Ransomware ramte — hvad nu? En realistisk genopretningsplan

Scenariet

Klokken er 07:42 mandag morgen. Den første medarbejder logger på og kan ikke åbne sine filer — i stedet ligger der en README.txt i hver mappe der kræver bitcoin for at få nøglen. Inden for 10 minutter står telefonen rødglødende. Hvad gør I?

De første 60 minutter

• Isoler omgående: Tag inficerede maskiner af netværket fysisk eller via EDR.
• Sluk IKKE serverne — det kan ødelægge spor og besværliggøre genopretning.
• Aktiver beredskabsplanen — én person tager kommandoen, alle andre rapporterer ind.
• Kontakt jeres IT-leverandør og jeres cyberforsikring (hvis I har en).
• Anmeld til Center for Cybersikkerhed og evt. politi.

Det første døgn

• Kortlæg omfanget: hvilke systemer er ramt, hvilke data er krypteret, er backup uberørt?
• Verificer at backup ikke selv er kompromitteret — tjek immutable kopier.
• Vurder om I kan køre videre på reduceret kapacitet (nødprocedurer, papir, telefon).
• Kommuniker til medarbejdere, kunder og samarbejdspartnere — ærligt og kontrolleret.
• Begynd genetablering i en isoleret testmiljø før I rører produktionen.

Den første uge

• Restore systemer prioriteret efter forretningskritikalitet, ikke efter hvad der er nemmest.
• Skift alle adgangskoder, revoker alle sessions, roter alle nøgler og certifikater.
• Forensisk analyse: hvor kom angrebet ind? Patch hullet før systemet sættes i drift igen.
• Dokumenter forløbet — det skal bruges til forsikring, GDPR-rapportering og fremtidig læring.

Skal I betale?

Den korte anbefaling fra både politi og Center for Cybersikkerhed: nej. Der er ingen garanti for at I får dataene tilbage, I finansierer fremtidige angreb, og I bliver registreret som en virksomhed der betaler. Den eneste rigtige forsikring er en testet 3-2-1-backup, sådan at betaling aldrig bliver et reelt valg.