Fem varningstecken som ofta förebådar en attack med gisslanprogram: 

• Upptäckten av en skanner – särskilt på en server
  En attack påbörjas oftast med att angriparna försöker få tillgång till en enhet där de kan söka efter information. Därefter vill man ofta se vad som finns i nätverket och identifiera vilken information man kan komma åt. Det enklaste sättet att göra det är med en skanner. Om en nätverksskanner som exempelvis AngryIP eller Advanced Port Scanner upptäcks bör man omedelbart kontrollera om någon administratör använder dessa verktyg. Om inte finns all anledning att undersöka närmare.
  
  
• Verktyg som avaktiverar antivirusprogram
  När angriparna skaffat sig tillgång till nätverket kommer de i många fall att försöka inaktivera de säkerhetsprogram som finns. Det kan göras med verktyg som Process Hacker, IOBit Uninstaller, GMER eller PC Hunter. Dessa kommersiella program är legitima men kan i fel händer bli ett verktyg för brottslingar. Upptäcks den typen av program bör man alltid ifrågasätta varför de finns där.
  
  
• Närvaron av Mimikatz
  Upptäckten av Mimikatz bör i alla lägen undersökas närmare. Mimikatz är ett av de vanligaste verktygen som används för kontostöld. Om ingen medarbetare kan visa på att verktyget används av legitima skäl är förekomsten av Mimikatz en tydlig varningsflagga.
  
  
• Misstänkta mönster
  Om man noterar händelser som inträffar varje dag vid en viss tid eller andra mönster som upprepas är det ofta ett tecken på att någonting är i görningen. Även om misstänkta filer upptäckts och tagits bort bör man ställa sig frågan varför vissa händelser fortsätter att upprepa sig.
  
  
• Testangrepp
  Det är relativt vanligt att angripare genomför mindre tester för att se om och hur den valda metoden fungerar. Om testattackerna upptäcks och stoppas provar angriparna ofta en ny väg. Samtidigt vet de då att de sannolikt är röjda och kan därför sätta in en större, snabb attack innan vägen fram är helt stängd.