Các chuyên gia đã tìm thấy hơn 6.300 website mà tội phạm mạng đã quảng cáo các dịch vụ độc hại này, cùng với hơn 45 nghìn quảng cáo. Khi khám phá các web đen (darkweb), các chuyên gia kết luận rằng, lợi nhuận từ việc bán chương trình mã hóa tống tiền đã tăng từ gần 250 nghìn USD trong năm 2016 lên đến hơn 6 triệu USD trong năm 2017. Các chuyên gia giải thích sự gia tăng này là do tội phạm mạng bắt đầu sử dụng tiền ảo bitcoin để đòi tiền chuộc và Tor giúp chúng ngụy trang hoạt động.
Nghiên cứu cũng cảnh báo về một biến thể tống tiền mới là BTCWare, tấn công người dùng bằng cách phá dịch vụ bảo vệ từ máy tính để bàn từ xa. Mã độc này bổ sung vào tập tin mã hóa một tiện ích mở rộng gọi là [email] - id - ID. payday, và mã hóa bằng cách dùng thuật toán, do đó không thể giải mã các tệp. Mã độc BTCWare yêu cầu nạn nhân trả tiền chuộc bằng bitcoin.
Các chuyên gia cũng mô tả mã độc tống tiền Ender (được phát hiện với tên Ransom_ENDER. (A)) là một thiết bị khóa, vẫn còn đang ở giai đoạn nghiên cứu. Mã độc không mã hóa tập tin, mà khoá máy tính rồi yêu cầu nạn nhân thanh toán tiền để mở khóa.
Và cuối cùng là mô tả chương trình tống tiền có tên là Ransom_POLSKY. (A) mã hóa tập tin bằng cách sử dụng AES-256, đòi hỏi tiền chuộc 100 đôla . Cứ 4 ngày số tiền chuộc lại tăng gấp đôi.
Ngoài ra, các chuyên gia nghiên cứu cũng khẳng định rằng, những kẻ bán chương trình mã hóa tống tiền có thu nhập lên đến 100 nghìn USD mỗi năm. Theo PayScale.com, số tiền này lớn hơn so với 69 nghìn USD thu nhập của những nhà phát triển phần mềm hợp pháp.