En la primera fase, antes del pago del ransom, debemos realizar los siguientes pasos:
1. Hacer una copia de seguridad de todos los ficheros encriptados y la has guardado en un lugar seguro y separado, por ejemplo un disco USB y lo guardes desconectado en un cajón. El motivo es por si se corrompen en la desencriptación, u otro pirata los encripta por segunda vez, o si después de desencriptar los ficheros originales el virus siguiera activo y los volviera a encriptar.
2. Detectar y listar cuantos servidores o equipos en la red se han visto afectados. Es importante tener localizada la ubicación de todos los ficheros. Pues la clave de desencriptación no es la misma para todos los ficheros, y es necesario pasar una utilidad de escaneo que detecte unas claves públicas (keys) que se han grabado en cada uno de los ficheros.
3. Verificar así por encima que en las ubicaciones diferentes los ficheros tienen el mismo identificador?? id-79AE4562.[email_hacker@aol.com] Pues las claves maestras de desencriptación
4. Detectar qué numero de ficheros y cuantos GB se han visto afectados, a mayor número de ficheros será mas lento el escaneo de las keys públicas y la desencriptación final.
