Il termine “Ransomware” identifica una categoria di programmi maligni dispiegati dai cybercriminali per bloccare l’utilizzo dei dati da parte dell’utente o il funzionamento del computer-vittima. Il payload nocivo viene recapitato senza il consenso dell’utente; i malfattori si avvalgono di programmi del genere per chiedere poi un riscatto in denaro.
Come esempi di famiglie di malware riconducibili alla categoria Ransomware possiamo citare Trojan-Ransom.Win32.Gpcode e Trojan-Ransom.Win32.Krotten. Gpcode provvede innanzitutto a codificare i file, scegliendo come target i dati ritenuti più “preziosi” per l’utente (documenti, database, etc.); in seguito compare sullo schermo del computer-vittima un apposito messaggio di avviso, in cui si forniscono istruzioni riguardo a chi dover contattare per il ripristino dei dati. Krotten adotta invece un approccio diverso; esso modifica il registro di sistema, rendendo in pratica impossibile l’utilizzo del computer. Il ripristino delle funzionalità del computer sottoposto ad attacco avverrà soltanto dopo che l’utente-vittima avrà provveduto a pagare il “riscatto” in denaro richiesto.
A tale categoria di software maligni vengono in primo luogo ricondotti quei programmi che manifestano il comportamento Trojan-Ransom; tuttavia, in base alle regole utilizzate per classificare gli oggetti provvisti di funzionalità multiple, possono essere ricondotti alla categoria Ransomware anche i “rappresentanti” di comportamenti situati ad un livello superiore nella struttura di classificazione ad albero, vale a dire Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, Net-Worm.
I programmi Ransomware costituiscono un sottoinsieme del Malware, ovvero dei programmi dannosi.