Diagram nám tedy prezentuje průběh útoku pomocí malware, který začne šifrovat data, jsme ve fázi, kde se nám pod rukama mění naše data v zašifrovaný guláš. A právě tento okamžik můžeme rozhodnout co dál na základě několika kritérií, mezi něž patří:

• Máme zálohu?
• Jsme schopni lokalizovat napadenou stanici?
• Máme případně peníze pro vyděrače?
• Jsme schopni se vlastními silami z této situace dostat?

Jestliže jste odpověděli 3x Ne. Všechno vypněte. (servery, stanice) A zavolejte pomoc. Máte jistotu že jste o něco přišli, ale zároveň naději že bude možné něco obnovit.

I v ostatních případech je vhodné volat o pomoc, na zvážení je ovšem zda-li nám stačí záloha, kterou máme. Vypnutím stanic a serverů přerušíte process šifrování a tím soubory pravděpodobně zničíte, někdy například u velkých souborů, je možné data při přerušeném šifrování z kontejneru dostat. Typicky se jedná o vdmk, a vhdx. Se soubry databáze je to težký a nákladný boj.

Možná dojde i na možnost, že budete chtít zaplatit výkupné. V takovém případě je dobré vědět kolik je požadovaná částka a rozmyslet si zda-li do toho půjdu, vždy je supr, když se jedná okamžitě a bez průtahů, protože jestliže už je ze strany útočníka vše hotovo, záleží už jenom na tom jak jste na něj byli připraveni.