1989

PC Cyborg

378$

Joseph Popp 博士的 PC Cyborg 特洛伊木马进程；首次出现于 1989 年。这种特洛伊木马进程是透过软盘复制的，而那些软盘则是在一场 AIDS 研讨会中散发的。执行之后，它会修改系统的 AUTOEXEC.BAT 文档来监控电脑开机了几次。然后在系统第 90 次开机时，它会将系统中所有文档重新命名。接着透过充满威胁的“使用者授权合约（EULA）”，告知遭到感染的使用者，必须支付给 PC Cyborg  Corporation。

2005

TROJ_PGPCODER.A

200$

想打开你电脑中的文档吗？听从指示汇给我200美金，收到钱后你会拿到解码进程” 这是2005年TROJ_PGPCODER.A  木马病毒，在受害者电脑中的留言。TROJ_PGPCODER.A 勒索木马采用目前网络钓鱼和间谍进程常用的手法，在浏览网站时，趁机安装潜入受害电脑。这也是第一只被命名为“恶意勒索进程（ransomware）”的病毒；该进程会挟持文档予以加密以便勒索，然后留下勒索信息，亦即一个 README.TXT 文档

2006

TROJ_CRYZIP.A

300$

TROJ_CRYZIP.A 会将文档压缩成有密码保护的 .ZIP 文档夹，并强迫受感染的使用者将 300 美元存入特定的 e-gold 帐户。

2006

TROJ_RANSOM.A

10.99$

它也会锁住电脑系统，但要求比较少的赎金 10.99 美元。不同的地方在于，它每隔 30 分钟宣称一次，除非支付赎金，否则就删除文档。

2006

TROJ_ARCHIVEUS.A

75

这个特洛伊木马进程非常不寻常，因为它会复制“我的文档”文档夹之下的所有文档，并将它们放在一个名为 EncryptedFiles.ALS 的文档中。然后它宣称会删除原始文档，之后，它会要求受感染的使用者到一个俄罗斯线上药局购买 75 元的东西，才能获得解密金钥。

2007

TSPY_KOLLAH.F

300$

它会绑架文档当人质。它也宣称要使用 RSA-4096 算法来加密那些文档。它会留下 README.TXT 文档当作勒索信息，告知使用者购买价值 300 美元的软件，才能将他们的文档解密

2007

TROJ_GPCODE.AB

150

会将文档加密，并留下勒索信息（README.ASAP.TXT）。然后使用者要被迫购买 150 元的软件，才能将自己的文档解密

2008

Trojan[Ransom]/Win32.FakeAV

金额不等

2008年左右开始在国外开始流行的勒索软件家族。该恶意代码家族的接口内容为英文,专门仿冒反病毒软件

2012

REVETON

金额不等

REVETON会假冒当地警察，让用户以为自己做了什么违法的事，然后发出带有当地执法机关标志的勒索通知，进行威胁。其受害者遍及欧洲和美国。REVETON家族还会通过遭到入侵的网站来散布，这一点也是勒索软件新增的特点。

2013

Cryptolocker

200$-3000$

它并不锁定电脑屏幕，也不会中断计算机的启动进程，而是对包括“.doc”、“.xls”和“.exe”等在内的大多数类型的个人文档进行加密，然后攻击者要求用户支付通常为200美元和3000美元不等的比特币作为赎金，以换取文档的解密密钥。

2014

TROJ_CRYPTRBIT.H

金额不等

与以往勒索软件不同的是它使用数字货币比特币来支付。之后又陆续出现各种不同的“进化”，例如有的变种会窃取受害者的比特币钱包；有的变种会使用黑暗网络浏览器来隐藏自己的行踪；而最新的变种会将用户诱导至钓鱼网站来感染用户设备。

$

2014-2015

CoinVault,TeslaCrypt,Pacman,TOX,Chimera,Cryptowall…

金额不等

勒索软件无疑已经形成了一套完善的地下产业, 整个商业模式不断”推陈出新”, 甚至推出了”勒索即服务”的平台. 洗钱难度越来越低, 技术成本和犯罪成本几乎趋近于0, 同时被害者的不可抗性趋近于无限大。