Na stronie CERT.PL (Naukowa i Akademicka Sieć Komputerowa - NASK) warto przeczytać:
Poradnik ransomware.pdf » CERT.pl
M.in. w rozdziale "Działania naprawcze" jest porada, żeby nie wyłączać komputera o ile potrafimy odłączyć się od internetowej sieci przewodowej i bezprzewodowej (tryb samolotowy). Elementy pozostawione w pamięci ulotnej pozwalają niekiedy na użycie dekryptora. Należy zapamiętać komunikat wyłudzający okup (np. zdjęcie). W miarę możliwości zostawić komputer w stanie hibernacji i wykonać kopię zapasowa partycji - może uda się znaleźć dekryptor, albo powstanie on w niedalekiej przyszłości.
Należy też podjąć niezwłoczny kontakt z zespołem CSIRT NASK poprzez stronę
incydent.cert.pl
albo e-mail
cert@cert.pl