FASE KEDUA merupakan fase yang paling mematikan/merusak sistem, fase ini terdiri dari tahapan sebagai berikut :
- menjalankan file-file virus ransomeware yang sudah masuk kedalam server target (FASE PERTAMA point g)
Berikut dugaan saya algoritma virus bekerja, dengan memahami cara virus bekerja, maka kita bisa menemukan cara memulihkan kembali :
- Proses Encrypted File-file kedalam file-file temporary.
- Menghapus File-File Asli setelah proses encrypted selesai.
- Merename File-File hasil Encrypted menjadi File-File Asli
3. FASE KETIGA
FASE KETIGA adalah fase opsional yang dilakukan oleh pelaku, berupa proses pencurian file-file penting yang telah terenkripsi untuk dibawa ke server-server tampungan sementara yang dikemudian hari file-file ini dapat dijual bebas di dunia dark web.
4. FASE KEEMPAT
Fase keempat juga fase opsional merupakan fase penawanan data dan meminta tebusan (ransom) atas  seluruh data-data penting sudah diencrypt dan saatnya pelaku meminta  negosiasi kepada pihak yang berkepentingan terhadap data-data yang ditawan.
III. GEJALA-GEJALA SAAT TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN
Hampir setiap proses aktifitas yang dilakukan hacker tersebut pada dasarnya memiliki gejala-gejala, dengan mengetahui gejala-gejalanya kita dapat melakukan penanganan ketika serangan sedang berlangsung,
Berikut gejala-gejala yang terjadi pada server pada saat hacker melakukan FASE PERTAMA
a. Brute Force Password user name Administrators Windows Server
Pada tahap ini gejala yang tampak adalah Server terasa lebih lemot, karena server tiba-tiba mendapat beban tinggi didalam waktu yang bersamaan, jika terjadi hal ini segera membuka event viewer untuk memastikan apakah ada percobaan login ke server berulang dalam jumlah yang sangat banyak dalam waktu yang sangat singkat (Event ID 4625)
