Joseph Popp tarafından 1989’da yazılan ve bilinen ilk kötü amaçlı yazılım alıkoyma saldırısı olan AIDS Truva atı, alıkoyan kişiye ödeme yapılmasını gerekli kılmayan bir tasarım hatası içermekteydi. Payloadu, sabit disk üzerindeki dosyaları gizlemekte ve sadece dosya isimlerini şifrelemektedir. Ayrıca, bir yazılımın belirli bir kısmını kullanmak için kullanıcının lisansının süresinin dolduğunu belirten bir mesaj göstermektedir. Şifre çözme anahtarının Truva atı kodundan elde edilebilmesine rağmen, bir kurtarma aracı alabilmesi için kullanıcıdan “PC Cyborg Corporation”a 189 dolar ödemesi istenmektedir. Truva atı da “PC Cyborg” olarak bilinmektedir. Popp’un eylemlerinden ötürü yargılanması için zihinsel olarak uygun olmadığı belirtilmiştir, ancak kötü amaçlı yazılımdan kazandığı geliri AIDS araştırmalara destek olarak vermeye söz vermiştir.

Fidye saldırıları için açık anahtar kriptolojisi kullanımı, 1996’da Adam L. Young ve Moti Yung tarafından ortaya çıkarılmıştır. Young ve Yung şifre çözme anahtarının Truva atı kodundan elde edilebileceği ölümcül tasarım hatası olan, AIDS Bilgi Truva atının sadece simetrik kriptografiye dayanması özelliğini eleştirmiştir ve RSA algoritmasını ve Küçük Şifreleme Algoritmasını kurbanın verisini hibrid olarak şifrelemek için kullanan deneysel bir demo kripto virüsünü Macintosh SE/30 üzerinde üretmişlerdir. Açık anahtar şifrelemesi kullanıldığı için, kripto virüs sadece “şifreleme” anahtarını içermektedir. Saldırgan karşılık gelen “gizli” anahtarı gizli tutmaktadır. Young ve Yung’un orijinal deneysel kripto virüsü, kurbanın asimetrik şifreli metni, şifreyi çözen ve kurbana bir fidye karşılığında içerdiği simetrik şifre çözme anahtarını gönderen saldırgana asimetrik şifreli metni göndermesini sağlamaktadır. Elektronik para kullanılmadan çok daha önce, Young ve Yung “virüsü yazan kişi, paranın yarısı kendisine verilene kadar fidye miktarının tamamını elinde tutabilir. E-para önceden kullanıcı tarafından şifrelenmiş olsa da, bir kripto virüs tarafından şifrelenirse kullanıcının hiçbir işine yaramayacaktır.” Bu tür saldırıları, hem açık hem de gizli saldırılardan oluşan kriptoviroloji olarak anılan alandaki saldırıların büyük bir sınıfı olan ve açık bir saldırı olan “kriptoviral alıkoyma” saldırısı olarak isimlendirmişlerdir.

Zor kullanan fidye virüsü örnekleri Mayıs 2005'te yaygın hale gelmiştir. 2006 yılının ortalarıyla beraber, Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip ve MayArchive gibi Truva atları, daha karmaşık RSA şifreleme şemalarını daha da artan anahtar uzunlukları ile beraber kullanmaya başlamıştır. Haziran 2006’da tespit edilen Gpcode.AG, 660-bit RSA açık anahtarı ile şifrelenmiştir. Haziran 2008’de, Gpcode.AK olarak bilinen bir versiyonu tespit edilmiştir. 1024-bit RSA anahtarı kullanarak, uyarlanmış dağıtık bir çaba olmaksızın şifrenin kırılmasının hesapsal olarak kullanılamaz olduğuna inanılmaktaydı.

Şifreleme fidye virüsleri, 2013 sonlarına doğru fidyeyi Bitcoin platformunu kullanarak toplayan CryptoLocker’ın yaygınlaşması ile tekrar yaygın hale gelmiştir. Aralık 2013'te,15 Ekim ve 18 Aralık tarihleri arasındaki Bitcoin işlem bilgilerine dayanarak ZDNet, CryptoLocker sahiplerinin kullanıcılardan 27 milyon dolar civarında bir gelir elde ettiğini tahmin etmektedir. CryptoLocker tekniği takip eden aylarda kopyalanmıştır: CryptoLocker 2.0 (CryptoLocker ile ilgisi olmasa da), CryptoDefense(Windows’un kendi şifreleme API’lerini kullandığı için, gizli anahtarı hedef sistem üzerinde taşıma gibi bir tasarım hatasına sahiptir)  ve 2014 Ağustos’da keşfedilen ve Synology tarafından üretilen ağa bağlı depolama cihazlarını hedef alan özel bir Truva atı. Ocak 2015'te, fidye virüsü benzeri saldırıların sızma ve Linux tabanlı web sunucularını hedeflemek için tasarlanmış fidye virüsleri ile web sitelerine karşı yapıldığı raporlanmıştır.

Bazı fidye virüsleri, komuta ve kontrol sunucularına bağlanmak için Tor gizli servislerine bağlı olan vekil sunucuları kullanmaktadır. Bu sayede, suçluların tam lokasyonunun bulunabilmesini zorlaştırmaktadır. Ayrıca, dark web dağıtıcıları da bu teknolojiyi bir hizmet olarak sunmaya başlamıştır.

Symantec fidye virüsü saldırılarını en tehlikeli siber tehdit olarak sınıflandırmıştır.