어떤 컴퓨터가 랜섬웨어에 감염된 경우, 이 악성 코드가 C&C 서버(C2)에 암호화된 시스템 정보를 보내면서 네트워크 트래픽이 발생할 수 있습니다. 그러나 C2와의 통신이 암호화의 필수 조건은 아닙니다. 최신 랜섬웨어는 대개 암호화에 필요한 공개 키를 가지고 있습니다. 즉, 원격 서버에서 가져오지 않고 이 로컬 키를 사용합니다. 먼저 C2 노드에 연결하여 암호화에 필요한 키를 가져와야 하는 랜섬웨어의 경우, C2에 연결하지 못하면 실패할 가능성이 더 큽니다. 이러한 활동도 소기의 목적을 달성하기 전에 탐지할 수 있습니다. 랜섬웨어 변종 대부분에서 흔히 보여주는 또 다른 활동은 파일 암호화에 방해가 될 만한 각종 하드 코딩 프로세스/서비스, 이를테면 데이터베이스, 보안 애플리케이션, 백업 서비스를 종료하는 것입니다. 알려진 안티바이러스 프로그램 또는 기타 보안 애플리케이션을 찾아낸 다음 제거를 시도하는 변종도 있습니다. 운영 체제가 실행하는 시스템 복원 기능을 차단하고 비활성화하는 것도 대표적인 활동입니다. 많은 변종들이 볼륨 섀도 복사본 삭제, 빈 공간 지우기, 이벤트 로그 지우기, 시스템 복원 기능 비활성화 등의 태스크를 하나 이상 수행하는 명령을 실행합니다. 랜섬웨어 변종 대부분은 주로 개별 사용자 디바이스에 침투하므로, 운영 체제에서 컴퓨터를 정상적으로 작동하기 위해 사용하는 파일이 아니라 사용자가 흔히 생성하고 사용하는 파일을 암호화 대상으로 선택합니다. 피해자가 몸값 지불을 선택하게끔 컴퓨터가 계속 작동하게 하는 데 목적이 있습니다