3. FASE KETIGA
FASE KETIGA adalah fase opsional yang dilakukan oleh pelaku, berupa proses pencurian file-file penting yang telah terenkripsi untuk dibawa ke server-server tampungan sementara yang dikemudian hari file-file ini dapat dijual bebas di dunia dark web.
4. FASE KEEMPAT
Fase keempat juga fase opsional merupakan fase penawanan data dan meminta tebusan (ransom) atas  seluruh data-data penting sudah diencrypt dan saatnya pelaku meminta  negosiasi kepada pihak yang berkepentingan terhadap data-data yang ditawan.
III. GEJALA-GEJALA SAAT TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN
Hampir setiap proses aktifitas yang dilakukan hacker tersebut pada dasarnya memiliki gejala-gejala, dengan mengetahui gejala-gejalanya kita dapat melakukan penanganan ketika serangan sedang berlangsung,
Berikut gejala-gejala yang terjadi pada server pada saat hacker melakukan FASE PERTAMA
a. Brute Force Password user name Administrators Windows Server
Pada tahap ini gejala yang tampak adalah Server terasa lebih lemot, karena server tiba-tiba mendapat beban tinggi didalam waktu yang bersamaan, jika terjadi hal ini segera membuka event viewer untuk memastikan apakah ada percobaan login ke server berulang dalam jumlah yang sangat banyak dalam waktu yang sangat singkat (Event ID 4625)
Bagi Administrator Server pengecekan event viewer ini baiknya dilakukan secara berkala, terutama terkait event-event id security.
PENANGANAN
Jika terjadi akses mencurigakan dalam waktu yang sangat singkat dan jumalahnya banyak maka dipastikan server kita sedang di brute force passwordnya, selanjutnya lakukan beberapa Langkah penanganan sebagai berikut :
- Pastikan Remote Desktop telah didisable
- Pastikan tidak ada user yang di allow untuk melakukan remote desktop
- Pastikan tidak ada aplikasi remote lainnya yang terinstal
- Periksa Traffic Jaringan Keluar/Masuk
- Tutup Port Jaringan jika ditemukan Anomali.
- Pastikan Firewall dalam keadaan Aktif