Un ataque de ransomware se inicia principalmente de dos maneras: a través de un correo electrónico con un archivo adjunto malicioso o al visitar un sitio web infectado (a menudo legítimo y de uso generalizado).

Los criminales de hoy en día crean correos electrónicos que son imposibles de distinguir de los mensajes legítimos. Sin errores de gramática ni de ortografía, suelen estar escritos de forma que sean de interés para usted y su negocio.

Sin embargo, al ejecutar el archivo el ransomware se descarga e instala en el equipo. En este ejemplo, el troyano es en realidad un archivo JavaScript camuflado como un archivo .txt, pero existen muchas otras variaciones de este método, como enviar un documento de Word con macros o archivos de acceso directo (.lnk).

Otra forma habitual de infectarse es visitar un sitio web legítimo que se haya infectado con un kit de explotación. Incluso los sitios web populares pueden verse afectados de forma temporal. Los kits de explotación son herramientas del mercado negro que los criminales utilizan para explotar vulnerabilidades conocidas o desconocidas (como los exploits de día cero). Uno visita el sitio web pirateado y hace clic en un enlace aparentemente inofensivo, pasa el cursor sobre un anuncio o en muchos casos simplemente consulta la página. Y eso es suficiente para descargar el archivo de ransomware en el equipo y ejecutarlo, a menudo sin signos visibles del ataque hasta después de que el daño ya esté hecho. Qué pasa después Después de la exposición inicial, como en los ejemplos de infección por correo electrónico o a través de Internet, el programa de ransomware emprende otras acciones: Ì Contacta con el servidor de comando y control del atacante, envía información sobre el ordenador infectado y descarga una clave pública individual para este equipo. Ì Los tipos de archivo específicos (que varían en función del tipo de ransomware) como documentos de Office, archivos de base de datos, PDF, documentos CAD, HTML, XML, etc., se cifran en el equipo local, dispositivos extraíbles y todas las unidades de red accesibles. Ì Las copias de seguridad automáticas del sistema operativo Windows (las instantáneas) suelen eliminarse para impedir la recuperación de datos. Ì Aparece un mensaje en el escritorio que explica que puede pagarse un rescate (normalmente en forma de bitcoines) en un plazo específico.