+(36) 30/492-67-33   |    info@securedev.hu
Vissza a tudástárba
RANSOMWARE · INCIDENS · KRÍZISKEZELÉS

Ransomware-incidens — az első 24 óra forgatókönyve

Egy ransomware-támadás után az első 24 óra dönti el, hogy a céged napokat vagy heteket veszít el. Lépésről lépésre, óránként: mit kell tenni az első 24 órában, mit semmiképp ne tegyél, és milyen döntésekre kell felkészülnöd.

7 perc olvasás 2026.05.14. SecureDev csapat

Felfedezés — 0. perc

A leggyakoribb jelek:

  • Fájlok kiterjesztése megváltozik (.locked, .crypt, vagy random extension).
  • "README.txt" / "DECRYPT.txt" fájlok minden mappában — váltságdíj-követelés.
  • Adminisztrációs felületek nem érhetők el, vagy random adatokat mutatnak.
  • A monitoring rendszer (ha van) anomáliás disk-write-ot vagy mass-modification-t jelez.

FONTOS: SEMMIT NE NYOMJ MEG VAGY MOZDÍTS MEG. Egyetlen restart vagy fájlszerver-resync másodperc alatt elronthat hetekig tartó nyomozást.

0–30 perc: Izolálás

Hálózati izolálás

A fertőzött eszközöket fizikailag húzd le a hálózatról. Ne kapcsold ki — ezzel a memóriában lévő bizonyíték elveszik. Csak a hálózati kábelt húzd ki / a WiFi-t kapcsold le.

Az érintett szervereken: VLAN-blokkolás vagy fizikai port-down. A céges hálózatot szegmentálni kell — ha még nem az.

Backup-rendszer azonnal off-network-re

A ransomware modern változatai keresik és titkosítják a backup-okat. Ha még nem találta meg: most azonnal válaszd le a mentés-rendszert a hálózatról. Még akkor is, ha az offline backup külön gépen van.

Vezetőség értesítése

Egyetlen mondatban: "Ransomware-támadás van. Izolálás folyamatban. 1 órán belül helyzetjelentés." Részletet nem kérnek — most még semmi részlet nem biztos.

30 perc – 2 óra: Triage

Hatókör-felmérés

Milyen rendszerek érintettek? Csak a fájlszerver, vagy az AD-szerver is? A felhő (M365, Google Workspace) is? A backup is? Ez a kérdés dönti el: ez egy 4 órás esemény, vagy egy 2 hetes katasztrófa.

Forensic snapshot

Egy-egy fertőzött eszköz diszk-image-ét készítsük el mielőtt elkezdjük a tisztítást. Ez később bizonyíték lesz a hatóságnak (és a biztosítónak).

Hatósági jelentés (NIS2-hatály alatt)

A 2024 októberi Kibervédelmi törvény szerint a kritikus / fontos szektorban működő cégeknek 24 órán belül első jelentést kell tenniük az NBSZ NKI-nak (Nemzetbiztonsági Szakszolgálat — Nemzeti Kibervédelmi Intézet).

2-6 óra: Döntések

Fizessünk-e váltságdíjat?

A SecureDev tanácsa: NEM.

  • A fizetés nem garantálja a dekódolást — a támadók kb. 35%-ban hibás kulcsot adnak (FBI-adatok).
  • A fizetést a támadók regisztrálják egy "fizető cégek" listán — várhatóan visszatérnek.
  • Az EU szankciós listáján szereplő ransomware-csoportoknak fizetni bűncselekmény.
  • Ha kifizeted, gondolj a NIS2-jelentésre: a hatóság megkérdezheti, és bírság-kategória.

Helyette: backup-ból állj vissza. Ha nincs használható backup, az incidens hossza nem 4 óra hanem 2 hét.

Külső segítség?

Egy incident response csapat (mint a SecureDev) jellemzően 3-5×-re gyorsítja a helyreállítást. Egy 2 hetes önálló küzdelem helyett 9 órás profi visszaállítás (lásd az esettanulmányunkat).

6-24 óra: Helyreállítás

Új tiszta környezet

NE használd ugyanazokat a szervereket. Új gép, friss operációs rendszer, frissen rakott alkalmazások. A támadó valószínűleg "perszisztenciát" épített be, ami megmarad a régi rendszeren.

Backup-ból visszaállítás

Csak frissen szkennelt, ransomware-mentes mentésből. Ha nem vagy biztos, hogy a mentés érintetlen-e, vizsgáld meg sandbox-ban előbb.

Hozzáférések reset

MINDEN admin jelszó cseréje. MFA bekapcsolása mindenhol (ha még nem volt). Active Directory KRBTGT kulcs kétszeres rotációja (a Golden Ticket támadás megakadályozására).

Tudatosítás belül

"Az incidensből tanultunk, a következő lépések:..." — egy belső kommunikáció, hogy a userek megnyugodjanak és tudják, mit kell tenniük (új jelszó, jelentési csatorna gyanús email-ekre).

Mit NE csinálj az első 24 órában?

  • Ne kapcsold ki a fertőzött gépeket. Memória-bizonyíték elvész.
  • Ne fizess váltságdíjat hirtelen. Egy órán belüli döntést várnak — mind manipuláció.
  • Ne sajtó-figyelmeztetést. Az ügyfél-kommunikáció igen, de hivatalos közlemény csak miután biztos a helyzet.
  • Ne próbáld "saját kezűleg" dekódolni. A modern ransomware-ek kulcsa nélkül lehetetlen. Az online "ransomware decryptor"-ok 99%-a hamis.

Hogyan készítsd fel a céget — mielőtt megtörténik

  1. 3-2-1 backup elv: 3 másolat, 2 különböző médium, 1 offline / offsite.
  2. MFA mindenhol — különösen a VPN-en és RDP-n.
  3. EDR (Endpoint Detection & Response): Defender for Business, CrowdStrike, vagy hasonló.
  4. Office macro-blokkolás: Group Policy szinten. A támadások 60%-a makró-kanonikus.
  5. Hálózat-szegmentálás: a fájlszerver külön VLAN-ban a user-gépektől.
  6. Tabletop gyakorlat negyedévente: ki kit hív, mit csinál a 30. percben.

Készítsd fel a céged most — incidens előtt.

A ransomware-felkészültség önteszt 12 kérdésben megmutatja, hogy egy támadás után órákig vagy hetekig állna a céged. 5 perc, ingyenes.

Ransomware felkészültség teszt IT biztonság szolgáltatás