自 2020 年以来，网络安全研究人员已识别出超过 130 个不同的、活跃的勒索软件系列或变体，即具有自己的代码签名和功能的独特勒索软件变体。

多年来，勒索软件变体层出不穷。有几种变体因其破坏程度、对勒索软件发展产生的影响或它们至今仍然构成的威胁而值得人们注意。

CryptoLocker 于 2013 年 9 月首次出现，被广泛认为开启了现代勒索软件时代。CryptoLocker 通过僵尸网络（被劫持的计算机网络）进行传播，是最早对用户文件进行强加密的勒索软件系列之一。在国际执法部门于 2014 年将其销毁之前，通过该勒索软件获得的赎金约 300 万美元。CryptoLocker 的成功催生了众多模仿者，并为 WannaCry、Ryuk 和 Petya 等变体的出现奠定了基础。
 

WannaCry 是第一个引人注目的加密蠕虫病毒，即一种可以传播到网络上其他设备的勒索软件，它攻击了超过 200,000 台计算机（分布在 150 个国家或地区），受影响的计算机容易受到攻击，因为管理员未能及时修补 EternalBlue Microsoft Windows 漏洞。除了加密敏感数据外，WannaCry 勒索软件还威胁受害者：如果 7 天内未收到赎金，就会擦除文件。它仍然是迄今为止最大的勒索软件攻击之一，估计损失高达 40 亿美元。

与其他加密勒索软件不同，Petya 会加密文件系统表而不是单个文件，导致受感染的计算机无法启动 Windows。2017 年，经过大幅修改的版本 NotPetya 用于实施大规模网络攻击，主要针对的是乌克兰。NotPetya 是一个即使在支付赎金后也无法解锁系统的擦除恶意软件。

Ryuk 首次出现于 2018 年，常见的是针对特定高价值目标的“大型勒索软件”攻击，其平均赎金要求超过 100 万美元。Ryuk 可以找到和禁用备份文件和系统恢复功能；2021 年发现了一种具有加密蠕虫病毒能力的新变体。

DarkSide 是由一个疑似在俄罗斯境外运营的组织运行的勒索软件变体，它于 2021 年 5 月 7 日攻击了美国的输油管道运营商 Colonial Pipeline，此变体被视为迄今为止针对美国关键基础设施实施的最严重的网络攻击。因此，为美国东海岸供应 45% 燃料的输油管道不得不暂时关闭。除了发起直接攻击外，DarkSide 组织还通过 RaaS 约定将其勒索软件授权给关联公司。

Locky 是一种加密勒索软件，具有独特的感染方法：它使用隐藏在电子邮件附件（Microsoft Word 文件）中的宏伪装成合法发票。当用户下载并打开 Microsoft Word 文档时，恶意宏会秘密地将勒索软件有效内容下载到用户的设备上。

REvil 也称为 Sodin 或 Sodinokibi，该团伙帮助普及了 RaaS 勒索软件分发方法。REvil 以追寻大目标和双重勒索攻击而闻名，它是 2021 年针对著名 JBS USA 和 Kaseya Limited 发起攻击的幕后黑手。在整个美国牛肉加工业务中断后，JBS 支付了 1100 万美元的赎金，而 Kaseya 超过 1,000 个软件客户受到了严重停机的影响。俄罗斯联邦安全局报告称，其已于 2022 年初解散 REvil 并对其几名成员提出指控。