常见RansomWare的特有行为

1.vssadmin.exe 工具以试图删除卷影副本，以确保有没有办法恢复被加密的文件。

* vssadmin.exe Delete Shadows /All /Quiet

2.还试图通过将以下两个注册表值设置为 0，以禁用 Internet Explorer 仿冒网站筛选：

键：
* HKCU\Software\Microsoft\InternetExplorer\PhishingFilter
值：
* EnabledV8
* EnabledV9

3.文件加密，它加密用户计算机中找到的特定类型的文件。

遍历目录查找特定文件

4.赎金支付

* 所有主流的变种采取用比特币付款。