Kort svar
Koppla genast bort de drabbade datorerna från nätverket men stäng dem inte av — då bevaras bevis. Larma din IT-partner, dokumentera allt och rör inte filerna. Berörs personuppgifter ska incidenten anmälas till IMY inom 72 timmar. Betala aldrig lösensumman. Återställ först från en testad backup i en rensad miljö.
Det första du gör efter en ransomware-attack avgör hur dyr den blir. Koppla omedelbart bort de drabbade datorerna från nätverket — men stäng dem inte av, då riskerar du att förlora bevis. Larma din IT-partner, rör inte de krypterade filerna och börja dokumentera vad du ser. Checklistan nedan tar dig genom det första dygnet: hur du isolerar och bevarar bevis, vem du anmäler till, varför du inte ska betala och hur du återställer säkert.
Vad gör du de första timmarna efter en attack?
Isolera, larma och dokumentera — i den ordningen. De första timmarna handlar om att stoppa spridningen och bevara spår, inte om att genast återställa. Ju snabbare du kapar nätverket, desto färre maskiner och backuper hinner krypteras.
- Koppla bort nätverket — dra nätverkskabeln och stäng av wifi på alla drabbade enheter. Stäng inte av själva datorn.
- Larma IT — kontakta din interna IT eller din IT-partner direkt, innan du gör något mer.
- Skydda backupen — koppla bort backup-enheter och delade mappar så att de inte hinner krypteras.
- Dokumentera — fotografera lösensedeln, notera klockslag, drabbade konton och hur du upptäckte det.
- Rör inget mer — öppna inga filer, radera inget och betala inget i det här läget.
Hur isolerar du utan att förstöra bevisen?
Koppla bort enheten från nätverket men låt den vara påslagen. Att stänga av, installera om eller formatera raderar loggar och spår som behövs för både polisutredning och försäkringsärende. En avstängd disk berättar mycket mindre om vad som faktiskt hänt.
Isolera brett hellre än smalt: misstänker du att ett konto är kapat, spärra det och avsluta aktiva sessioner. Låt en specialist kartlägga hur långt angriparen kommit innan något återställs — annars riskerar du att bygga upp miljön på nytt ovanpå en bakdörr som fortfarande står öppen.
Rör inte detta i isoleringsläget:
- Stäng inte av, installera inte om och formatera inte — då raderas loggar och spår.
- Radera inga filer och kör ingen rensning som tar bort skadlig kod innan miljön kartlagts.
- Återanslut inte enheten till nätet förrän en specialist bedömt den.
Vem ska du anmäla till — och när?
Polisen alltid, Integritetsskyddsmyndigheten (IMY) inom 72 timmar om personuppgifter berörts, och CERT-SE för teknisk vägledning. En ransomware-attack är både ett dataintrång och ett utpressningsförsök — det är brott som ska anmälas.
| Vem | När | Hur |
|---|---|---|
| Polisen | Så tidigt som möjligt | Gör en polisanmälan om dataintrång |
| IMY (om personuppgifter) | Inom 72 timmar från upptäckt | e-tjänst på imy.se |
| CERT-SE (del av NCSC/FRA) | Tidigt, för stöd | cert.se, 010-382 80 00 |
| Försäkringsbolag / berörda kunder | Enligt avtal och risk | Direktkontakt |
Kravet på 72 timmar följer av GDPR och gäller personuppgiftsincidenter — alltså när data läckt, ändrats eller blivit oåtkomlig. Sedan 1 oktober 2022 vidarebefordrar CERT-SE dessutom inkomna it-incidenter som verkar vara brott till Polisen.
Har ni ingen egen IT-avdelning som kan ta hanteringen? Vår IT-drift och support kan larmas för att isolera, kartlägga och driva återställningen medan ni håller verksamheten igång.
Ska du betala lösensumman?
Nej. CERT-SE, Sveriges nationella CSIRT och en del av Nationellt cybersäkerhetscenter (NCSC), avråder från att betala. Skälen är konkreta:
- Ingen garanti — du kan betala och ändå inte få tillbaka datan.
- Finansierar brott — pengarna går till att utveckla nästa attack.
- Ökad risk — den som betalat pekas ut som ett villigt mål och drabbas oftare igen.
Betalning löser inte heller grundproblemet: sårbarheten som släppte in angriparen finns kvar tills den täpps till.
Hur återställer du säkert efter en attack?
Bygg en ren miljö och återställ från en testad backup — återanslut aldrig en smittad maskin till den nystädade miljön. Målet är att komma tillbaka utan att ta med sig vare sig kryptering eller kvarvarande åtkomst.
- Bekräfta att angriparen är ute — spärra kapade konton, byt lösenord och nycklar.
- Installera om drabbade system från grunden — förlita dig inte på att rensa en infekterad maskin.
- Återställ data från backup — helst en kopia som legat offline eller oåtkomlig för angriparen.
- Verifiera innan driftsättning — kontrollera att det återställda är rent och fullständigt.
- Följ upp — täpp till vägen in och skärp bevakningen under veckorna direkt efter incidenten.
En trovärdig backup följer 3-2-1-principen: 3 kopior av datan, på 2 olika medier, varav 1 förvaras utanför nätet. Vad återställningen kostar avgörs främst av omfattningen och backupens kvalitet — med en testad backup kan de viktigaste systemen vara igång inom några timmar till något dygn, medan återställning utan fungerande backup kan ta dagar eller veckor med specialisthjälp. Det är därför backupen är den enskilt största kostnadsdrivaren, inte antalet datorer.
Hur förebygger du nästa attack?
De flesta angrepp utnyttjar samma få luckor — täpp till dem så minskar risken markant:
- Flerfaktorsinloggning (MFA) på all inloggning utifrån, särskilt e-post och fjärråtkomst.
- Uppdatera och patcha operativsystem och program utan dröjsmål.
- Minsta behörighet — ingen använder ett administratörskonto i vardagen.
- Segmenterad, offline backup enligt 3-2-1, som testas regelbundet.
- Phishing-utbildning — de flesta intrång börjar med ett klick i ett mejl.
Vill du veta om er miljö skulle klara en attack — och om er backup faktiskt går att återställa? Det är precis det vi går igenom inom säkerhet och backup. Boka en genomgång så testar vi skyddet innan det ställs på prov.
Den här guiden är allmän vägledning, inte juridisk rådgivning. Vid en pågående incident bör du kontakta din IT-partner, Polisen och vid behov IMY.
Vanliga frågor
Ska vi betala lösensumman vid en ransomware-attack?
Nej. CERT-SE avråder från att betala, eftersom det inte finns någon garanti för att du får tillbaka datan och betalning finansierar fortsatt brottslighet. Företag som betalar löper också större risk att drabbas igen. Prioritera i stället att återställa från en testad backup och att anmäla incidenten.
Måste en ransomware-attack anmälas till IMY?
Ja, om personuppgifter har berörts. Då är det en personuppgiftsincident som ska anmälas till Integritetsskyddsmyndigheten inom 72 timmar från att den upptäcktes. Har inga personuppgifter påverkats behöver du inte anmäla till IMY, men en polisanmälan bör alltid göras.
Ska vi göra en polisanmälan?
Ja. Ransomware är både ett dataintrång och ett utpressningsbrott, och en polisanmälan bör göras så tidigt som möjligt så att loggar och spår inte hinner försvinna. Sedan 1 oktober 2022 vidarebefordrar CERT-SE dessutom inkomna it-incidenter som verkar vara brott till Polisen.
Kan krypterade filer räddas utan att betala?
Ibland. För en del ransomware-familjer finns fria dekrypteringsverktyg, och i övrigt är en testad backup den säkra vägen tillbaka. Stäng inte av och formatera inte de drabbade datorerna innan de undersökts, eftersom det kan förstöra både bevis och möjligheten att återställa.
Hur lång tid tar det att återhämta sig efter ransomware?
Det beror helt på backupen. Med en testad, separat backup kan de viktigaste systemen ofta vara igång inom några timmar till något dygn. Utan fungerande backup kan återställningen ta dagar eller veckor och kräva specialisthjälp — vilket är den enskilt största kostnadsdrivaren.
Hur förhindrar vi att det händer igen?
Med flerfaktorsinloggning, uppdaterade system, minsta möjliga behörigheter och en backup som ligger separat och offline enligt 3-2-1-principen. Lägg till återkommande phishing-utbildning och testade återställningar, så täcker du de vanligaste vägarna in.