่งในตระกูล CryptoGraphic Locker จะต่าง กันตรงที่ เมื่อมีการเข้ารหัสแล้วจะบอกแหล่งให้ชำระเงินและดาวน์โหลดกุญแจถอดรหัส โดยการถอดรหัสและ ระบบการชำระเงินจะอยู่ใน CoinVault .exe

การทำงาน คือ เมื่อเครื่องติด CoinVault มันจะสแกนหาไฟล์ข้อมูลในเครื่อง และทำการเข้า รหัสโดยใช้อัลกอริทึมเข้ารหัสแบบ AES จากนั้น จะสร้างโปรแกรมชื่อ CoinVault ซึ่งบอกขั้นตอนการชำระเงิน และการถอดรหัสค่าไถ่เริ่มที่ 0.7 Bitsoins ซึ่งราคาจะเพิ่มขี้นหลังจาก 24 ชั่วโมง CoinVault จะถูกแพร่กระจายผ่านทางเอกสารใบเรียกเก็บเงิน รายการสั่งซื้อ หรือ ใบเสร็จ ในรูป pdf ที่ถูกบีบอัดเป็น Zip File โดยแนบมากับอีเมลล์ ซึ่งภายใต้pdf แท้จริงคือ .exe file เมื่อมันถูกคลิ๊ก มันจะติดตั้งมัลแวร์ในแฟ้ม %AppData%\Microsoft\Windows\ จากนั้นจะเข้ารหัสไฟล์ข้อมูลที่สแกนพบ และสร้างแฟ้มเพื่อบอกรายชื่อไฟล์เอกสารที่ถูกเข้ารหัสไว้แล้วใน%Temp%\CoinVaultFileList.txt และสร้าง %AppData%\Microsoft\Windows\filelist.txt ซึ่งรวมรายชื่อไฟล์มีความพยายามจะเข้ารหัสโดยมัลแวร์

Locky Ransomware

มัลแวร์ Locky จะเปลี่ยนชื่อไฟล์ข้อมูลที่มีการเข้ารหัสแล้วเป็น .lockyเป็นโจมตีเป็นได้ทั้ง ระบบปฎิบัติการแบบ Windows, OSX หรือ Linux

การทำงานของ Locky ผ่านไฟล์เอกสารแนบในอีเมลล์ซึ่งมีข้อความให้ผู้ใช้รัน Macros ในไฟล์ เอกสารเพื่อปรับให้การทำงานของข้อความ (text) เป็นปกติซึ่งจะเป็นการ save ไฟล์ชื่อ Troj/Ransom-CGX ที่ทำหน้าที่เป็นตัวดาวน์โหลด เพื่อไปดาวน์โหลดมัลแวร์ของแฮ็กเกอร์ ซึ่งคือ Locky Ransomware Troj/Ransom-CGW) โดย Locky จะทำการกวนไฟล์ (scramble) ไม่ว่าจะเป็นไฟล์ภาพ ไฟล์วิดีโอ ไฟล์ของ Microsoft Offices และ sourcecode นอกจากนั้น Locky จะทำการลบ Shadow copies เพื่อให้ไม่สามารถ กู้ไฟล์ได้

Petya Ransomware

Petya Ransomware ต่างจาก Crypto-ransomware ทั่วไป ตรงที่มันจะเข้ารหัสในส่วนของ ฮาร์ดดิสก์ซึ่งทำให้ผู้ใช้งานไม่สามารถเปิด Windows เพื่อใช้งานได้ ทั้งนี้มัลแวร์ชนิดนี้จะเขียนทับลงบน MBR (Master Boot Record) ทำ OS ไม่สามารถทำงานได้MBR เป็น code ที่อยู่ในส่วนแรกของฮาร์ดดิสก์ซึ่งเป็น ที่เก็บข้อมูลของ Disk Partitions และ ตัวโหลด OS ไฟล์สำหรับติดตั้ง คือ Bewerbungsmappe-gepackt .exe จากนั้น เครื่องจะถูกปิดและเปิดใหม่ (Reboot) เพื่อให้.exe ทำงาน โดยจะแสดงหน้าจอหลอกว่ากำลัง มีการตรวจสอบ CHKDSK และห้ามปิดเครื่อง จากนั้น เมื่อ CHKDSK ทำงานเสร็จ จะปรากฏหน้าจอ lock screen และ แสดงข้อความในการติดต่อกับ TOR network พร้อมหมายเลขเฉพาะเพื่อใช้ในการชำระค่าไถ่

Petya จะส่งสแปมอีเมลล์ ในรูปใบสมัครงาน โดยมุ่งเป้าไปที่องค์กรธุรกิจ ที่แคบลงไป คือ แผนกบุคคล โดยจะส่งลิงค์ไปที่ Dropbox เพื่อให้แผนกบุคคลดาวน์โหลดใบสมัคร และประวัติการทำงาน พร้อมรูปถ่ายปลอม เมื่อไฟล์เหล่านี้ถูกดาวน์โหลด เครื่องก็จะติดเชื้อมัลแวร์ชนิดนี้ ทำให้เกิดอาการที่เรียกว่า Blue Screen of Death ทั้งนี้มัลแวร์จะเข้ารหัส Master File Table (MFT) ซึ่งเป็นไฟล์ที่เก็บข้อมูลของไฟล์ อื่นๆ เช่น ชื่อไฟล์ ขนาดไฟล์ เป็นต้น มัลแวร์ชนิดนี้จะไม่ใช้วิธีการเข้ารหัสกับไฟล์ที่อยู่ในเครื่องเพราะต้องใช้ เวลานานในการเข้ารหัสฮาร์ดดิสก์ทั้งลูก