KÉRJENEK SEGÍTSÉGET. A támadás észlelését követő első lépések kulcsfontosságúak: a mi javaslatunk az, hogy vonjanak be incidens-reagálásban jártas kollégát vagy külsős szakértőt. Szükséges, többek között, felállítani a „mentőcsapatokat” akik részt vesznek az incidens kezelésében; meghatározni a parancsnoki láncot; kijelölni a kommunikációs csatornákat a krízis esetére; értesíteni a munkavállalókat az incidensről bármely módon, ahogy elérhetőek; egyértelmű utasításokat és feladatlistát adni nekik (pl. ne kommunikáljanak az esetről, mit használjanak / ne használjanak), és hozzáférést biztosítani nekik a szükséghelyzetben használandó kommunikációs csatornákhoz. Az ökölszabály az, hogy a hálózati hozzáféréseket le kell tiltani, és a kikapcsolt eszközöket nem szabad visszakapcsolni a további vizsgálatokig.
NE FIZESSENEK. Az, hogy belemennek-e a bűnözőkkel tárgyalásba, és kifizetik-e a váltságdíjat, végső soron az áldozat döntése. Mi egyértelműen és nyomatékosan javasoljuk azonban, hogy ne fizessenek, mivel abszolút nincs garancia arra, hogy a másik fél is tartja magát a megegyezéshez (pl. Odaadják a feloldókulcsot, nem hoznak nyilvánosságra adatokat, nem fertőzik őjra meg a hálózatot, nem adják tovább más bűnözői csoportoknak a megszerzett adatokat és hogy hogy jutottak be). Ráadásul a megfizetett váltságdíj csak tovább növeli az ilyen csoportok rendelkezésére álló dollármilliókat, amellyel a jövőben újabb és egyre kifinomultabb támadásokat finanszírozhatnak.
KÜLÖNÍTSENEK EL. Egy sikeres zsarolóvírus-támadás hatása nagyban függ attól, hogy a szervezet milyen mentéseket készített az adatállományásól vagy annak egy részéről, és hogy ezek a mentések megúszták-e a fertőzést. El kell különíteni azokat a tárhelyeket, amelyeken tiszta (fertőzésmentes) adatok és mentések vannak, mert a működés szempontjából kritikus folyamatok helyreállítása ezekkel lesz a leghatékonyabb.
KOMMUNIKÁLJANAK. Nyíltan és őszintén kommunikálni a kollégákkal, partnerekkel, ügyfelekkel és részvényesekkel mindig jó politika – főleg nehézségek idején. Folyamatosan tájékoztatni őket a vizsgálat és a helyreállítás minden lépéséről fárasztónak tűnhet, mi mégis ezt javasoljuk, mert hosszabb távon sokkal jobb eredményt ad. Emellett javasoljuk az adatvédelmi incidens és a bűncselemkény bejelentését a megfelelő hatóságoknak (Magyarországon az adatvédelmért felelős hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság, vagy NAIH).
RANGSOROLJANAK. Meg kell állapítani, melyek azok a működés szempontjából kiemelten fontos elemek, amelyeket előre kell venni a helyreállítás során. Jellemzően az üzletmenet (vagy gyártás) helyreállítása, az alapfolyamatok és az üzleti levelezés újraindítása a legfontosabb, de ezeket pontosan csak a szervezet maga tudja meghatározni. A helyreállítás lépéseit lent még részletezzük.
ELEMEZZENEK. Ha a rendszer ugyanolyan állapotba kerül helyreállításra, amiben a támadás előtt volt, az vagy azt jelenti, hogy a támadóknak még mindig megvan a hozzáférése, vagy legalább azt, hogy ugyanúgy ki tudják használni még egyszer azt a sérülékenységet, amin eredetileg bejutottak. Ezért fontos, hogy forensics szakértők, network forensics elemzők és malware elemzők tapasztalt csapata kövesse vissza a nyomokat addig, hogy megállapthassák az eredeti fertőzéshez vezető okokat. A zsarolóvírus-támadások destruktív természete és a támadók ravaszsága miatt a bizonyítékok sokszor már nincsenek meg, vagy nem helyreállíthatóak; mégis megéri oknyomozásba fektetni. Az ilyen típusú vizsgálatok célja azonban ne a bűnbak-keresés legyen, hanem megtalálni és kijavítani azokat a sebezhetőségeket, amelyeket a támadók megtaláltak és kihasználtak.
VÉDEKEZZENEK. Ha a helyreállítás befejeződött, és újra zavartalan az üzletmenet, akkor ideje arra koncentrálni, hogyan előzhető meg, hogy ilyesmi történjen a jövőben. Ha egy szervezet nem tudja bizonyítani, hogy legalább az alapvető biztonsági intézkedéseket megtették az érintettek náluk lévő adatai védelme érdekében, jó eséllyel bírságra számíthatnak az adatvédelmi hatóságtól, ráadásul még ha van is biztosításuk, az sem fogja fedezni a károkat. Azt sem szabad elfelejteni, hogy az új rendszer nyomás alatt, jellemzően sietősen lett felépítve és üzembe helyezve, ami megnöveli további támadási felületek esélyét. Ezért javasoljuk, hogy mindig ellenőrizzék duplán a konfigurációkat, a nyilvánosan elérhető eszközöket és szolgáltatásokat, és a hitelesítő adatok védelmét. A nagyvállalatok és KKV-k védelme egyaránt kihívás, ha máshogy is; ráadásul mindenképpen nehéz és repetitív – de még így is szignifikánsan kevesebb anyagi ráfordítást igényel, mint egy zsarolóvírus-támadás vagy egyéb, hasonkó mértékű biztonsági incidens.