Ataques de tipo Ransomware são tipicamente realizados usando um Cavalo de Tróia [9], que se disfarça como um arquivo legítimo induzindo a vítima a baixar ou a abrir tal arquivo. Porém, novas formas de infecção já foram exploradas, como exemplo temos o WannaCry, o qual possui a habilidade de se espalhar rapidamente na rede através da exploração do protocolo SMB.

O conceito de criptografia de arquivos utilizada nos ransomwares mais perigosos atualmente, foi implementada em [7], e é chamado Extorsão Criptoviral. O protocolo que descreve o funcionamento padrão de um Ransomware, baseado no esquema proposto por [7], pode ser definido a seguir:

• No momento do desenvolvimento do malware, o atacante gera um par de chaves para a criptografia assimétrica (pública e privada). O atacante coloca a chave pública gerada localmente junto ao executável que será espalhado.
• Quando a vítima executar o malware em sua máquina/sistema, é gerada uma chave simétrica aleatória, responsável por criptografar todos os tipos de arquivos alvos do ransomware.
• A chave simétrica é então criptografada com a chave pública do atacante.
• Os arquivos originais são deletados, ou zerados, assim como a chave simétrica original.
• Quando o pagamento é efetuado, o atacante descriptografa a chave simétrica gerada com a sua chave privada e envia a chave simétrica original para a vítima. Com a chave simétrica, os dados podem ser enfim descriptografados.

Alguns ransomwares, como o WannaCry, delimitam um certo período para efetivar o pagamento, caso esse tempo seja excedido e o pagamento não realizado, todos os arquivos criptografados são excluídos. Essa forma de operar aumenta a pressão sobre a vítima e consequentemente o poder de extorsão.

Entretanto, a criptografia não é o único procedimento utilizado pelos ransomwares. Podemos classificar essa categoria de malware em dois tipos principais:

• Crypto Ransomware (criptovirais);
• Locker Ransomware [12].

Como o próprio nome diz, o tipo Crypto Ransomware criptografa os arquivos da máquina alvo, mas não prejudica o funcionamento do sistema operacional como um todo. Quando a vítima efetua o pagamento, ela obtém a chave utilizada para descriptografar os arquivos.

Já os Locky Ransomwares, bloqueiam o acesso da vítima ao sistema operacional, disponibilizando apenas uma funcionalidade limitada para acessar a interface do ransomware. Quando o pagamento é efetuado, o sistema é então liberado.

Esse tipo de ransomware, primordialmente, não busca criptografar os arquivos da vítima. Na próxima subseção, foi colocado um breve histórico sobre os ransomwares, destacando fatores como métodos de propagação e infecção dos malwares.