Amenințări
Firma ta a fost lovită de ransomware: ce faci în primele 24 de ore și de ce să nu plătești răscumpărarea
Ecranele arată o notă de răscumpărare, fișierele sunt criptate și firma e blocată. Vezi pas cu pas ce faci în primele 24 de ore, de ce să nu negociezi cu atacatorii și cum îți revii fără să plătești.
Vii luni dimineață la birou și ceva nu e în regulă. Calculatoarele pornesc, dar fișierele au extensii ciudate, iar pe ecran apare un mesaj rece: datele tale sunt criptate, ai șapte zile să plătești, altfel le pierzi. Programul de contabilitate nu se deschide, emailul nu merge, comenzile sunt blocate. Într-o oră, toată firma stă pe loc și toți se uită la tine.
Primul lucru de făcut e cel mai greu: nu intra în panică și nu lua decizii pripite. Un atac ransomware se câștigă sau se pierde în primele ore, în funcție de cât de calm și de ordonat reacționezi. Mai jos ai exact ce faci în primele minute, în primele ore și în primele zile, de ce DNSC recomandă ferm să nu plătești și cum îți revii fără să finanțezi infractorii.
Ce se întâmplă, de fapt, într-un atac ransomware
Ransomware este un program care criptează fișierele de pe calculatoare și servere, apoi cere bani în schimbul cheii de decriptare. Atacatorii moderni merg de obicei mai departe, cu ceea ce se numește dublă extorcare: înainte să cripteze, îți copiază datele și amenință că le publică dacă nu plătești. Așa că presiunea e dublă, pierderea accesului plus expunerea datelor clienților tăi.
Și nu, nu e o problemă doar a corporațiilor. În decembrie 2025, Administrația Națională Apele Române a fost lovită de un atac ransomware care a afectat în jur de 1.000 de sisteme, iar atacatorii au folosit chiar mecanismul legitim BitLocker din Windows ca să cripteze datele. DNSC a fost notificat și a recomandat public să nu se negocieze cu atacatorii. Dacă o instituție de stat de mărimea asta poate fi lovită, o firmă mică, fără echipă de securitate, este o țintă mult mai ușoară.
Primele minute: izolează, nu opri
Reflexul greșit e să tragi imediat ștecherul din priză. Mai bine deconectezi de la rețea, nu oprești brutal: ai nevoie de probe, iar uneori în memoria calculatorului pornit există informații utile pentru analiză. Obiectivul în primele minute e unul singur, să oprești răspândirea, fiindcă ransomware se mută de la o stație la alta prin rețea.
Deconectează de la rețea
Scoate cablul de rețea și oprește Wi-Fi-ul pe calculatoarele afectate, ca să izolezi infecția. Nu le opri brutal din buton.
Deconectează backupurile
Scoate imediat discurile externe și mediile de backup conectate, altfel riști să fie criptate și ele.
Nu șterge și nu reformata
Ai nevoie de fișierele criptate și de nota de răscumpărare pentru analiză și, uneori, pentru un decriptor.
Cheamă ajutorul și notează tot
Anunță persoana sau firma care se ocupă de IT și începe o cronologie: ce ai văzut, când, pe ce calculatoare.
Primele ore: evaluează și anunță autoritățile
Cu infecția izolată, treci la evaluare. Stabilește ce sisteme sunt afectate, ce date par compromise și dacă ai un backup care nu a fost atins. În paralel, anunță conducerea și începe să tratezi incidentul ca pe o situație de criză, cu un singur om care coordonează.
Raportarea nu e opțională. Anunță incidentul la DNSC, fie prin linia 1911 (apelabilă din orice rețea, la tarif normal), fie prin platforma PNRISC. Dacă au fost afectate date personale ale clienților, angajaților sau pacienților, ai obligația legală să notifici ANSPDCP în maximum 72 de ore de la momentul în care ai aflat, conform articolului 33 din GDPR. Dacă firma ta intră sub NIS2, se adaugă termene proprii de raportare. Despre cum se leagă o breșă de o amendă am scris pe larg în articolul despre amenzile GDPR pentru firmele sparte.
De ce să NU plătești răscumpărarea
Cum îți recuperezi datele fără să plătești
Calea sigură de recuperare este restaurarea dintr-un backup curat. Înainte să restaurezi însă, curăță sau reinstalează sistemele afectate, schimbă toate parolele și închide calea prin care au intrat atacatorii. Altfel restaurezi peste o ușă încă deschisă și te reinfectezi în câteva zile. Multe firme repară prea repede și sar tocmai pasul care contează, identificarea vectorului de intrare.
Dacă nu ai un backup bun, verifică proiectul No More Ransom, o inițiativă a poliției europene și a firmelor de securitate, unde există decriptoare gratuite pentru multe variante de ransomware. Nu există garanția că pentru exact varianta care te-a lovit există un decriptor, dar merită verificat înainte de orice altceva. Dacă datele furate includ informații ale clienților, pregătește-te și pentru partea de comunicare, fiindcă s-ar putea să fie nevoie să îi anunți.
De ce backupul „obișnuit" nu te salvează
Aici e capcana în care cad cele mai multe firme. Au un backup, dar e pe un disc conectat permanent sau pe același server, exact locul pe care ransomware îl criptează primul. Un backup care stă mereu legat de sistem nu e o plasă de siguranță, e încă o victimă. Regula simplă care chiar te salvează se numește 3-2-1.
Trei copii ale datelor
Originalul plus încă două copii, ca să nu depinzi niciodată de o singură variantă.
Două medii diferite
De exemplu pe server și în cloud, ca o singură defecțiune să nu le ia pe toate.
O copie offline sau imuabilă
Cel puțin o copie deconectată sau imuabilă, pe care un atacator nu o poate cripta nici dacă îți compromite rețeaua. Testează periodic că restaurarea chiar funcționează.
Cum previi următorul atac
Recuperarea te scoate din criză, dar prevenția te scoate din statistică. Cele mai multe atacuri ajung înăuntru prin lucruri banale: un email de phishing, o parolă refolosită, un sistem neactualizat. Pe acelea le închizi cu măsuri pe care orice firmă le poate pune la punct.
Autentificare în doi pași peste tot
Pe email, pe acces de la distanță, pe aplicațiile critice. O parolă furată nu mai e suficientă pentru atacator.
Backup testat, offline sau imuabil
Cea mai bună asigurare împotriva ransomware. Verifică periodic că poți chiar restaura din el.
Actualizări la zi
Sistemele și aplicațiile neactualizate sunt ușile preferate ale atacatorilor. Ține-le patch-uite.
Segmentarea rețelei
Dacă o stație e infectată, segmentarea împiedică răspândirea în toată firma.
Instruirea oamenilor
Angajatul care recunoaște un phishing oprește atacul înainte să înceapă. Instruirea scurtă și repetată chiar funcționează.
Monitorizare și un plan de răspuns
Cineva care vede atacul devreme și un plan clar despre cine ce face în prima oră îți reduc dramatic pierderile.
Ransomware nu lovește doar firmele mari sau „interesante". Lovește pe cine are o ușă deschisă, iar firmele mici au de obicei mai multe uși deschise decât cred. Dacă vrei să vezi cum arată asta pe un sector concret, citește și de ce sunt vânate firmele de contabilitate sau ce faci când prima țintă e căsuța de email, în ghidul despre emailul firmei spart.
Ai un atac în desfășurare sau vrei să nu ajungi acolo
Întrebări frecvente
Ce fac în primele minute după un atac ransomware?
Izolează, nu opri. Deconectează de la rețea și de la internet calculatoarele afectate (scoate cablul, oprește Wi-Fi-ul) și deconectează mediile de backup și discurile externe, ca să oprești răspândirea. Nu reformata și nu șterge nimic: ai nevoie de probe pentru analiză și, uneori, pentru un eventual decriptor. Anunță imediat persoana sau firma care se ocupă de IT și începe să notezi cronologia, ce ai văzut și când.
Să plătesc răscumpărarea?
DNSC recomandă ferm să NU contactezi și să NU negociezi cu atacatorii, fiindcă plata finanțează fenomenul și nu îți garantează recuperarea datelor. Mulți care plătesc fie nu primesc cheia, fie primesc un decriptor care funcționează parțial, iar unele grupuri revin cu o a doua cerere. Verifică întâi dacă există un decriptor gratuit pe proiectul No More Ransom și concentrează-te pe restaurarea din backup.
Trebuie să anunț autoritățile dacă firma a fost lovită de ransomware?
Da. Raportează incidentul la DNSC, inclusiv prin linia 1911 (apelabilă din orice rețea, la tarif normal) sau prin platforma PNRISC. Dacă au fost afectate date personale ale clienților, angajaților sau pacienților, ai obligația să notifici ANSPDCP în maximum 72 de ore de la momentul în care ai aflat, conform articolului 33 din GDPR. Dacă intri sub NIS2, se adaugă termene proprii de raportare.
Cum îmi recuperez datele fără să plătesc?
Singura cale sigură este restaurarea dintr-un backup curat, de aceea contează backupul offline sau imuabil, pe care atacatorul nu îl poate cripta. Înainte de restaurare, curăță sau reinstalează sistemele afectate, schimbă toate parolele și închide calea de intrare, altfel reinfectezi backupul. Dacă nu ai un backup bun, verifică un decriptor gratuit pe No More Ransom, fără garanția că pentru varianta care te-a lovit există unul.
Citește și
GhiduriSecuritate pentru firme de contabilitate: ghid practic
DNSC avertizează că firmele financiar-contabile sunt vânate de ransomware, iar una a fost și spartă, și amendată cu 10.000 de euro. Vezi de ce ești o țintă sigură și cum te protejezi practic, fără echipă de IT.
AmenințăriȚi-au spart emailul firmei? Ce faci în primele ore
Un cont de email compromis e diferit de un email fals: atacatorul e chiar înăuntru, citește și răspunde. Vezi cum recunoști asta și ce faci în primele ore ca să oprești o fraudă cu factură.
AmenințăriAmenzi GDPR 2025: firme sparte, sancțiuni reale
O firmă spartă nu plătește doar incidentul. Plătește și amenda GDPR care vine după. Iată cazurile reale din România și cele patru greșeli care apar mereu în deciziile ANSPDCP.