Serverul a fost criptat: ce trebuie să facă o companie și cum să protejeze datele Torgsoft
Dacă fișierele de pe server au fost deja criptate, deconectați calculatorul afectat de la rețeaua locală și de la internet, nu conectați la acesta discurile cu copii de rezervă și nu rulați programe de decriptare alese la întâmplare. Înregistrați mesajul atacatorilor, ora și primele semne ale atacului și apelați la administratorul de sistem sau la un specialist în răspuns la incidente cibernetice. Evidența trebuie restabilită pe un server curățat sau nou, folosind cea mai recentă copie verificată, creată înainte de pătrunderea atacatorului. Dacă o asemenea copie nu există, restabilirea completă a istoricului evidenței poate fi imposibilă.
În 2026, programele ransomware rămân una dintre principalele amenințări pentru companii. Potrivit Verizon Data Breach Investigations Report 2026, exploatarea vulnerabilităților a reprezentat metoda inițială de pătrundere în 31% dintre breșele de date confirmate, iar ransomware-ul a fost prezent în 48% dintre cazuri. Pe lângă atacurile motivate financiar, companiile ucrainene se confruntă cu operațiuni distructive direcționate. În 2025, CERT-UA a gestionat 5.927 de incidente cibernetice — cu 37,4% mai multe decât în anul precedent. Printre principalele amenințări s-au numărat phishingul, compromiterea conturilor, atacurile prin furnizori, programele distructive și ransomware-ul, conform analizei sistemului național de securitate cibernetică al Ucrainei pentru anul 2025.
Aspecte esențiale despre copiile de rezervăO arhivă stocată în dosarul C:\DatabaseArchive, pe un alt disc intern al aceluiași server sau pe un disc USB conectat permanent este accesibilă sistemului de operare. Un program ransomware sau un atacator cu drepturi de administrator o poate cripta sau șterge împreună cu baza de date principală.
Ce se întâmplă în timpul unui atac
Un atac modern durează adesea mai mult decât procesul propriu-zis de criptare. Atacatorul obține accesul inițial, analizează rețeaua, fură parole, își extinde privilegiile, identifică serverele și sistemele de stocare a copiilor de rezervă, copiază datele, apoi pornește criptarea sau distrugerea acestora. Restabilirea fișierelor fără eliminarea metodei de pătrundere creează riscul unui nou atac.
| Tipul atacului | Ce face atacatorul | Consecințe pentru magazin |
|---|---|---|
| Criptarea fișierelor | Criptează bazele de date, documentele, fotografiile, dosarele din rețea și arhivele accesibile. | Casele și biroul pierd accesul la evidență, stocuri, istoricul vânzărilor și documente. |
| Extorcare dublă | Copiază datele înainte de criptare și amenință cu publicarea sau vânzarea lor. | Pe lângă întreruperea activității, apare riscul divulgării datelor clienților, angajaților și partenerilor contractuali. |
| Extorcare fără criptare | Fură informații și solicită bani pentru a nu le divulga. | Programul poate continua să funcționeze, deși datele confidențiale se află deja în posesia unor terți. |
| Distrugerea datelor | Un program de tip wiper șterge fișierele, sistemele de virtualizare și copiile de rezervă. | Decriptarea este imposibilă, deoarece datele au fost distruse. Recuperarea necesită o copie separată. |
| Blocarea sistemului | Blochează accesul la Windows sau funcționarea anumitor servicii fără criptarea în masă a fișierelor. | Activitatea se oprește, iar starea bazei de date trebuie verificată înainte de reluarea evidenței. |
În atacurile înregistrate în Ucraina în 2025, atacatorii au deteriorat în mod intenționat sistemele de virtualizare și de backup. Pentru pătrundere au fost exploatate vulnerabilități ale furnizorilor, conturi VPN compromise fără autentificare multifactor și metode de inginerie socială. Aceste cazuri confirmă necesitatea protejării simultane a serverului, accesului la distanță, conturilor și sistemelor de stocare a copiilor de rezervă.
Cum pătrunde ransomware-ul în infrastructura unei companii
| Vector de pătrundere | Scenariu tipic într-o companie | Ce reduce riscul |
|---|---|---|
| Actualizări neinstalate | Un scaner identifică în rețea un VPN, un router, un server Windows sau un alt program învechit, care conține o vulnerabilitate cunoscută. | Versiuni de programe care beneficiază de asistență, actualizări instalate la timp și evidența tuturor dispozitivelor și serviciilor externe. |
| Acces la distanță | Portul RDP este deschis către internet, iar parola este ghicită sau furată; VPN-ul funcționează fără o confirmare suplimentară a autentificării. | Închiderea accesului RDP din internet, utilizarea unui gateway securizat sau a unui VPN cu autentificare multifactor și limitarea adreselor și a intervalelor de acces. |
| Phishing | Un angajat deschide un fișier atașat sau un link dintr-un mesaj despre o factură, un control, o livrare, o amendă, un post vacant sau un document oficial. | Filtrarea mesajelor, blocarea macrocomenzilor și scripturilor periculoase, instruirea angajaților și verificarea solicitării printr-un alt canal de comunicare. |
| Parole furate | Aceeași parolă este folosită pentru e-mail, acces la distanță și stocare în cloud; datele se află deja într-o scurgere sau au fost furate de un program infostealer. | Parole unice stocate într-un manager de parole, autentificare multifactor, conturi administrative separate și închiderea sesiunilor vechi. |
| Programe fără licență și actualizări false | Un angajat rulează un program de activare, un program descărcat de pe un serviciu de partajare a fișierelor, un instalator fals al browserului sau o «actualizare urgentă». | Instalarea programelor numai de către un angajat responsabil, exclusiv din surse oficiale, și controlul aplicațiilor permise. |
| Stickuri USB și discuri externe | Un dispozitiv de stocare infectat este conectat la calculatorul de la casă sau la server. | Interzicerea dispozitivelor necunoscute, scanarea automată și limitarea dispozitivelor USB prin politicile Windows. |
| Un alt calculator din rețea | Un laptop de birou este infectat, după care atacul se răspândește prin dosare partajate, parole furate și instrumente administrative. | Segmentarea rețelei, o rețea Wi-Fi separată pentru oaspeți, drepturi minime, un firewall local și parole administrative diferite. |
| Furnizor sau program de asistență la distanță | Un cont compromis al unui contractant sau un instrument legitim de administrare oferă acces simultan la mai mulți clienți. | Conturi nominale, autentificare multifactor, acces acordat la cerere și pentru o perioadă limitată, jurnalizarea conexiunilor și eliminarea instrumentelor inutile. |
| Compromiterea contului cloud | Atacatorul se conectează la contul Google, șterge sau deteriorează copiile de rezervă și modifică setările de recuperare. | Un cont de serviciu separat, o cheie de acces sau autentificare multifactor, monitorizarea sesiunilor și o copie offline independentă. |
Solicitările adresate serviciului de asistență tehnică Torgsoft și discuțiile publice ale persoanelor afectate descriu în mod repetat aceleași situații: toate arhivele erau stocate pe calculatorul infectat; discul extern rămânea conectat; sarcina de backup se încheia de mult timp cu eroare; contul cloud nu avea protecție multifactor; de pe server a putut fi recuperat doar un fișier .mdf învechit. Într-o discuție publică ucraineană despre copiile de rezervă, utilizatorii descriu și pierderea simultană a fișierelor principale și a copiilor accesibile, precum și preluarea conturilor Google fără verificare în doi pași. Aceste mesaje descriu cazuri individuale; recomandările tehnice de mai jos se bazează pe materialele NIST, CISA, NCSC, Microsoft și CERT-UA.
Ce trebuie făcut dacă serverul a fost deja criptat
Primele 15 minute
- Izolați calculatorul afectat. Scoateți cablul de rețea, dezactivați Wi-Fi și deconectați calculatorul de la VPN. Deconectați de la rețea și celelalte calculatoare pe care apar aceleași semne.
- Opriți răspândirea. Administratorul de sistem trebuie să blocheze conturile compromise, sesiunile active la distanță, accesul la dosarele partajate și traficul extern suspect.
- Nu conectați mediile cu copii de rezervă. Suspendați sincronizarea automată și sarcinile de backup dacă acestea pot suprascrie o copie validă cu date deteriorate.
- Nu ștergeți urmele. Fotografiați mesajul de răscumpărare și notați extensiile fișierelor criptate, ora detectării, ultimele acțiuni ale utilizatorilor și erorile cunoscute. Nu redenumiți fișierele și nu rulați instrumente de decriptare necunoscute.
- Dacă procesul de criptare continuă și dispozitivul nu poate fi izolat de rețea, opriți-l. Dacă este disponibil un specialist în criminalistică digitală, consultați-l înainte de oprire, deoarece memoria operativă poate conține probe utile.
În prima oră
- Desemnați o persoană responsabilă de incident. Aceasta înregistrează ora, deciziile, persoanele implicate, dispozitivele afectate și starea copiilor de rezervă.
- Apelați la un specialist în răspuns la incidente. O scanare obișnuită cu antivirusul nu este suficientă pentru a verifica dacă în sistem au rămas conturi străine, servicii, sarcini, chei de acces sau alte mecanisme de revenire.
- Schimbați parolele de pe un dispozitiv verificat și curat. Începeți cu conturile administratorilor, e-mailul, VPN-ul, serviciile de acces la distanță, contul Google cu arhive și conturile furnizorului cloud. Închideți sesiunile active și emiteți din nou cheile de acces.
- Verificați întregul mediu. Lista include serverul, stațiile de lucru, casele, routerul, dispozitivele de stocare din rețea, e-mailul, conturile cloud și calculatoarele contractanților care s-au conectat la distanță.
- Raportați incidentul. Informațiile despre conținutul malițios pot fi transmise prin formularul de pe site-ul CERT-UA. O sesizare privind o infracțiune cibernetică poate fi depusă prin sistemul electronic de sesizări al Poliției Cibernetice. Dacă este posibil să fi fost divulgate date cu caracter personal, date de plată sau date contractuale, evaluați separat obligațiile legale și contractuale de notificare.
Dacă trebuie plătită răscumpărareaCISA, NIST și inițiativa autorităților de aplicare a legii No More Ransom recomandă să nu plătiți. Plata nu garantează primirea cheii, funcționarea instrumentului de decriptare, ștergerea datelor furate sau lipsa unor solicitări ulterioare. Înainte de a lua orice decizie, implicați autoritățile, un specialist în răspuns la incidente, un avocat și compania de asigurări, dacă există o asigurare cibernetică.
Cum se verifică posibilitatea decriptării
Păstrați copii ale datelor criptate, mesajul de răscumpărare și câteva perechi formate dintr-un «fișier criptat — originalul său intact», dacă acestea sunt disponibile. Serviciul Crypto Sheriff ajută la identificarea familiei de ransomware și la verificarea existenței unui instrument gratuit de decriptare. Lucrați cu o copie a datelor sub supravegherea unui specialist. Uneori apar ulterior chei noi, de aceea este recomandat să păstrați fișierele criptate chiar dacă momentan nu există o soluție.
Cum se restabilește Torgsoft după un atac
- Pregătiți un mediu curat. Folosiți un calculator nou sau reinstalați Windows pe serverul compromis după păstrarea probelor necesare. Instalați toate actualizările de securitate și configurați protecția și accesul la distanță.
- Găsiți cea mai recentă copie validă. Verificați arhiva cloud, discurile deconectate, copiile păstrate într-o altă locație și celelalte sisteme de stocare. Data arhivei determină câte operațiuni vor trebui restabilite manual.
- Verificați copia înainte de instalare. Arhiva trebuie să se deschidă, să corespundă dimensiunii și datei așteptate și să treacă verificarea pentru programe malițioase. Restabilirea trebuie efectuată într-un mediu izolat.
- Contactați serviciul de asistență tehnică Torgsoft. După pregătirea unui server sigur și a unei arhive valide, specialiștii vă vor ajuta să instalați programul și să restaurați baza de date.
- Verificați evidența. Comparați data ultimelor vânzări, stocurile, documentele de casă, mișcările de mărfuri, utilizatorii, șabloanele și fotografiile. Înregistrați perioada pierdută și planul de restabilire a acesteia pe baza documentelor primare.
Proprietarul companiei, împreună cu administratorul de sistem sau contractantul IT, asigură securitatea serverului Windows, a rețelei, a conturilor și a mediilor cu copii de rezervă. Serviciul de asistență tehnică Torgsoft nu decriptează fișierele afectate și nu poate obține o arhivă validă din date care au fost deja criptate sau distruse. După pregătirea unui server curat, specialiștii pot instala Torgsoft și pot restaura baza de date dintr-o copie adecvată. Uneori poate fi posibilă conectarea unui fișier .mdf recuperat, însă rezultatul depinde de integritatea și data fișierului și nu este garantat.
Migrarea pe un server închiriat necesită, de asemenea, o bază de date sau o arhivă validă. Noul mediu restabilește posibilitatea de a continua activitatea, iar datele de evidență pentru perioada anterioară pot fi recuperate numai dintr-o copie disponibilă.
De ce o copie păstrată pe același server nu oferă protecție
| Locul de păstrare a copiei | Protecție împotriva ransomware-ului | Motiv |
|---|---|---|
| Un alt dosar de pe discul C: | Scăzută | Aceeași instalare Windows, aceleași drepturi de administrator, același disc fizic și același mediu afectat. |
| Al doilea disc intern al serverului | Scăzută | Discul este accesibil permanent sistemului și atacatorului care deține drepturi de administrator. |
| Un disc USB conectat permanent | Scăzută | În timpul atacului, acesta funcționează ca un disc obișnuit și accesibil. |
| Un dosar din rețea cu drept permanent de scriere | Scăzută sau medie | Programul malițios poate cripta fișiere folosind drepturile utilizatorului compromis. |
| Un dosar cloud sincronizat ca disc | Medie | Deteriorarea și ștergerea se pot sincroniza; protecția depinde de versiunile fișierelor, coșul de gunoi și securitatea contului. |
| O arhivă cloud printr-un cont separat, fără un disc conectat permanent | Mai ridicată | Copia este păstrată în afara serverului și nu apare ca un dosar de rețea Windows obișnuit. Contul și permisiunile trebuie protejate separat. |
| Un disc deconectat sau un sistem de stocare imuabil | Cea mai ridicată dintre opțiunile enumerate | În momentul atacului nu există un canal disponibil prin care copia să poată fi modificată sau ștearsă. |
NCSC recomandă separarea administrării sistemului de backup de rețeaua principală, utilizarea unor date administrative de autentificare separate, solicitarea autentificării multifactor pentru acțiunile distructive, utilizarea mediilor deconectate sau a copiilor imuabile și păstrarea versiunilor anterioare pentru o perioadă stabilită.
O schemă practică de backup pentru un magazin
Pentru companiile mici și mijlocii este potrivit modelul 3–2–1–1–0:
- 3 copii ale datelor: baza de date de lucru și cel puțin două copii de rezervă;
- 2 medii de stocare diferite: de exemplu, un disc local pentru recuperare rapidă și un spațiu de stocare cloud;
- 1 copie în afara sediului principal sau a serverului;
- 1 copie offline sau într-un sistem de stocare imuabil;
- 0 erori neverificate: jurnalele de backup sunt monitorizate, iar restabilirea este testată periodic.
Stabiliți volumul acceptabil de date pierduteDacă magazinul poate reintroduce cel mult operațiunile dintr-o singură zi lucrătoare, o copie de rezervă validă trebuie creată zilnic sau mai des. Pentru o rețea cu un număr mare de vânzări, perioada acceptabilă de pierdere este de obicei mai scurtă. Stabiliți frecvența copierii și sarcina asupra bazei de date împreună cu un specialist IT și serviciul de asistență tehnică Torgsoft.
Cum se configurează o copie automată pe un disc protejat
- Rezervați mediul de stocare exclusiv pentru copii de rezervă. Nu păstrați pe acesta documente de lucru și nu rulați programe.
- Nu mențineți mediul conectat permanent. Conectați discul pentru copierea controlată, deconectați-l corect după finalizare și păstrați-l separat.
- Folosiți prin rotație cel puțin două discuri. În timp ce un dispozitiv primește o copie nouă, celălalt rămâne deconectat într-un alt loc sigur.
- Limitați drepturile. Utilizatorii obișnuiți și casierii nu trebuie să aibă permisiunea de a șterge copiile de rezervă. Datele de autentificare pentru backup nu trebuie folosite în activitatea zilnică.
- Protejați prin criptare datele de pe mediul de stocare. Păstrați cheia de recuperare separat de server și de disc.
- Automatizați monitorizarea. Persoana responsabilă primește notificări despre erori și verifică zilnic data ultimei copii și spațiul disponibil.
- Testați restabilirea. Verificați lunar deschiderea unei arhive recente într-un mediu izolat; efectuați trimestrial o restabilire de test completă și înregistrați durata și rezultatul.
Backupul automat pe disc nu trebuie să ducă la menținerea mediului de stocare conectat întreaga zi. Dacă procesul nu poate fi organizat în mod consecvent, este indicat un sistem de stocare cu versiuni imuabile și administrare separată.
Cum se configurează «Arhiva de date în cloud» în Torgsoft
Arhiva de date în cloud | Licență pentru 1 an creează automat o arhivă a bazei de date sau a directorului programului Torgsoft și o trimite în Google Drive conform unui program stabilit. Copiile sunt păstrate în dosarul TORGSOFT_CLOUD. Pentru sincronizarea fotografiilor se utilizează un dosar separat, TORGSOFT_CLOUD_SYNC.
- Creați un cont Google separat pentru arhive. Nu utilizați contul personal al unui angajat. Proprietarul companiei trebuie să controleze metodele de recuperare a accesului.
- Activați autentificarea multifactor. Este recomandată utilizarea unei chei de acces sau a unei chei hardware de securitate. Păstrați codurile de rezervă offline.
- Nu instalați pe server clientul de sincronizare Google Drive pentru acest dosar. Arhiva cloud trebuie să rămână separată de discurile și dosarele de rețea Windows obișnuite.
- Activați opțiunea. În Torgsoft, deschideți Setări → Sarcini programate → Arhivare în spațiul de stocare cloud.
- Adăugați o sarcină. Selectați tipul: arhiva bazei de date, directorul programului sau sincronizarea fotografiilor. Pentru o restabilire completă sunt necesare, de regulă, sarcini separate pentru baza de date și fișierele de lucru importante.
- Specificați perioada de păstrare. Păstrați mai multe copii din date diferite. Dacă este necesar, activați mutarea arhivelor vechi în coșul de gunoi în locul ștergerii definitive.
- Activați comprimarea arhivei bazei de date. Aceasta reduce volumul datelor transferate și spațiul utilizat în sistemul de stocare.
- Configurați un program zilnic. Arhivarea locală și cea în cloud nu trebuie să înceapă la aceeași oră. Dacă arhiva locală este creată la 17:00, programați sarcina cloud cel mai devreme la 17:10. Lăsați un interval de cel puțin 20 de minute între mai multe sarcini cloud.
- Autorizați contul Google, activați sarcina și salvați-o. Nu adăugați fișiere personale în
TORGSOFT_CLOUD, deoarece programul aplică acestui dosar perioada de păstrare configurată. - Verificați rezultatul. Consultați jurnalul de execuție, confirmați că o arhivă recentă a apărut în Google Drive, apoi efectuați o restabilire de test.
Sarcină omisăDacă la ora stabilită nu a existat o conexiune la internet, serverul aplicației nu a funcționat sau a apărut o eroare de autorizare, sarcina este amânată până la următoarea îndeplinire a condițiilor programului. Din acest motiv, jurnalul și data ultimei arhive create cu succes trebuie verificate periodic.
Arhiva cloud păstrează o copie în afara serverului și reduce riscul pierderii simultane a bazei de date de lucru și a arhivelor locale. Rezistența acesteia depinde de securitatea contului Google, perioada de păstrare, monitorizarea erorilor și drepturile de acces la cloud. Pentru datele critice, păstrați o copie offline sau imuabilă suplimentară.
Cum se protejează un server Windows pe care funcționează Torgsoft
În acest material, prin server se înțelege calculatorul Windows pe care este stocată baza de date Torgsoft. Chiar dacă este un calculator obișnuit din magazin, acesta trebuie să funcționeze ca un server dedicat.
- Utilizați serverul numai pentru Torgsoft și serviciile necesare. Nu deschideți pe acesta e-mailul, aplicațiile de mesagerie, rețelele sociale sau site-urile terțe. Nu descărcați documente, programe, drivere sau arhive din surse neverificate.
- Nu desfășurați activitatea zilnică folosind drepturi de administrator. Creați un cont standard separat și un cont administrativ separat pentru configurare.
- Mențineți actualizate Windows, SQL Server, routerul, VPN-ul și instrumentele de acces la distanță. Versiunile care nu mai primesc actualizări de securitate trebuie înlocuite sau izolate.
- Nu expuneți direct în internet portul RDP 3389. Organizați accesul la distanță printr-un VPN sau un gateway securizat, cu autentificare multifactor, conturi nominale și jurnalizarea conexiunilor.
- Închideți porturile și serviciile inutile. Permiteți accesul la SQL Server și la dosarele partajate numai dispozitivelor necesare din rețeaua locală. Portul SMB 445 nu trebuie să fie accesibil din internet.
- Separați rețelele. Serverul și casele nu trebuie să se afle în rețeaua Wi-Fi pentru oaspeți. Laptopurile de birou, camerele, televizoarele și telefoanele personale nu trebuie să aibă acces inutil la server.
- Activați și monitorizați protecția dispozitivului final. Antivirusul sau sistemul EDR trebuie să primească actualizări, să funcționeze în timp real și să fie protejat împotriva dezactivării. Regulile de reducere a suprafeței de atac, protecția dosarelor și controlul aplicațiilor permise trebuie testate mai întâi pentru compatibilitatea cu Torgsoft și SQL Server.
- Limitați programele și macrocomenzile. Un server dedicat nu are nevoie de editoare de birou, programe de arhivare, extensii de browser sau utilitare care nu participă la funcționarea Torgsoft.
- Folosiți parole unice și autentificare multifactor. Aceasta este obligatorie pentru e-mail, VPN, conturile cloud, asistența la distanță și conturile de backup.
- Păstrați jurnale și configurați notificări. Monitorizați autentificările nereușite, crearea conturilor de administrator, dezactivarea protecției, serviciile noi, conexiunile la distanță, erorile de backup și lipsa spațiului disponibil.
- Verificați accesul contractanților. Acordați acces pentru o perioadă stabilită și dezactivați-l după finalizarea lucrărilor. Înlocuiți parolele comune permanente cu conturi nominale.
- Protejați alimentarea cu energie electrică. O sursă neîntreruptibilă de alimentare și oprirea corectă a sistemului reduc riscul deteriorării bazei de date în timpul întreruperilor de curent.
În recomandările de securitate pentru SQL Server, Microsoft subliniază în mod separat protejarea RDP, închiderea porturilor prin firewall, instalarea la timp a actualizărilor, reducerea numărului de instrumente instalate și păstrarea unei copii de rezervă astfel încât un cont administrativ comun să nu o poată șterge. Pentru Windows, Microsoft recomandă și autentificarea multifactor, protecția împotriva modificărilor neautorizate, regulile de reducere a suprafeței de atac și instalarea rapidă a actualizărilor critice.
Plan minim de protecție pentru 30 de zile
| Termen | Acțiuni | Rezultat |
|---|---|---|
| Astăzi | Închideți accesul RDP direct, verificați actualizările și antivirusul, schimbați parolele administrative, activați autentificarea multifactor și creați o copie în afara serverului. | Este redus riscul celor mai frecvente metode de pătrundere și al pierderii complete a datelor. |
| În 7 zile | Activați «Arhiva de date în cloud», configurați un cont Google separat, verificați jurnalele și restabilirea de test și introduceți rotația discurilor offline. | Sunt disponibile mai multe metode independente de recuperare. |
| În 14 zile | Inventariați dispozitivele, separați rețelele, eliminați programele și drepturile de acces inutile și verificați contractanții și instrumentele de administrare la distanță. | Este redus numărul punctelor de intrare și posibilitatea răspândirii atacului. |
| În 30 de zile | Aprobați un plan scurt de răspuns, contactele persoanelor responsabile, volumul acceptabil de date pierdute, procedura de notificare și un test trimestrial de recuperare completă. | Proprietarul și angajații știu cine și ce trebuie să facă în timpul unui incident. |
Răspunsuri scurte la întrebările clienților
Serverul și toate arhivele au fost criptate. Poate Torgsoft să recupereze baza de date?
Numai dacă a rămas o arhivă validă sau un fișier intact al bazei de date. Serviciul de asistență tehnică nu dispune de un instrument universal pentru decriptarea datelor afectate de ransomware.
A fost recuperat un fișier .mdf. Poate fi restabilită activitatea?
Specialiștii pot verifica posibilitatea conectării acestuia. Fișierul trebuie să fie intact și să conțină date actuale. Dacă a fost creat cu câteva luni în urmă, evidența ulterioară acelei date va lipsi.
Va ajuta migrarea pe un server închiriat?
Acesta oferă un mediu nou pentru activitatea ulterioară. Istoricul evidenței este transferat dintr-o bază de date sau o arhivă validă, de aceea trebuie găsită mai întâi o copie adecvată.
Este suficientă «Arhiva de date în cloud»?
Aceasta reprezintă un nivel important de protecție de bază. Pentru datele critice, adăugați o copie offline sau imuabilă separată, protecție multifactor pentru contul Google, monitorizarea jurnalelor și teste periodice de restabilire.
Cât de des trebuie creată o arhivă?
Frecvența depinde de numărul operațiunilor și de volumul acceptabil de date pierdute. Pentru un magazin activ, o copie zilnică reprezintă nivelul minim. Dacă pierderea unei zile de lucru este inacceptabilă, este necesar un program mai frecvent, convenit cu un specialist IT și serviciul de asistență tehnică Torgsoft.
Serverul poate fi curățat cu un antivirus după atac și apoi folosit în continuare?
Acest lucru nu este suficient pentru o recuperare sigură. Atacatorul poate să fi creat conturi, sarcini, servicii și canale ascunse de acces suplimentare. O abordare sigură presupune investigarea incidentului, eliminarea metodei de pătrundere și instalarea pe un sistem curat.
Surse
- Verizon. 2026 Data Breach Investigations Report.
- Centrul Național de Coordonare a Securității Cibernetice. Analiza sistemului național de securitate cibernetică al Ucrainei pentru anul 2025.
- NIST IR 8374 Rev. 1. Ransomware Risk Management, June 2026.
- NIST SP 800-61 Rev. 3. Incident Response Recommendations and Considerations for Cybersecurity Risk Management.
- CISA. #StopRansomware Guide.
- UK National Cyber Security Centre. Principles for ransomware-resistant on-premises backups.
- Microsoft. Make it hard for ransomware attacks to happen to your organization.
- Microsoft. SQL Server security best practices.
- Europol și partenerii. No More Ransom.
- Torgsoft. Arhiva de date în cloud | Licență pentru 1 an.

Reveniți la pasul anterior