Расскажу свою историю, чтобы другие учились на чужих ошибках. В пятницу вечером прилетел шифровальщик (предположительно, через фишинг на почту завхоза). Зашифровал сервер МИС (Windows+SQL Server). Хорошо, что резервное копирование мы делали на отдельный NAS, который был физически отключен от сети (копия раз в сутки по расписанию и отключение шары). И была еще одна копия на внешнем диске, который я уносил домой раз в неделю (правило 3-2-1).
Восстанавливали VM из бекапа полностью, потеряли только данные за сутки (пятница). Атака была около 20:00, бекап был от 04:00. Пациенты 6 человек не попали в запись, пришлось извиняться.
Как у вас организован бэкап? Тестируете ли восстановление (у нас, кстати, на тестовой среде раз в месяц)? Боитесь ли шифровальщиков? Есть ли инструкция для персонала на случай атаки («выключить компьютер, не трогать, позвонить админу»)?