Všechna následující doporučení mají jeden předpoklad a to ten, že máte zálohy, jestliže zálohy dat neexistují a už víte, že nebudete chtít spolupracovat s vyděračem. Vše vypněte. Tímto předejdete kompletnímu zašifrování všech dat. Zárověň, tím způsobíte, že soubory které se právě šifrují budou pravděpodobně nečitelné. A jestliže se následně rozhodnete zaplatit a získat dešifrovací klíč  o tyto soubory přijdete. 

Toto téma má mnoho scénářů a určitě záleží na nástrojích, které nám naše síť poskytuje, například jestliže máme nasazenu centrální správu pro antivirové systémy. Je možné spustit ADHoc test všech počítačů v síti (zde vycházím z předpokladu, že je napadena koncová stanice, 99% případů), což je možné udělat i manuálně s pomocí uživatelů, nebo distribucí BAT souboru.

Pokud nám například Ramsomware šifruje sdílené disky, je možné zjistit připojené (sessions) klienty přímo na serveru v nástroji pro SMB shary (Computer management/). Nebo pokud víte, že nemáte zálohu, můžete Server s share disky, prostě vypnout. A část dat zachránit.

Touto identifikací připojených klientů, je možné, pokud nemáte po ruce jiné prostředky provést telefonický zásah a nechat připojené klienty vypnout koncovou stanici.

Nebo pomocí Powershellu jako ADministrator, příkazem SMBShare, pokud nejaký z uživatelů má větší počet otevřených spojení jedná se pravděpodobně o útočníka.

Další nástrojem může být snifování provozu v síti. Například nástrojem Packet Capture. To je, ale poměrně nešikovný nástroj, proto doporučuji instalovat rovnou WireShark.