Sebagian besar bisnis yang pernah mengalami ransomware tidak kekurangan sistem backup. Yang kurang adalah prosedur respons yang jelas untuk 60 menit pertama — momen di mana keputusan yang salah bisa mengubah insiden terkendali menjadi krisis yang berlarut.
Data dari Veeam 2025 Ransomware Trends Report, yang mensurvei 1.300 organisasi, menunjukkan bahwa hanya 10% perusahaan yang berhasil memulihkan lebih dari 90% datanya setelah serangan. Sisanya kehilangan sebagian besar data — bukan karena tidak punya backup, tapi karena respons di momen awal tidak terstruktur.
Menit 0–10: Satu Prioritas Saat Laptop Kena Ransomware
Hal pertama yang harus dilakukan saat laptop kena ransomware adalah memutus koneksi perangkat dari jaringan — secepat mungkin, sebelum enkripsi menyebar ke perangkat lain atau ke shared drive.
Cara paling cepat: cabut kabel ethernet, matikan Wi-Fi, nonaktifkan koneksi VPN dari perangkat yang terinfeksi. Jika menggunakan solusi endpoint protection seperti Acronis Cyber Protection, fitur isolasi endpoint bisa dilakukan dari console admin tanpa harus mendatangi perangkat secara fisik — ini sangat berguna jika karyawan bekerja dari lokasi berbeda.
Satu hal yang perlu dipahami: jangan matikan perangkat dulu. Panduan resmi CISA (#StopRansomware Guide) secara eksplisit menyarankan untuk mematikan perangkat hanya jika tidak ada cara lain untuk memutus koneksi jaringan — karena mematikan terlalu cepat bisa menghapus log sistem, proses aktif, dan data di memori yang berguna untuk analisis forensik.
Sambil melakukan isolasi, tugaskan satu orang sebagai incident lead: satu orang yang bertanggung jawab mengkoordinasikan respons, membuat keputusan, dan menjadi titik komunikasi. Veeam mencatat bahwa bisnis dengan rantai komando yang sudah terdefinisi sebelum insiden terjadi memiliki hasil pemulihan yang jauh lebih baik dibanding yang baru menentukan peran di tengah situasi.
Menit 10–30: Peta Kerusakan dan Validasi Backup
Setelah perangkat yang terinfeksi terisolasi, langkah berikutnya adalah menentukan seberapa jauh ransomware sudah menyebar. Periksa perangkat lain di jaringan yang sama — terutama yang berbagi akses ke folder atau drive yang sama dengan perangkat terinfeksi.
Bersamaan dengan itu, incident lead perlu segera memvalidasi satu hal: apakah backup terakhir masih bersih dan bisa digunakan untuk restore?
Ini adalah momen di mana kualitas backup bisnis Anda diuji dalam kondisi nyata. Jika backup tersimpan dengan immutable storage — format yang tidak bisa dimodifikasi atau dihapus oleh ransomware — maka recovery punya fondasi yang solid. Jika backup disimpan di lokasi yang bisa diakses dari jaringan yang sama dengan sistem yang terinfeksi, ada kemungkinan backup juga sudah terkena. Riset Veeam mencatat bahwa 89% pelaku ransomware secara aktif mengincar file backup sebagai target awal serangan.
Catat semua tindakan yang diambil dengan timestamp: jam berapa isolasi dilakukan, jam berapa backup divalidasi, siapa yang melakukan apa. Catatan ini akan dibutuhkan untuk pelaporan ke asuransi siber, regulator, atau keperluan forensik.
Menit 30–60: Komunikasi dan Keputusan Pemulihan
Tunggu dulu — banyak bisnis di titik ini langsung ingin memulai restore. Ini sering jadi kesalahan. Sebelum memulai pemulihan, ada tiga komunikasi yang perlu dilakukan terlebih dahulu.
Pertama, informasikan ke manajemen atau pemilik bisnis dalam bahasa yang tidak teknis: sistem terisolasi untuk mencegah penyebaran, tim sedang mengevaluasi kondisi backup dan menyiapkan proses pemulihan, update berikutnya dalam beberapa jam. Komunikasi internal yang tenang dan terstruktur mencegah kepanikan yang mempersulit respons.
Kedua, hubungi provider asuransi siber jika bisnis memilikinya. Banyak polis mensyaratkan notifikasi dalam 24 jam pertama setelah insiden terdeteksi — keterlambatan bisa mempengaruhi klaim.
Ketiga, tentukan urutan prioritas restore. Sistem mana yang paling kritikal untuk operasional? Biasanya ini adalah sistem yang langsung berhubungan dengan revenue, akses email dan komunikasi, serta database pelanggan atau transaksi. Restore dilakukan bertahap: sistem paling kritikal lebih dulu, di lingkungan yang terisolasi, diverifikasi bersih sebelum dikoneksikan kembali ke jaringan produksi.
Setelah 60 Menit: Dua Kesalahan yang Perlu Dihindari
Ada dua kesalahan yang sering dilakukan setelah jendela 60 menit pertama dan keduanya bisa memperburuk situasi secara signifikan.
Kesalahan pertama adalah membayar tebusan tanpa mengeksplorasi opsi lain. Data dari Veeam menunjukkan bahwa 17% bisnis yang membayar tebusan tetap tidak berhasil memulihkan datanya. Membayar tidak menjamin enkripsi bisa dibuka, dan 69% bisnis yang membayar dilaporkan diserang kembali. Eksplorasi apakah ada backup bersih yang bisa digunakan untuk restore sebelum mempertimbangkan opsi lain.
Kesalahan kedua adalah langsung membersihkan dan memformat perangkat tanpa imaging forensik terlebih dahulu. Bukti tentang bagaimana ransomware masuk — vektor serangan, akun yang dikompromikan, celah yang dieksploitasi — ada di sistem yang terinfeksi. Tanpa informasi ini, celah yang sama bisa dieksploitasi kembali setelah pemulihan.
Untuk backup email yang terpisah dari infrastruktur utama, Dropsuite memastikan komunikasi bisnis tetap bisa diakses dan dipulihkan bahkan ketika sistem utama sedang dalam proses recovery. Dan untuk proteksi jaringan yang mencegah penyebaran lateral ransomware antar perangkat, NordLayer menyediakan segmentasi jaringan yang membatasi jangkauan insiden.
Pertanyaan yang Sering Diajukan
Apakah laptop yang kena ransomware harus langsung dimatikan?
Tidak direkomendasikan. Panduan CISA menyarankan untuk mengutamakan isolasi jaringan terlebih dahulu — cabut ethernet, matikan Wi-Fi — dan hanya mematikan perangkat jika tidak ada cara lain untuk memutus koneksi. Mematikan terlalu cepat bisa menghapus bukti forensik di memori sistem yang berguna untuk memahami vektor serangan.
Berapa lama rata-rata proses pemulihan setelah laptop kena ransomware?
Bergantung pada kesiapan backup dan prosedur restore yang ada. Berdasarkan data industri terbaru, rata-rata waktu pemulihan dari serangan ransomware di 2025 adalah 24,6 hari. Bisnis dengan backup yang teruji dan prosedur yang terdokumentasi bisa memulihkan sistem kritikal jauh lebih cepat dari angka rata-rata itu. Tanpa persiapan yang memadai, pemulihan bisa memakan waktu berminggu-minggu.
Apakah perlu melapor ke pihak berwenang jika bisnis kena ransomware?
Di Indonesia, insiden yang melibatkan kebocoran atau kerusakan data pribadi berpotensi masuk dalam kewajiban pelaporan di bawah UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi. Selain itu, melapor ke BSSN (Badan Siber dan Sandi Negara) bisa membuka akses ke asistensi teknis dari pemerintah. Konsultasikan dengan konsultan hukum untuk kepastian kewajiban pelaporan spesifik bisnis Anda.
Bagaimana cara tahu apakah backup sudah bersih dari ransomware sebelum melakukan restore?
Backup yang tersimpan sebagai immutable storage lebih aman untuk dijadikan sumber restore. Selain itu, lakukan scan backup dengan solusi keamanan sebelum proses restore dimulai, dan restore ke lingkungan sandbox yang terisolasi terlebih dahulu sebelum menghubungkan kembali ke jaringan produksi. Ini adalah standar yang direkomendasikan dalam panduan #StopRansomware dari CISA.
Ransomware bukan lagi ancaman yang hanya mengincar perusahaan besar. Bisnis skala menengah justru sering jadi target karena diasumsikan tidak punya kapasitas pemulihan yang memadai. Dengan prosedur respons yang terdokumentasi dan backup yang sudah teruji, dampak insiden bisa dibatasi secara signifikan — bahkan sebelum tim keamanan eksternal sempat dihubungi.
Punya pertanyaan atau butuh solusi IT?
Hubungi tim Pixa Teknologi untuk konsultasi gratis.
Hubungi Kami →