Ransomware — co to je, jak funguje a jak se proti němu bránit

Ransomware: jak funguje, historické útoky a praktické tipy pro prevenci a obnovu dat — chraňte své systémy před výkupným.

Autor: Leandro Alegsa

Ransomware je typ malwaru. Omezuje přístup k infikovanému počítačovému systému nebo k uloženým datům (často pomocí technik šifrování) a požaduje zaplacení výkupného tvůrci (tvůrcům) malwaru. To proto, aby bylo omezení odstraněno. Některé formy ransomwaru šifrují soubory na pevném disku systému. Jiné mohou jednoduše uzamknout systém a zobrazovat zprávy, které mají uživatele přesvědčit, aby zaplatil.

Ransomware se poprvé stal populárním v Rusku. Nyní se podvody s ransomwarem rozšířily i v mezinárodním měřítku. V červnu 2013 společnost McAfee uvedla, že za první tři měsíce roku 2013 shromáždila více než 250 000 unikátních vzorků ransomwaru. To je více než dvojnásobek počtu z předchozího roku. CryptoLocker, ransomwarový červ, který se objevil na konci roku 2013, vybral před svým stažením úřady odhadem 3 miliony USD.

V květnu 2017 se po celém světě rozšířil ransomware s názvem WannaCry. Trval čtyři dny a zasáhl více než 200 000 počítačů ve 150 zemích. Na výkupném bylo vždy zaplaceno jen asi 130 000 dolarů (USD), útok však zasáhl mnoho velkých společností a organizací. Velmi silně byla útokem WannaCry zasažena britská Národní zdravotní služba (NHS). Nemocnice neměly přístup ke svým souborům, a tak bylo zrušeno mnoho ordinací a pacienti museli být odmítnuti. NHS byla ohrožena zejména proto, že používala verzi operačního systému Windows XP, kterou společnost Microsoft již nepodporovala. To znamenalo, že společnost Microsoft pro tuto verzi systému Windows nezasílala bezpečnostní aktualizace, čímž ji ponechala otevřenou viru WannaCry. Další systémy byly zasaženy, přestože používaly novější verze systému Windows, protože jejich uživatelé dosud nenainstalovali nejnovější bezpečnostní aktualizace. Přestože virus WannaCry nebyl navržen tak, aby skutečně poškodil počítače nebo jejich soubory, vedl ke ztrátě spousty času a peněz a ukázal, jak je svět stále zranitelný vůči útokům ransomwaru.

Jak ransomware funguje

Většina ransomwaru pracuje v několika krocích:

  • Infekce: škodlivý kód se dostane do zařízení (např. přes e‑mailový odkaz, přílohu nebo zranitelnost aplikace).
  • Rozšíření: některé varianty se snaží rozšířit po síti, najít sdílené složky nebo přihlášené uživatele s vysokými právy.
  • Šifrování nebo zámek: ransomware zašifruje soubory nebo uzamkne systém a vytvoří výkupní poznámku s instrukcemi, jak zaplatit.
  • Požadavek na výkupné: útočníci obvykle požadují platbu v anonymní kryptoměně (např. Bitcoin), aby ztížili jejich vystopování.
  • Možnost dešifrování: po zaplacení útočníci někdy, ale nikoli vždy, poskytnou nástroj k obnově souborů.

Jak se ransomware šíří

  • Phishingové e‑maily a škodlivé přílohy – nejčastější cesta.
  • Drive‑by downloady a infikované weby, které automaticky stáhnou exploit.
  • Využití neopravených zranitelností v operačních systémech nebo serverových službách (např. SMB).
  • Průnik přes nezabezpečené vzdálené plochy (RDP) nebo hesla s možností brute‑force útoku.
  • Ransomware‑as‑a‑Service (RaaS) – vývojáři poskytují „službu“ dalším zločincům, kteří pak provádějí útoky.

Co dělat při napadení

  • Okamžitě odpojte infikované zařízení od sítě (vypněte Wi‑Fi, odpojte kabely) – zabráníte šíření po síti.
  • Neplaťte výkupné bez konzultace s bezpečnostními odborníky a policií – zaplacením neexistuje záruka návratu dat a podporujete další zločinné aktivity.
  • Zaznamenejte výkupní zprávu, jak vypadá a jaké požadavky útočníci mají; udělejte fotografie obrazovky.
  • Kontaktujte interní IT oddělení nebo externí odborníky na incident response a místní orgány činné v trestním řízení.
  • Zkontrolujte dostupné zálohy – pokud existují bezpečné, nepoškozené zálohy, obnovte data z nich.
  • Vyhledejte dostupné dešifrovací nástroje (např. online projekty pro sdílení klíčů a dešifrátorů) a poraďte se se specialisty.

Prevence a zmírnění rizika

Nejlepší obranou proti ransomwaru je kombinace technických opatření, organizačních postupů a školení uživatelů:

  • Pravidelné zálohování (zásada 3‑2‑1: tři kopie dat, na dvou různých médiích, jedna mimo prostor nebo offline). Testujte obnovu záloh pravidelně.
  • Aktualizace a patchování operačních systémů a aplikací – mnoho útoků zneužívá známé zranitelnosti (např. WannaCry/EternalBlue).
  • Antivirová a antimalwarová ochrana s pravidelnými aktualizacemi signatur a chování.
  • Omezení práv uživatelů – používejte princip nejmenších práv, aby uživatelé neměli administrační práva, pokud je nepotřebují.
  • Segmentace sítě, firewall a omezení přístupu k důležitým serverům a sdíleným složkám.
  • Bezpečné konfigurace vzdáleného přístupu – povolit RDP jen přes VPN, používat silná hesla a vícefaktorové ověření (MFA).
  • Zakázat nepotřebné služby, například SMBv1, pokud není nutná.
  • Školení zaměstnanců – rozpoznání phishingu, bezpečné nakládání s přílohami a odkazy.
  • Monitorování a zálohování logů – včasná detekce anomálií v síti může zabránit rozsáhlému šíření.

Obnova a plánování

Organizace by měly mít připravený plán reakce na incidenty, včetně rolí, kontaktů na externí specialisty a postupů pro obnovu provozu. Předem ověřené a pravidelně testované zálohy jsou klíčové pro rychlou obnovu po útoku. Zvažte také pojištění kybernetických rizik a spolupráci s forenzními odborníky.

Právní a etické aspekty

Platba výkupného je kontroverzní a ve většině případů se nedoporučuje. Zaplacením mohou oběti podpořit další trestnou činnost a není zaručeno, že útočníci data pošlou zpět. V mnoha zemích je vhodné incident oznámit policii a spolupracovat s orgány činnými v trestním řízení.

Ransomware zůstává vážnou a vyvíjející se hrozbou. Dobrá prevence, rychlá reakce a promyšlené zálohování výrazně snižují riziko ztráty dat a vysokých nákladů spojených s útokem.

Otázky a odpovědi

Otázka: Co je to ransomware?


Odpověď: Ransomware je druh škodlivého softwaru, který omezuje přístup k počítačovému systému nebo jeho datům, často pomocí technik šifrování, a požaduje, aby uživatel zaplatil výkupné za odstranění omezení.

Otázka: Jak se ransomware stal populárním?


Odpověď: Ransomware se poprvé stal populárním v Rusku, ale od té doby se jeho používání rozšířilo i v mezinárodním měřítku.

Otázka: Kolik unikátních vzorků ransomwaru shromáždila společnost McAfee v roce 2013?


Odpověď: Společnost McAfee oznámila, že v prvních třech měsících roku 2013 shromáždila více než 250 000 unikátních vzorků ransomwaru.

Otázka: Jaká byla odhadovaná částka vybraná programem CryptoLocker před jeho stažením?


Odpověď: Nástroj CryptoLocker údajně vybral odhadem 3 miliony USD, než ho úřady stáhly.

Otázka: Co se stalo během útoku WannaCry v roce 2017?


Odpověď: Útok WannaCry se rozšířil po celém světě a zasáhl více než 200 000 počítačů ve 150 zemích. Trval čtyři dny a na výkupném bylo zaplaceno jen asi 130 000 USD. Obzvláště silně byla zasažena britská Národní zdravotní služba (NHS), která používala zastaralou verzi systému Windows, kterou společnost Microsoft již nepodporovala bezpečnostními aktualizacemi.

Otázka: Proč byly některé systémy stále postiženy, i když měly nainstalované novější verze systému Windows?


Odpověď: Některé systémy byly stále postiženy, i když měly nainstalované novější verze systému Windows, protože jejich uživatelé ještě nenainstalovali nejnovější bezpečnostní aktualizace.

Otázka: Jaký dopad měl WannaCry na lidi a organizace po celém světě?


Odpověď: Virus WannaCry vedl ke ztrátě spousty času a peněz lidí a organizací po celém světě a ukázal, jak jsme zranitelní vůči útokům ransomwaru.


Vyhledávání
AlegsaOnline.com - 2020 / 2025 - License CC3