CrashFix – Microsoft Defender tunnisti tammikuussa 2026 tämän variantin, joka tarkoituksella kaataa uhrin selaimen ja houkuttelee tämän suorittamaan haitallisia komentoja "palauttaakseen" toiminnallisuuden.
ConsentFix – Selainpohjainen variantti, joka väärinkäyttää OAuth-valtuutusvirtoja Microsoft-tilien vaarantamiseen ilman haittaohjelmia, tunnistetietojen kalastelua tai edes komennon liittämistä. Tietoturvayhtiö revel8 havaitsi seitsemän aktiivista ClickFix-varianttia Q1 2026:ssa, mukaan lukien ConsentFix ja "AI-fix"-variantti, joka kohdistuu tekoälytyökalujen käyttöönottoprosesseihin
.
Threadlinqs Intelligencen analyysi noin 3 000:sta live ClickFix-kuormasta paljasti, että taustapalvelimet luovat dynaamisesti juuri sumennettuja PowerShell-komentoja käyttäen Base64-, AES-, TripleDES-, Rijndael- ja Deflate-pakkausmenetelmiä.
Haitalliset AI- / agenttitaidot – El País -lehden (8.7.2026) ESETin viimeisimpiin uhkatietoihin perustuvan raportin mukaan ESET varoitti, että vain kahden kuukauden aikana sen analysoimien ainutlaatuisten "AI Skills" -lisäosien määrä kasvoi noin 60 000:sta lähes 900 000:een. Näistä haitallisia tai epäilyttäviä tekoälytaitoja oli yli 3 000. Tämä osoittaa tekoälyagenttipohjaisten hyökkäystyökalujen räjähdysmäistä kasvua.
PromptSpy – ESET Research löysi PromptSpyn, ensimmäisen tunnetun Android-haittaohjelman, joka käyttää generatiivista tekoälyä suorituksensa aikana. Haittaohjelma kysyy Googlen Gemini-mallilta apua laitteen ruudulla olevien elementtien tulkitsemiseen ja päättää dynaamisesti, mihin napauttaa – ratkaisten ongelman arvaamattomista ruudun asetteluista tuhansissa puhelinmalleissa ja kielissä
. Sen ensisijainen ominaisuus on VNC-moduulin käyttöönotto etäohjausta varten
. Tutkijat huomauttivat, että se saattaa olla konseptitodistus, mutta se merkitsee merkittävää siirtymää tekoälyavusteisiin mobiilihaittaohjelmiin
.
Lunnasohjelmahyökkäysten määrä on edelleen nousussa. Comparitech kirjasi 4 217 lunnasohjelmahyökkäystä maailmanlaajuisesti H1 2026:n aikana – 11 % enemmän kuin H2 2025 (3 809), keskimäärin 23 hyökkäystä päivässä. ESET ennusti 40 %:n vuosikasvua lunnasohjelmauhrien määrässä vuoden 2025 tietovuotosivustojen datan perusteella
.
Yli 100 EDR-tappajatyökalua. ESETin H2 2025 -uhkaraportti toteaa, että EDR-tappajatyökalut ovat jatkaneet leviämistään, ja Akira, Qilin ja Warlock ovat suurimpia käyttäjiä. ESETin syväsukellus Gentlemen RaaS -jengiin dokumentoi sen käyttävän sekä omia että kolmannen osapuolen/vuodettuja EDR-tappajia, kuten HexKiller
. ESET MDR Q1 2026 -raportti vahvistaa, että EDR-tappajat ovat nyt vakio-osa lunnasohjelmaoperaatioita
. Useat lähteet vahvistavat, että erilaisten EDR-tappotyökalujen ekosysteemi on ylittänyt 100, ja ne käyttävät BYOVD (Bring Your Own Vulnerable Driver) -tekniikoita
.
Lunnasmaksuasteet ovat laskeneet historiallisen alas. Coveware raportoi Q4 2025 lunnaiden maksuprosentin romahtaneen 23 prosenttiin (historiallinen pohja), ja Q4 2025 mennessä se laski edelleen 20 prosenttiin – mikä tarkoittaa, että alle joka viides uhri maksoi. Chainalysis seurasi lohkoketjussa suoritettuja lunnaita noin 820 miljoonaan dollariin vuonna 2025, mikä on alhaisin vuosiluku sitten vuoden 2021 ja 8 %:n lasku vuodesta 2024
. Vaikka harvemmat uhrit maksoivat, keskimääräinen lunnasmaksu nousi jyrkästi (132 % edellisestä neljänneksestä 325 000 dollariin), mikä viittaa siihen, että hyökkääjät keskittyvät arvokkaampiin kohteisiin
.