Identificar equipos comprometidos y su aislamiento
Es importante identificar qué equipos fueron comprometidos, se cifraron archivos o se bloqueó el acceso; para luego aislarlos de la red y evitar que se propague hacia aquellos equipos que están en la misma red.
En el caso de contar con un Active Directory o Lightweight Directory Access Protocol (LDAP) en la misma red, también aislarlo, realizar una búsqueda de posibles modificaciones en las contraseñas, roles o grupos de los usuarios con permisos administrativos.