Słownik

Ransomware — co to jest i jak się chronić?

Ransomware to złośliwe oprogramowanie, które szyfruje Twoje pliki i żąda okupu za ich odblokowanie. Dowiedz się, jak działa i jak się bronić.

Redakcja Bezpieczny Internet Ostatnia aktualizacja

Ransomware (ang. ransom — okup, software — oprogramowanie) to złośliwe oprogramowanie, które po zainfekowaniu komputera lub sieci szyfruje pliki ofiary — dokumenty, zdjęcia, bazy danych, kopie zapasowe — i żąda zapłaty (najczęściej w kryptowalucie) w zamian za klucz deszyfrujący. Bez tego klucza odzyskanie danych jest w praktyce niemożliwe, jeśli nie ma kopii zapasowej.

Ransomware to jedno z największych zagrożeń zarówno dla firm, jak i osób prywatnych. W Polsce ataki dotknęły szpitale, gminy, uczelnie i duże przedsiębiorstwa — straty często idą w miliony złotych, nawet jeśli okup nie zostaje zapłacony.

Jak to działa

Atak przebiega zazwyczaj w kilku fazach:

  1. Infekcja — ransomware dostaje się do systemu najczęściej przez: złośliwy załącznik e-mail (makro w Wordzie, zainfekowany PDF), kliknięcie w link phishingowy, lukę w niezaktualizowanym oprogramowaniu lub podatny protokół zdalnego dostępu (RDP bez uwierzytelnienia wieloczynnikowego).
  2. Rozprzestrzenianie — zaawansowane warianty (jak Ryuk, LockBit) poruszają się po sieci lokalnej, infekując kolejne urządzenia i serwery, zanim ujawnią swoją obecność.
  3. Szyfrowanie — złośliwe oprogramowanie szyfruje pliki za pomocą silnych algorytmów kryptograficznych (AES + RSA). Klucz deszyfrujący jest przechowywany wyłącznie na serwerach atakujących.
  4. Żądanie okupu — na ekranie pojawia się komunikat z instrukcją płatności, terminem i groźbą trwałego usunięcia klucza lub upublicznienia skradzionych danych (double extortion).

Uwaga: Nowoczesne warianty ransomware często najpierw eksfiltrują dane, a dopiero potem szyfrują — nawet zapłacenie okupu i odzyskanie plików nie gwarantuje, że dane nie zostaną upublicznione lub sprzedane.

Przykłady

Atak na szpital — złośliwy załącznik otwarty przez pracownika działu administracji blokuje dostęp do systemu szpitalnego. Lekarze nie mogą wyświetlić historii chorób pacjentów, operacje są przekładane, a szpital płaci okup lub przez tygodnie pracuje na papierze.

Mały przedsiębiorca — właściciel firmy otwiera fakturę w Wordzie. Makro uruchamia ransomware, który szyfruje wszystkie dokumenty księgowe, kontrakty i bazę klientów. Bez backupu strata może być katastrofalna.

Infekcja przez pendrive — znaleziony lub otrzymany pendrive podłączony do firmowego komputera uruchamia złośliwe oprogramowanie automatycznie (atak baiting).

Powiązane pojęcia

Ransomware jest szczególnie groźną kategorią malware — warto poznać szerszy kontekst złośliwego oprogramowania. Podstawową ochroną jest regularne wykonywanie kopii zapasowych (reguła 3-2-1: 3 kopie, 2 nośniki, 1 poza siedzibą) oraz aktualne oprogramowanie antywirusowe. Wektorem infekcji bywa phishing — atakujący wysyła złośliwy załącznik lub link. Silne uwierzytelnianie dwuskładnikowe (2FA) utrudnia przejęcie kont używanych do zdalnego dostępu, co znacząco redukuje ryzyko infekcji przez RDP.

Nie daj się oszukać w sieci

Praktyczne poradniki, niezależne testy i jasne porównania — wszystko po polsku, bez marketingowej ściemy.

Czytaj poradniki Sprawdź narzędzia