En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos, denominados “CryptoWall” y “CryptoLocker”. Las infecciones se propagaban a través de una cuenta de correo falsa, la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo evitaba los filtros anti-spam y conseguía llegar a los destinatarios.
Esta variante requería que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.
Se determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenía ninguna relación al original debido a sus diferencias en el funcionamiento.
TorrentLocker es otro tipo de infección con un defecto, ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados.
