Dữ liệu mà Fortinet thu thập thông qua hệ thống  IPS (Intrusion Prevention System) của họ , theo dõi lưu lượng từ những máy bị lây nhiễm tới những IP đã biết của các máy chủ CnC của Ransomware .

Fortinet cho biết trong thời gian giữa 17/2 , khi lần đầu tiên Locky bị phát hiện , cho tới 2/3 , chính xác sau hai tuần , thì hầu hết những hoạt động chiến dịch Ransomware là thuộc về họ CryptoWall chiếm tới 83.45% tất cả những kết nối .

Không có già là ngạc nhiên khi CryptoWall hoạt động mạnh tới như vậy bởi vì đó là loại họ mã độc đòi tiền chuộc lây năm nhất và được bán cho nhiều nhóm tin tặc . Nhiều nhóm tin tặc đã tin tưởng loại mã độc này và liên tục cập nhật để tránh bị những chuyên gia an ninh bẻ khóa .

Đứng thứ hai , trong hai tuần , đó là Locky , chiếm khoảng 16.47% . Một nguyên nhân khiến cho số lượng tăng tới như vậy là do Locky thay thế Trojan ngân hàng Dridex và được phát tán thông qua những hoạt động gửi thư rác đã biết hoạt động được hai năm và được điều hành bởi những tin tặc chuyên nghiệp .

Đứng cuối cùng trong bảng xếp hàng Top 3 của Fortinet đó là TeslaCrypt , chỉ chiếm 0.08% . Hoạt động mạnh lúc ban đầu thông qua chiến dịch lớn nhắm tới những trang WordPress và Joomla để phát tán mã độc .

Fortinet cho biết hầu hết những nạn nhân của ba họ mã độc đòi tiền chuộc trên là tại Mỹ , nhưng Nhật , Canada và Mexico cũng bị ảnh hưởng lớn .