Cesty jsou v podstatě 2. Při té první pošle útočník oběti podvržený mail s přílohou, kde jsou například dokumenty s makry. A pomocí sociálního inženýrství se snaží oběť přinutit, že je nutné přílohu otevřít (jako třeba, že to je úkol od šéfa) a co víc, že je nutné např. povolit makra v office dokumentech. To zas často okecávají hláškou že je to nutné kvůli správnému kódování nebo aktualizaci dokumentu. V okamžiku, kdy toto uživatel dovolí, mají vyhráno. V poslední době již mají i velmi dobře přeložené ty maily, takže podezření moc nevzbuzují. Druhá metoda spoléhá na exploity, tedy popsané zranitelnosti a pak exploit kity, což jsou zas nástroje, jak si takový útok naklikat v "samoobsluze". A jakmile má útočník takový nástroj k dispozici, políčí na špatně zabezpečený webový server a už jen tiše číhá na oběť. A ta ani nemusí navštěvovat podezřelé stránky, nebo se chovat nebezpečně. Prostě má jen smůlu, že vstoupila na web, co běží na špatně zabezpečeném serveru. A ještě třeba nemá nainstalovanou potřebnou záplatu.Klasický antivir v těchto případech moc nepomůže. Co pomůže daleko více, je kontrola podezřelé komunikace (na koncové stanici a/nebo firewallu - síťové bráně), protože každý ransomware musí komunikovat s C&C (command & control) servery, aby obdržel patřičný klíč. Dál lze detekovat chování, které odpovídá známým exploitům - těch je jen něco před 20. Ty nejlepší antiransomwary pak detekují i ono podezřelé šifrování a pro jistotu si uchovají kopii daného souboru a samozřejmě šifrování stopnou. Mimochodem klasickou shadow copy většina ransomware vypíná jako první.