Přeskočit na obsah
OwlGuardScore

Ransomware — útok šifrující data

Útok, který zašifruje tvoje data a chce výkupné za jejich obnovení.

Co to je

Škodlivý program zašifruje soubory v zařízení (i v připojených síťových úložištích nebo cloudu) a útočník požaduje platbu — obvykle v kryptoměně — výměnou za dešifrovací klíč. Žádná záruka, že po zaplacení data opravdu dostaneš zpět.

Proč to záleží

Nejúčinnější obrana není antivirus, ale zálohy — verzované, oddělené, pravidelně testované obnovou. Pokud máš zálohu z předvčerejška, ransomware je nepříjemnost na jeden den, ne katastrofa.

Jak útok funguje

Typický ransomware útok má 4 fáze:

  1. Vstup — útočník se dostane do tvého zařízení nebo firemní sítě. Tři dominantní cesty:
    • Phishing s přílohou (viz phishing) — Word/Excel dokument s makrem, nebo PDF s odkazem na nakažený soubor. Otevřeš, makro spustí stahování malwaru.
    • Hack vzdáleného přístupu — RDP/VPN s slabým heslem, neaktualizovaný server, exposed firemní služba. Útočník se přihlásí jako legitimní uživatel.
    • Software supply chain — nakažená aktualizace legitimního software, pirátská kopie placeného programu.
  2. Pohyb v síti (lateral movement) — útočník neútočí hned. Tichou dobu (dny až týdny) průzkumuje, hledá zálohy, file servery, doménový kontrolér. Cíl: rozšířit přístup, najít všechny zálohy.
  3. Exfiltrace dat (double extortion) — moderní ransomware nejen zašifruje, ale nejdřív data zkopíruje k útočníkovi. Pak ti grozí dvěma věcmi: (a) data ztratíš (potřebuješ klíč), (b) data zveřejní, pokud nezaplatíš. Druhá hrozba funguje i tehdy, když máš dobré zálohy.
  4. Šifrování — naráz spustí šifrování všeho — soubory na disku, mapované síťové disky, cloud sync (OneDrive, Dropbox propojené složky), zálohy, které mohl smazat nebo přepsat. Obrazovka ti ukáže výkupné (typicky $1k–$10M v Bitcoinu/Monero) s 72h deadline.

Cíle: 60+ % ransomware útoků dnes míří na malé a střední firmy (10–500 zaměstnanců) a obce. Jednotlivci občas. Důvod: SMBs mají hodnotná data, ale obvykle slabší obranu než velké korporace.

Jak se chránit

Zálohy jsou jediná obrana, která funguje vždy. 3-2-1 pravidlo:

  • 3 kopie dat (originál + 2 zálohy)
  • 2 různá média (disk + cloud, NAS + external SSD)
  • 1 kopie offsite (cloud nebo fyzicky mimo budovu)

Klíčový detail: alespoň jedna záloha musí být immutable nebo air-gapped — útočník na ni nesmí dosáhnout z primárního systému. Mapovaná síťová záloha NESPLŇUJE tento požadavek (ransomware ji zašifruje stejně). Backblaze B2 s Object Lock, AWS S3 s versioning + MFA delete, NAS s pull-only zálohováním přes Borg/Restic, fyzický disk odpojený po každém běhu — ano. NAS, který je permanentně mountovaný, NE.

Testuj obnovu, ne jen "dělám zálohy". Jednou za 3 měsíce vyzkoušej, jestli můžeš opravdu obnovit konkrétní soubor. Bez testu nevíš, jestli záloha funguje (typicky se přijde na to až při skutečné krizi).

Prevence vstupu:

  • Patch management — aktualizace OS, aplikací, firmware. Zranitelnosti, které ransomware používá, jsou typicky 6–24 měsíců staré a mají dávno k dispozici záplaty.
  • MFA na všechny vzdálené přístupy (RDP, VPN, cloud konzole). Bez 2FA stačí jediné slabé heslo.
  • Phishing trénink — pro firmy nutnost, pro jednotlivce kritické myšlení (viz phishing). Drtivá většina vstupů přes přílohu z mailu.
  • Princip minimálních práv — uživatelské účty bez admin práv, oddělené prostředí pro účetnictví a kritické systémy. Když ransomware spadne na účet bez admin práv, většinou nezašifruje celou síť.
  • Endpoint Detection & Response (EDR) — pro firmy: Microsoft Defender for Business, CrowdStrike, SentinelOne. Klasický antivirus nestačí proti moderním rodinám ransomwaru.

Když k tomu dojde (postup):

  1. Odpoj zařízení od sítě (Wi-Fi off, kabel ven) — zabrániš šíření.
  2. NEVYPÍNEJ zařízení rovnou — některé klíče k dešifrování jsou v paměti. Forensic tým bude potřebovat zapnuté zařízení.
  3. Nahlas — pro firmu: IT/security tým, jurist, případně CISO. Pro jednotlivce: Policie ČR (kybernetický odbor), NÚKIB.
  4. NEPLAŤ HNED — 50 % obětí, které zaplatí, data nedostane zpět nebo dostane jen část. Plus financuješ další útoky.
  5. Obnov ze zálohy — pokud máš 3-2-1, jsi za den zpátky. Pokud ne, dej hodinu sám sobě před zaplacením a zvaž externí pomoc (DR služby, NÚKIB).

Časté mýty

  • Mýtus"Mám antivirus, ransomware se ke mně nedostane."

    RealitaKlasický antivirus zachytí <30 % moderních ransomware rodin (typicky zero-day a custom varianty útočníků). Stačí jeden uživatel, který otevře přílohu, a šifrování běží. Antivirus je užitečný, ale **není primární obrana** — tou je 3-2-1 zálohy + MFA + patch management + omezená práva.

  • Mýtus"Když se to stane, zaplatíme a máme to za sebou."

    RealitaPolovina obětí po zaplacení nedostane funkční dešifrovací klíč, nebo dostane jen část. Druhá polovina dostane klíč, ale ransomware běží **týdny pomalu** (10s GB/h) — produkční downtime je stejně 1–3 týdny. Plus se vystavíš na "platí seznam" pro další útočníky. Záloha + obnova = několik hodin.

  • Mýtus"Jsem moc malej, abych byl cíl. Útočí na velké firmy."

    RealitaPřesný opak. 60+ % ransomware útoků míří na firmy s 10–500 zaměstnanci a na obce. Velké korporace mají SOC tým, EDR, segmentaci. Malá firma se mzdovou agendou a zákaznickou databází je ideální cíl: hodnotná data, slabá obrana, $50–500k schopná zaplatit.

Quick checklist

Pro jednotlivce:

  • 3-2-1 zálohy pro fotky a důležité dokumenty (cloud + external disk).
  • Externí disk odpojený mezi zálohovacími běhy (nebo cloud s versioning).
  • Aktualizace OS a aplikací automaticky.
  • MFA na e-mail, cloud storage a banking.
  • Účet pro běžnou práci bez admin práv (Windows i Mac to umí v Nastavení).

Pro firmu (i živnostníka):

  • Zálohy s immutable úložištěm (Object Lock, MFA delete, air-gapped).
  • Testovaná obnova alespoň 1× za 3 měsíce — ne "dělám zálohy", ale "vím, že se to obnoví".
  • MFA na VPN, RDP, e-mail, cloud konzole. Bez výjimky.
  • EDR nasazený na všechna zařízení (Defender for Business minimum).
  • Patch management — auto-update + monitoring + ruční kontrola kritických aktualizací.
  • Segmentace sítě — účetnictví / produkční systémy / wifi pro hosty na různých VLAN.
  • Phishing trénink alespoň 1× ročně.
  • Incident response plán — kdo komu volá, jaké zálohy jsou kde, právní kontakt, NÚKIB kontakt. Mít to vytištěné.

Když právě teď útok běží:

  • Odpojit zařízení od sítě (NE vypnout).
  • Zavolat IT / security tým / NÚKIB / Policii ČR.
  • Nevyjednávat sám — kontaktovat odbornou pomoc.
  • Začít plánovat obnovu ze zálohy.

Podobná témata

Souvisí s kategoriemi v testu: Ransomware útok — reakce, Zálohovací strategie

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.