השעה 08:22. מנהל התפעול שולח הודעה: "כל הקבצים מוצפנים. יש הודעה על המסך שמבקשת ביטקוין." לא מאמינים. אבל זה קורה. ב-2025, 45% מהחברות הישראליות שנסקרו דיווחו על ניסיון מתקפת כופרה. 12% שילמו. האחרות - חלקן התאוששו, חלקן עדיין לא.

שעות 0-2: בלמו את הנזק

שעות 2-24: הערכת נזקים

אחרי הבלימה הראשונית, צוות ה-IR מתחיל למפות:

• אילו מכונות נפגעו ואילו לא?
• האם הגיבויים שלמים ולא נגועים?
• מה ה-Patient Zero - ממה התחילה המתקפה?
• האם התוקפים עדיין פעילים ברשת?
• האם נגנב מידע נוסף לפני ההצפנה (Double Extortion)?

האם לשלם את הכופר?

זו השאלה שכולם שואלים. התשובה הישרה: ברוב המקרים - לא. הסיבות:

• 40% מהחברות ששילמו לא קיבלו את הקבצים בחזרה - המפתח לא עבד, או שהתוקפים פשוט נעלמו
• 60% הותקפו שוב תוך שנה - התוקפים יודעים שאתם משלמים
• תשלום ביטקוין עלול לגרור אחריות משפטית במקרים מסוימים (sanction lists)
• הביטוח עשוי לא לכסות אם שילמתם בלי אישור מראש

אבל אם אין גיבויים שמישים, הנזק עצום, ועורך הדין מאשר - לפעמים זו ההחלטה הפחות גרועה. החלטה מושכלת עם יועצים, לא פאניקה.

ימים 1-21: התאוששות

הכל מתחיל מהגיבויים. אם הם תקינים, לא נגועים, ומכסים את הנתונים הקריטיים - אפשר לרדת מ-21 יום ל-3-5 ימים. אם גם הגיבויים הוצפנו - זה הסיוט האמיתי.

רשימת מניעה: מה עושים כבר עכשיו

• גיבויים offline מנותקים מהרשת (3-2-1 rule)
• MFA על כל חשבונות הגישה מרחוק
• EDR (Endpoint Detection and Response) על כל התחנות
• הדרכת עובדים פעם בשנה לפחות
• תרגיל IR לפחות פעם בשנה - לא לנהל את זה לראשונה תחת אש
• פוליסת ביטוח סייבר עם כיסוי ransomware מפורש

שאלות נפוצות

האם כדאי לשלם את הכופר?

ברוב המקרים לא. 40% מהחברות ששילמו לא קיבלו את הקבצים בחזרה, ו-60% הותקפו שוב תוך שנה. תשלום עלול לגרור אחריות משפטית. שקלו תשלום רק כמוצא אחרון עם אישור ייעוץ משפטי.

כמה זמן לוקחת התאוששות ממתקפת כופרה?

בלי הכנה - 21 יום בממוצע. עם גיבויים תקינים ומנותקים מהרשת - אפשר לקצר ל-3-5 ימים. לפי CISA (הסוכנות האמריקאית לאבטחת סייבר), גיבויים offline הם הגורם המכריע.

מה עושים כדי למנוע מתקפת כופרה?

גיבויים offline (כלל 3-2-1), MFA על כל גישה מרחוק, EDR על כל התחנות, הדרכות עובדים שנתיות, ותרגילי IR. לפי NIST Cybersecurity Framework - אלה הבסיס לכל ארגון.

קריאה נוספת: איך להפוך את העובד לקו ההגנה הראשון | שירותי אבטחת המידע שלנו | טעויות נפוצות במעבר לענן | טרנספורמציה דיגיטלית בלי כאוס

It's 8:22 AM. Your operations manager sends a message: "All files are encrypted. There's a message on the screen asking for Bitcoin." You don't believe it. But it happens. In 2025, 45% of Israeli companies surveyed reported a ransomware attempt. 12% of them paid. The others - some recovered, some are still not back to normal.

Hours 0-2: Contain the Damage

Should You Pay the Ransom?

This is the question everyone asks. The honest answer: in most cases - no. The reasons:

• 40% of companies that paid didn't get their files back - the key didn't work, or attackers simply disappeared
• 60% of them were attacked again within a year - attackers know you'll pay
• Bitcoin payment may carry legal liability in some cases (sanction lists)
• Your insurance may not cover if you paid without approval

Prevention Checklist: Do This Now

• Offline backups disconnected from the network (3-2-1 rule)
• MFA on all remote access accounts
• EDR (Endpoint Detection and Response) on all endpoints
• Employee training at least once a year
• IR exercise at least once a year - not real-time management
• Cyber insurance policy with explicit coverage

Frequently Asked Questions

Should you pay the ransomware ransom?

In most cases, no. 40% of companies that paid didn't get files back, and 60% were attacked again within a year. Payment may carry legal liability. Only consider it as a last resort with legal counsel. See CISA's Stop Ransomware guide for more.

How long does ransomware recovery take?

Without preparation, average recovery takes 21 days. With clean offline backups, it can be reduced to 3-5 days. The NIST Cybersecurity Framework recommends offline backups as a foundational control.

How can businesses prevent ransomware attacks?

Implement offline backups (3-2-1 rule), MFA on all remote access, EDR on all endpoints, annual employee training, annual IR exercises, and cyber insurance with explicit coverage.

Further reading: Turn employees into your first line of defense | Our Cybersecurity Services | Common Cloud Migration Mistakes | Digital Transformation Without Chaos