Ransomware — útok šifrující data
Útok, který zašifruje tvoje data a chce výkupné za jejich obnovení.
Co to je
Škodlivý program zašifruje soubory v zařízení (i v připojených síťových úložištích nebo cloudu) a útočník požaduje platbu — obvykle v kryptoměně — výměnou za dešifrovací klíč. Žádná záruka, že po zaplacení data opravdu dostaneš zpět.
Proč to záleží
Nejúčinnější obrana není antivirus, ale zálohy — verzované, oddělené, pravidelně testované obnovou. Pokud máš zálohu z předvčerejška, ransomware je nepříjemnost na jeden den, ne katastrofa.
Jak útok funguje
Typický ransomware útok má 4 fáze:
- Vstup — útočník se dostane do tvého zařízení nebo firemní sítě. Tři dominantní cesty:
- Phishing s přílohou (viz phishing) — Word/Excel dokument s makrem, nebo PDF s odkazem na nakažený soubor. Otevřeš, makro spustí stahování malwaru.
- Hack vzdáleného přístupu — RDP/VPN s slabým heslem, neaktualizovaný server, exposed firemní služba. Útočník se přihlásí jako legitimní uživatel.
- Software supply chain — nakažená aktualizace legitimního software, pirátská kopie placeného programu.
- Pohyb v síti (lateral movement) — útočník neútočí hned. Tichou dobu (dny až týdny) průzkumuje, hledá zálohy, file servery, doménový kontrolér. Cíl: rozšířit přístup, najít všechny zálohy.
- Exfiltrace dat (double extortion) — moderní ransomware nejen zašifruje, ale nejdřív data zkopíruje k útočníkovi. Pak ti grozí dvěma věcmi: (a) data ztratíš (potřebuješ klíč), (b) data zveřejní, pokud nezaplatíš. Druhá hrozba funguje i tehdy, když máš dobré zálohy.
- Šifrování — naráz spustí šifrování všeho — soubory na disku, mapované síťové disky, cloud sync (OneDrive, Dropbox propojené složky), zálohy, které mohl smazat nebo přepsat. Obrazovka ti ukáže výkupné (typicky $1k–$10M v Bitcoinu/Monero) s 72h deadline.
Cíle: 60+ % ransomware útoků dnes míří na malé a střední firmy (10–500 zaměstnanců) a obce. Jednotlivci občas. Důvod: SMBs mají hodnotná data, ale obvykle slabší obranu než velké korporace.
Jak se chránit
Zálohy jsou jediná obrana, která funguje vždy. 3-2-1 pravidlo:
- 3 kopie dat (originál + 2 zálohy)
- 2 různá média (disk + cloud, NAS + external SSD)
- 1 kopie offsite (cloud nebo fyzicky mimo budovu)
Klíčový detail: alespoň jedna záloha musí být immutable nebo air-gapped — útočník na ni nesmí dosáhnout z primárního systému. Mapovaná síťová záloha NESPLŇUJE tento požadavek (ransomware ji zašifruje stejně). Backblaze B2 s Object Lock, AWS S3 s versioning + MFA delete, NAS s pull-only zálohováním přes Borg/Restic, fyzický disk odpojený po každém běhu — ano. NAS, který je permanentně mountovaný, NE.
Testuj obnovu, ne jen "dělám zálohy". Jednou za 3 měsíce vyzkoušej, jestli můžeš opravdu obnovit konkrétní soubor. Bez testu nevíš, jestli záloha funguje (typicky se přijde na to až při skutečné krizi).
Prevence vstupu:
- Patch management — aktualizace OS, aplikací, firmware. Zranitelnosti, které ransomware používá, jsou typicky 6–24 měsíců staré a mají dávno k dispozici záplaty.
- MFA na všechny vzdálené přístupy (RDP, VPN, cloud konzole). Bez 2FA stačí jediné slabé heslo.
- Phishing trénink — pro firmy nutnost, pro jednotlivce kritické myšlení (viz phishing). Drtivá většina vstupů přes přílohu z mailu.
- Princip minimálních práv — uživatelské účty bez admin práv, oddělené prostředí pro účetnictví a kritické systémy. Když ransomware spadne na účet bez admin práv, většinou nezašifruje celou síť.
- Endpoint Detection & Response (EDR) — pro firmy: Microsoft Defender for Business, CrowdStrike, SentinelOne. Klasický antivirus nestačí proti moderním rodinám ransomwaru.
Když k tomu dojde (postup):
- Odpoj zařízení od sítě (Wi-Fi off, kabel ven) — zabrániš šíření.
- NEVYPÍNEJ zařízení rovnou — některé klíče k dešifrování jsou v paměti. Forensic tým bude potřebovat zapnuté zařízení.
- Nahlas — pro firmu: IT/security tým, jurist, případně CISO. Pro jednotlivce: Policie ČR (kybernetický odbor), NÚKIB.
- NEPLAŤ HNED — 50 % obětí, které zaplatí, data nedostane zpět nebo dostane jen část. Plus financuješ další útoky.
- Obnov ze zálohy — pokud máš 3-2-1, jsi za den zpátky. Pokud ne, dej hodinu sám sobě před zaplacením a zvaž externí pomoc (DR služby, NÚKIB).
Časté mýty
Mýtus"Mám antivirus, ransomware se ke mně nedostane."
RealitaKlasický antivirus zachytí <30 % moderních ransomware rodin (typicky zero-day a custom varianty útočníků). Stačí jeden uživatel, který otevře přílohu, a šifrování běží. Antivirus je užitečný, ale **není primární obrana** — tou je 3-2-1 zálohy + MFA + patch management + omezená práva.
Mýtus"Když se to stane, zaplatíme a máme to za sebou."
RealitaPolovina obětí po zaplacení nedostane funkční dešifrovací klíč, nebo dostane jen část. Druhá polovina dostane klíč, ale ransomware běží **týdny pomalu** (10s GB/h) — produkční downtime je stejně 1–3 týdny. Plus se vystavíš na "platí seznam" pro další útočníky. Záloha + obnova = několik hodin.
Mýtus"Jsem moc malej, abych byl cíl. Útočí na velké firmy."
RealitaPřesný opak. 60+ % ransomware útoků míří na firmy s 10–500 zaměstnanci a na obce. Velké korporace mají SOC tým, EDR, segmentaci. Malá firma se mzdovou agendou a zákaznickou databází je ideální cíl: hodnotná data, slabá obrana, $50–500k schopná zaplatit.
Quick checklist
Pro jednotlivce:
- 3-2-1 zálohy pro fotky a důležité dokumenty (cloud + external disk).
- Externí disk odpojený mezi zálohovacími běhy (nebo cloud s versioning).
- Aktualizace OS a aplikací automaticky.
- MFA na e-mail, cloud storage a banking.
- Účet pro běžnou práci bez admin práv (Windows i Mac to umí v Nastavení).
Pro firmu (i živnostníka):
- Zálohy s immutable úložištěm (Object Lock, MFA delete, air-gapped).
- Testovaná obnova alespoň 1× za 3 měsíce — ne "dělám zálohy", ale "vím, že se to obnoví".
- MFA na VPN, RDP, e-mail, cloud konzole. Bez výjimky.
- EDR nasazený na všechna zařízení (Defender for Business minimum).
- Patch management — auto-update + monitoring + ruční kontrola kritických aktualizací.
- Segmentace sítě — účetnictví / produkční systémy / wifi pro hosty na různých VLAN.
- Phishing trénink alespoň 1× ročně.
- Incident response plán — kdo komu volá, jaké zálohy jsou kde, právní kontakt, NÚKIB kontakt. Mít to vytištěné.
Když právě teď útok běží:
- Odpojit zařízení od sítě (NE vypnout).
- Zavolat IT / security tým / NÚKIB / Policii ČR.
- Nevyjednávat sám — kontaktovat odbornou pomoc.
- Začít plánovat obnovu ze zálohy.
Podobná témata
Souvisí s kategoriemi v testu: Ransomware útok — reakce, Zálohovací strategie
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.