Dosya şifreleyen fidye yazılımları, Columbia Üniversitesi’nden Young ve Yung tarafından keşfedilmiş ve uygulanmıştır ve 1996’da IEEE Güvenlik&Gizlilik konferansında sunulmuştur. Buna “kriptoviral alıkoyma” denilmektedir ve aşağıdaki 3’lü protokol saldırgan ve kurban arasında yürütülmektedir.

[saldırgan→kurban] Saldırgan bir anahtar çifti oluşturur ve karşılık gelen açık anahtarı kötü amaçlı yazılımın içerisine yerleştirir. Kötü amaçlı yazılım bırakılır.
[kurban→saldırgan] Kriptoviral alıkoyma saldırısını gerçekleştirmek için, kötü amaçlı yazılım rastgele bir simetrik anahtar üretir ve kurbanın verilerini bu anahtar ile şifreler. Kötü amaçlı yazılımın içerisindeki açık anahtarı da simetrik anahtarı şifrelemek için kullanır. Bu işlem hibrid şifreleme olarak bilinmektedir ve kurbanın simetrik şifreli metni ile beraber küçük bir asimetrik şifreli metinle sonuçlanmaktadır. Simetrik anahtarı ve geri dönüşü engellemek için orijinal açık metni sıfırlamaktadır. Kullanıcıya, asimetrik şifreli metni ve fidyeyi nasıl ödeyeceğini belirten bir mesaj gösterir. Kurban, asimetrik şifreli metni ve e-parayı saldırgana gönderir.
[saldırgan→kurban] Saldırgan ödemeyi alır, saldırganın gizli anahtarı ile asimetrik şifreli metni çözer ve simetrik anahtarı kurbana gönderir. Kurban ihtiyaç duyduğu simetrik anahtar ile şifrelenmiş veriyi çözer ve böylece kriptoviroloji saldırısını tamamlanır.
Simetrik anahtar rastgele olarak üretilir ve diğer kurbanlara yardımcı olamaz. Hiçbir şekilde saldırganın gizli anahtarı kurbanlara gösterilmez ve kurban sadece küçük bir şifreli metni (asimetrik şifreli metin) saldırgana yollamak zorundadır.

Fidye virüsü saldırıları, indirilen bir dosya veya bir ağ servisindeki açıklık ile sisteme giren bir Truva atı aracılığıyla yürütülmektedir. Program daha sonra, sistemi bir şekilde kilitleyen veya sistemi kilitleyeceğini iddia eden ama gerçekte etmeyen bir payload çalıştırır. Payloadlar, kolluk kuruluşu gibi bir varlık tarafından, gerçekte olmadığı halde, sistemin illegal aktiviteler için kullanıldığını veya pornografi ve korsan medya gibi içerik içerdiğini iddia eden bir gerçek dışı uyarı gösterebilmektedir.

Bazı payloadlar, ödeme yapılana kadar genellikle Windows kabuğunu kendisine adayarak sistemi kilitleyen veya kısıtlayan veya düzeltilene kadar işletim sisteminin başlatılmasını engellemek için ana önyükleme kaydı ve/veya bölüm tablosunu değiştiren bir uygulamadan oluşmaktadır. En karmaşık payloadlar dosyaları, sadece kötü amaçlı yazılım yazarının ihtiyaç duyulan şifre çözme anahtarına sahip olacağı şekilde şifrelemektedir.

Ödeme görünürde her zaman nihai amaçtır ve kurban, dosyaları çözebilecek bir program sağlanarak veya payloadun yaptığı değişiklikleri geri döndürecek bir kilit açma kodu gönderilerek –ki bu durum bazen gerçekleşmeyebilir- fidye virüsünün kaldırılması için ödeme yapmaya ikna edilir. Fidye virüsünün saldırgan için çalışmasını sağlayan ana unsurlardan birisi, takip edilmesi zor uygun bir ödeme yöntemidir. Kablolu transfer, ücretli SMS , Paysafecard gibi önceden ödenmiş servisler, ve dijital para birimi olan Bitcoin , gibi pek çok ödeme şekli kullanılmıştır. Citrix tarafından yürütülen bir 2016 sayımı, büyük firmaların bitcoini acil eylem planı olarak tuttuğunu ortaya çıkartmıştır.