Identificar la variante del ransomware
Realizar una búsqueda por la extensión de los archivos cifrados, como de Indicator of Compromise (IOC) que incluyen nota de rescate, correo electrónico, sitio web, dirección TOR y monedero de Bitcoin.
A parte de identificar la variante, en algunos casos, se realiza una búsqueda de las herramientas de descifrados disponibles a la fecha.