Ransomware calismasi icin sistem dosyalarinda bir sekilde degisiklik yapmasi gerekiyor. Ust duzey AV yazilimlari bilinmeyen kaynaklar tarafindan calistirilan programlarin disk uzerinde yazma yapmasini engelleyerek sizi korur. Yani virus ilk defa size bulasmis ise ve sizin tarafinizdan yonetici olarak calistirilmadiysa dosya yazma islemine engel olacaktir.
Bu konuda "Malware Behavior Analysis" isimli pek cok calisma var. Zararli bir yazilimin ne gibi ortak calisma prensiplerini inceleyerek AV ler guncelleniyor. Kendini kopyalamak, sistem dosya modifikasyonu, sistem dokuman&fotograf okuma ya da yazma ( sifrelemek de bir yazma islemidir, silmek de keza oyle ) , kendini startup process listesine ekleme vb zararli davranislar incelenip ransomware tanimlanamasa bile karantinaya alinabilir.
Ayrica isletim sisteminde her process tek basina calismak zorunda degil, A process i B yi baslatir, B ise C yi baslatir vs bu sekilde bir process agaci olusur. AV yazilimlari bu agac icinde zararli bir davranis algiladiginda tum agaci kapatip karantinaya alabilir. Yani siz virus yuklediniz bilgisayara ve bu virus u calistiran basit bir BAT scripti yazdiniz diyelim, yazdiginiz scripti de AV karantinaya alacaktir eger zararli bir durum tespit ederse.