1. INFEZIONE: Il ransomware viene consegnato al sistema della vittima attraverso varie modalità, come allegati e-mail dannosi, download di software infetti o siti web compromessi.
2. CIFRATURA: Una volta che il ransomware ottiene accesso al sistema della vittima, inizia a cifrare i file rendendoli inaccessibili all’utente. Alcune varianti sofisticate di ransomware possono addirittura cifrare l’intero disco rigido, rendendo l’intero sistema inutilizzabile.
3. RICHIESTA DI RISCATTO: Dopo il completamento del processo di cifratura, il ransomware visualizza una nota di riscatto sullo schermo della vittima. Questa nota informa la vittima sull’attacco e fornisce istruzioni su come effettuare il pagamento del riscatto per ottenere la chiave di decrittazione.
4. PAGAMENTO DEL RISCATTO: Gli aggressori solitamente richiedono il pagamento del riscatto in criptovalute come il Bitcoin, poiché forniscono un alto grado di anonimato. Possono stabilire una scadenza per il pagamento, e se la vittima non si conforma entro il tempo stabilito, l’ammontare del riscatto può aumentare o la chiave di decrittazione può essere distrutta definitivamente.
5. DECRITTAZIONE (A VOLTE): Se la vittima decide di pagare il riscatto, gli aggressori forniscono una chiave di decrittazione o uno strumento per sbloccare i file cifrati o il sistema. Tuttavia, non vi è alcuna garanzia che gli aggressori manterranno la loro parola, e pagare il riscatto incoraggia ulteriori attività criminali. Il pagamento del riscatto non garantisce il recupero sicuro dei dati e, inoltre, finanzia attività criminali, incoraggiando potenzialmente ulteriori attacchi.

Spesso sono grandi aziende multinazionali e le agenzie della pubblica amministrazione, dove l’errore di un singolo utente può provocare un’infezione molto più estesa.
Altri utenti possono essere infettati mediante e-mail spam o attacchi di phishing.

Molti esperti di sicurezza informatica sconsigliano il pagamento del riscatto e, invece, raccomandano di concentrarsi sulla prevenzione, eseguire regolari backup dei dati e investire in robuste misure di sicurezza per proteggersi dagli attacchi ransomware. Inoltre, le forze dell’ordine e le aziende specializzate in cyber security lavorano per rintracciare e arrestare gli autori del ransomware per interrompere le loro attività.

I tipi di ransomware noti prevedono la copertura mediante antivirus ma, come qualsiasi minaccia, utility di questo tipo non possono schermare in modo efficace un attacco zero-day. Anche gli utenti più esperti e competenti posso essere vittima di un attacco di phishing o di tipo click-fraud.
I worm ransomware si diffondono lateralmente in una rete senza intervento umano. Dipende dalla complessità del codice exploit.
La soluzione ideale è un software antivirus che rilevi l’attività malevola ed eseguire il backup dei dati. 

• Un  software antivirus in grado di rilevare l’attività malevola, eseguendo del file .exe prima di installare file scaricati dal web.
• Eseguire il  backup dei dati è fondamentale, tuttavia backup tradizionali possono essere comunque vulnerabili perchè vittima dello stesso attacco e della stessa criptazione dei dati.
  Per questo è importante eseguire backup immodificabili o non raggiungibili facilmente dal server sotto attacco, con l’obbiettivo di poter proteggere meglio le informazioni.