Wylistuj szczegółowe informacje o systemie operacyjnym, konfiguracji sieci i połączeniach, działających procesach, usługach, zaplanowanych zadaniach, informacje o użytkownikach. Zabezpiecz materiał od najbardziej ulotnego i nie przeprowadzaj analizy bezpośrednio na zainfekowanym urządzeniu.
Pamiętaj, że na niektórych podmiotach, w tym na instytucjach samorządowych, ciąży prawny obowiązek przedsięwzięcia niezbędnych czynności do przybycia Policji lub biegłego, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.

Określ, jakiego rodzaju incydentem objęta jest Twoja organizacja. Spróbuj określić zakres i wskazać, jaki wpływ ma na funkcjonowanie Twojej organizacji i/lub innych organizacji lub osób. Na przykład - nawet jeśli incydentem objęte są wyłącznie systemy księgowe może oznaczać to paraliż, ponieważ nie będzie mogła być ewidencjonowana i prowadzona sprzedaż. 

W zależności od rodzaju incydentu i jego skutków, a także od sektora i rodzaju podmiotu, możesz podlegać różnym obowiązkom raportowym. Poza powiadomieniem Policji lub prokuratury, możesz mieć obowiązek powiadomienia m.in. Prezesa Urzędu Ochrony Danych Osobowych, właściwego CSIRT na poziomie krajowym oraz regulatora (np. KNF lub URE).

Poleganie wyłącznie na wewnętrznym zespole IT w obsłudze incydentu ransomware nie zawsze jest rozwiązaniem optymalnym. Zespół wewnętrzny może nie posiadać wyspecjalizowanych kompetencji w zakresie zabezpieczenia materiału do analizy i analizy powłamaniowej, ograniczania ataku i jego skutków (np. wycieków), ani w zakresie niezbędnych zmian, jakich należy dokonać w architekturze systemu i zabezpieczeniach, aby w bezpieczny i sprawny sposób przywrócić ciągłość działania oraz zminimalizować ryzyko wystąpienia podobnego ataku w przyszłości. 

Może się również zdarzyć, że wewnętrzny dział nie będzie zainteresowany odkryciem przyczyn i przebiegu incydentu w obawie przed poniesieniem negatywnych konsekwencji zaniedbań i błędów konfiguracyjnych lub celowego działania (w skrajnych przypadkach).