Servicii IT

Ce faci în prima oră după un atac ransomware

Luni dimineață, 8:47. Un angajat deschide un fișier primit pe email — arată ca o factură de la un furnizor cunoscut. În câteva minute, pe ecranele din toată firma apare același mesaj: „Your files have been encrypted. Pay 15.000 USD in Bitcoin to recover them.”

Nu e un scenariu dintr-un film. E ce s-a întâmplat la o firmă de distribuție din Cluj în 2024, cu 23 de angajați și un server plin de contracte, stocuri și date de clienți. Firma a pierdut aproape două săptămâni de activitate. Nu pentru că nu aveau backup — aveau. Dar nu aveau un plan.

Diferența dintre o firmă care supraviețuiește unui ransomware și una care nu o face nu stă în ce a cumpărat înainte, ci în ce face în prima oră după atac.

Primele minute: stai pe loc

Primul impuls este să deconectezi imediat calculatoarele sau să repornești serverul. Greșeală. Ransomware-ul modern lasă în memorie informații prețioase — procese active, chei parțiale de criptare — pe care o repornire le șterge definitiv. Odată repornit calculatorul, pierzi și singura șansă de analiză criminalistică.

Ce faci în primele cinci minute:

  • Nu reporni niciun calculator infectat.
  • Nu șterge niciun fișier „suspect”.
  • Fotografiază cu telefonul ecranele cu mesaje de eroare — vor fi necesare pentru specialiști și pentru raportare.
  • Identifică rapid câte mașini par afectate și care mai funcționează normal.

Scopul acestor minute nu este să rezolvi problema. Este să nu o agravezi.

Ce faci în prima oră

Izolezi imediat rețeaua

Ransomware-ul se răspândește lateral — dintr-un calculator în altul, prin rețea. Cu cât stă mai mult conectat, cu atât criptează mai mult. Dacă ai acces la switch-ul de rețea, deconectează fizic mașinile afectate. Nu dezactiva Wi-Fi-ul de pe calculator — deconectează cablul sau oprește switch-ul de la priză.

Dacă folosești cloud (OneDrive, Google Drive, SharePoint), deconectează și accesul la internet al mașinilor afectate — unele variante de ransomware ajung să cripteze și folderele sincronizate în cloud, ștergând copiile online înainte ca cineva să observe.

Activezi planul de comunicare internă

Angajații nu trebuie să știe totul imediat, dar trebuie să știe un lucru: nu deschid nimic, nu ating nimic și nu încearcă să „rezolve” singuri. Un mesaj rapid pe telefon sau pe un canal alternativ — dacă emailul companiei e compromis — poate preveni răspândirea în continuare.

Totodată, sună partenerul tău IT sau echipa de suport extern acum, nu după ce „mai verifici tu puțin”. Fiecare minut de investigație nestructurată în faza acută crește daunele.

Nu plătești răscumpărarea

Știu că tentația e mare când pe ecran scrie că ai 72 de ore sau că prețul crește. Realitatea: în aproximativ 40% din cazuri, firmele care au plătit nu au primit cheia de decriptare funcțională. În alte cazuri, au primit-o, dar atacatorul a păstrat o copie a datelor și le-a vândut sau publicat ulterior.

Plata nu rezolvă nimic pe termen lung. Și te pune pe o listă de „plătitori” — ceea ce crește semnificativ probabilitatea unui al doilea atac în lunile următoare.

Greșeli care transformă un incident recuperabil într-o catastrofă

Am văzut firme care au pierdut mai mult din cauza reacției greșite decât din cauza atacului în sine. Cele mai frecvente:

  • Ștergerea sau formatarea calculatoarelor înainte ca specialiștii să poată preleva date. Odată formatat, s-a dus orice șansă de recuperare parțială.
  • Plata fără investigație prealabilă — unele variante de ransomware au deja decriptoare publice gratuite. Platforma No More Ransom listează sute de astfel de instrumente. Poți plăti degeaba pentru ceva ce există gratis.
  • Reluarea activității pe mașini neigienizate — dacă repornești serverul și reconectezi totul fără să fi eliminat vectorul de atac, ciclul se reia. Am văzut firme lovite de două ori în aceeași lună.
  • Neraportarea incidentului — conform GDPR, dacă datele clienților au fost compromise, ai obligația să raportezi la ANSPDCP în maximum 72 de ore. Ignorarea acestui pas adaugă amenzi la daune.

Ce determină cu adevărat dacă supraviețuiești

Firma din Cluj menționată la început și-a revenit. A durat 11 zile, nu două. De ce? Pentru că backupul lor era pe același server — parțial criptat și el. Aveau copii de acum trei luni pe un hard extern undeva „prin birou”.

Firmele care ies rapid dintr-un incident ransomware au câteva lucruri în comun:

  • Backup după regula 3-2-1: trei copii, pe două tipuri diferite de suporturi, una offline sau în cloud izolat.
  • Backupuri testate periodic — nu presupun că există, verifică efectiv că se poate restaura.
  • Un plan documentat de răspuns la incident, chiar și simplu: cine sună pe cine, ce se izolează, cum se comunică spre clienți și furnizori.
  • Segmentarea rețelei — serverul de fișiere nu este în aceeași subrețea cu calculatoarele angajaților.

Nimic din lista asta nu este scump sau tehnic imposibil. Dar toate necesită cineva care să le facă, să le testeze și să le mențină actualizate — nu o dată, ci continuu.

Dacă nu ai o echipă internă care să se ocupe de asta în mod serios, externalizarea administrării IT este mai ieftină decât o singură zi de downtime după un ransomware. Pune pe hârtie costul concret: salarii neproductive, livrări ratate, clienți pierduți, recuperare de date. O firmă cu 15 angajați care stă trei zile pierde ușor între 10.000 și 20.000 de euro — înainte să plătești vreun specialist de securitate.

La Secure IT Solutions lucrăm cu IMM-uri tocmai ca să nu ajungă să ia decizii grele în mijlocul unui incident. Dacă vrei să știi cum arată infrastructura ta acum și unde ești expus, putem face o evaluare rapidă — fără obligații și fără jargon tehnic.

Întrebări frecvente

Trebuie să sun la poliție după un atac ransomware?

Da, este recomandat și, în anumite situații, obligatoriu. DIICOT are o secție dedicată criminalității informatice. Raportarea contribuie la investigații mai largi — mai mulți atacatori au fost identificați tocmai pe baza rapoartelor venite de la firme. Practic, nu te costă nimic și poate aduce rezultate concrete.

Pot recupera datele fără să plătesc răscumpărarea?

Depinde de varianta de ransomware. Unele au deja decriptoare gratuite disponibile pe nomoreransom.org. Altele, mai recente, nu au încă soluție publică. De aceea e esențial ca un specialist să identifice exact varianta înainte de orice altă decizie — inclusiv înainte să iei în considerare plata.

Cât durează recuperarea după un atac ransomware?

Cu backupuri recente și testate: între câteva ore și două-trei zile, în funcție de volumul de date și de infrastructură. Fără backupuri sau cu backupuri compromise: săptămâni, uneori luni — dacă recuperarea este posibilă deloc. Acesta este motivul pentru care testarea periodică a backupurilor nu e opțională.

Antivirusul nu ar fi trebuit să oprească atacul?

Antivirusul clasic nu mai este suficient. Ransomware-ul modern folosește tehnici de evaziune avansate și intră adesea prin vectori legitimi: documente Office cu macro-uri, link-uri phishing convingătoare, acces RDP slab protejat. Soluțiile EDR (Endpoint Detection & Response) și monitorizarea continuă a rețelei reprezintă standardul actual pentru protecție reală.

💬