1、初始感染与服务器RSA密钥对（wks\wkp）准备：勒索病毒携带WKP进入目标系统，WKP硬编码在病毒中。

2、生成本地RSA密钥对（tks\tkp）：这个密钥对每个感染实例都是唯一的。

3、保护本地私钥：使用wkp加密tks,生成tks_chipher。这样只有wks可以解开tks_cipher。

4、文件加密准备：为每个要加密的文件生成一个唯一的对称AES256位密钥。

5、AES加密文件：因为对称加密速度快，几乎是瞬间完成，所以使用对AES 256密钥对称加密文件。

6、保护AES密钥：使用非对称公钥tkp加密AES密钥，生成key_cipher。

7、构建加密文件：将加密后的内容、key_cipher和tks_cipher打包，通常添加特定的文件头和标识。

8、清理与勒索：删除原始文件、清理缓存中的密钥、显示勒索信息。

wks由攻击者保留，在被攻击者支付赎金后，将wks给予被攻击者，使用wsk解密tks_cipher得到tks，使用tks解密key_cipher，得到aes key，最后使用aes解密文件。

aes加密大量文件速度快，rsa非对称算法加密文件无法破解，所以使用RSA+AES的组合使加密变得更加安全。