Prohlížeč není podporován

Doporučujeme Google Chrome

Bezpečnost má zelenou – Kooperativa

Ransomware: Co to je, jak funguje a jak se bránit

  • 10 minut čtení
„Vaše soubory byly zašifrovány. Zaplaťte výkupné, nebo o ně přijdete navždy.“ Takto může vypadat útok ransomwaru – vyděračského softwaru. Stát se to může komukoli, ať jste řadový uživatel, majitel malé firmy, nebo správce kritické infrastruktury. Experti varují, že ransomwarové útoky jsou čím dál sofistikovanější a agresivnější.

Co se v tomto článku dozvíte:

  • Digitální únosce: Proč ransomware není jen „obyčejný virus“, ale sofistikovaný byznys model, kde útočníci kromě šifrování dat hrozí i jejich veřejným únikem.
  • Šifrování vs. Zamykání: Rozdíl mezi útokem, který vám „jen“ znemožní přístup k počítači, a tím, který přepíše vaše fotky a dokumenty do nečitelného kódu.
  • Cesty nákazy: Jak se útočníci dostávají do systémů – od klasických e-mailových příloh až po zneužití zapomenutých bezpečnostních děr v zastaralém softwaru.
  • Varovné signály: Jak poznat, že útok právě probíhá, dříve než uvidíte výhružnou zprávu.
  • Krizový manuál: Proč je první pomocí okamžité odpojení od sítě a proč byste neměli platit výkupné bez konzultace s expertem.
  • Pravidlo 3-2-1: Jak správně zálohovat, aby vaše data přežila i v případě, že ransomware napadne celou vaši síť.

Co je ransomware

Ransomware (z anglického „ransom“ – výkupné, a „software") je digitální vyděrač. Tento škodlivý program vám zašifruje soubory nebo jinak znemožní přístup k vašim datům a za jejich odemčení si žádá tučné výkupné. V současnosti jde o jednu z nejrozšířenějších a ekonomicky nejničivějších forem kybernetického útoku.

 

Chcete vědět víc o škodlivém softwaru? Přečtěte si článek 👉  Malware: Co to je, jak ho poznat a jak se před ním chránit

Útočníci přitom nehrají fair play. Nejenže data zašifrují – stále častěji je také kradou a vyhrožují jejich zveřejněním (data breach), pokud oběť nezaplatí. Výkupné se platí zpravidla v kryptoměnách, nejčastěji bitcoinech, aby bylo co nejtěžší transakci vystopovat. Díky modelu Ransomware as a Service (RaaS) jsou navíc tyto útoky dostupné i „amatérům“ – profesionální hackerské skupiny jim totiž pronajímají nebo prodávají své nástroje jako hotovou službu.

Studie společnosti Sophos ukazuje, že průměrná výše výkupného činí milion dolarů a průměrné náklady na obnovení se pohybují kolem 1,5 milionu dolarů.

„Ačkoli ransomwarové útoky stály za necelými 11 % všech evidovaných incidentů, jejich dopady dokazují, že jde o velmi závažnou hrozbu. Kromě úniku citlivých informací mohou vést k zašifrování dat, ale i dočasnému pozastavení výroby nebo poskytování služeb. Vše zmíněné s sebou samozřejmě nese reputační nebo finanční újmu,“ varoval NÚKIB ve své Zprávě o stavu kybernetické bezpečnosti České republiky za rok 2024, kdy evidoval každý měsíc nižší jednotky ransomwarových útoků – zároveň však upozorňuje, že reálný počet je téměř jistě vyšší.

Jak ransomware funguje

Ransomware funguje na jednoduchém, ale účinném principu: zablokovat vám přístup k tomu, bez čeho se neobejdete – a pak za to žádat peníze. Hackeři využívají zadní vrátka (backdoor), aby obešli běžné bezpečnostní mechanismy a do vašeho počítače dostali škodlivý malware. Existují přitom dva hlavní typy „vyděračského softwaru“: šifrovací ransomware a zamykací ransomware.

Šifrovací ransomware (crypto-ransomware)

Nejrozšířenější a nejnebezpečnější varianta. Jakmile se malware dostane do vašeho zařízení, začne systematicky šifrovat soubory – dokumenty, fotky, databáze, firemní záznamy. Bez dešifrovacího klíče, který mají jen útočníci, se k nim nedostanete. Po dokončení šifrování se na obrazovce objeví výzva k zaplacení – obvykle s odpočítávajícím časovačem, který stupňuje tlak.

Zamykací ransomware (locker)

Méně sofistikovaná, ale stále nepříjemná varianta. Místo šifrování dat útočník jednoduše zablokuje přístup k celému zařízení nebo operačnímu systému. Na obrazovce se zobrazí zpráva s požadavkem na platbu. Samotná data přitom nejsou poškozena – útočník je jen zamkne, abyste je nemohli používat.

Jak se ransomware šíří

Drtivá většina ransomwarových útoků začíná lidskou chybou. „Nejčastěji přes škodlivou přílohu e-mailu nebo stažením souboru z internetu – například soubor vydávající se za aktualizaci operačního systému. Iniciální útok je častou formou podvodného e-mailu,“ uvádí David Pecl ze Security Avengers.

Jaké jsou konkrétní cesty nákazy?

  • Phishingové e-maily jsou nejběžnější metodou. E-mail se tváří jako zpráva od banky, kolegy nebo dodavatele. Obsahuje přílohu nebo odkaz – a stačí jedno kliknutí. Příloha může vypadat jako PDF faktura, Word dokument nebo ZIP archiv.
  • Škodlivé stahování zahrnuje falešné aktualizace softwaru, pirátské programy nebo soubory stažené z nedůvěryhodných zdrojů. Uživatel si myslí, že instaluje legitimní program, ale ve skutečnosti spouští ransomware.
  • Zneužití zranitelnostíútočníci cíleně hledají nezáplatované systémy a programy. K průniku pak využívají škodlivé kódy zvané exploit. V nejhorších případech využívají tzv. zero day, tedy softwarové zranitelnosti, na kterou neexistuje oprava. Stačí jim zastaralý operační systém nebo nezabezpečené vzdálené připojení (RDP) a problém je na světě.

Útok nemusí odstartovat hned po „nakažení“ malwarem, ale může být sofistikovanější. Hackeři nejprve tiše prozkoumávají síť, pohybují se v ní skrytě, získávají vyšší oprávnění – a teprve pak spustí samotné šifrování. „Ve firemním prostředí může samotné šifrování být poměrně rychlé – hodiny až dny v závislosti na množství dat – ale útok je většinou dlouhodobý. Malware se nejprve v síti šíří a až následně začne data šifrovat nebo krást,“ popisuje praktiky hackerů David Pecl.

Jak poznat útok ransomware

Ransomware se nakonec vždy prozradí sám – dramatickou zprávou na obrazovce. Ale než si ho všimnete, útok může dlouho probíhat i skrytě. Na co si dát pozor?

  • Zjevné příznaky: Na obrazovce se objeví výzva k zaplacení výkupného s instrukcemi a termínem. Soubory mají změněné přípony (např. dokument.docx se změní na dokument.docx.locked) a nejdou otevřít. Pozadí plochy se změní na výkupní zprávu útočníků.
  • Skryté varovné signály: Antivirový software byl deaktivován nebo přestal fungovat. Soubory se na pozadí kopírují nebo mění, aniž byste vy sami něco dělali. Zálohy nebo shadowové kopie systému zmizely.

Ve firemním prostředí jsou tyto signály obzvlášť důležité – pokud si je správce sítě všimne včas, může útok zastavit dříve, než ransomware zašifruje veškerá data.

Co dělat při útoku ransomware

Každá sekunda se počítá. Správná reakce v prvních minutách může zásadně omezit škody.

  1. Okamžitě odpojte zařízení od sítě a internetu. Vytáhněte síťový kabel nebo vypněte Wi-Fi. „Základem je odpojení od sítě a internetu tak, aby se infekce případně nešířila. Vypnutí PC nemusí vždy znamenat záchranu nezašifrovaných dat – malware může mít schopnosti, které znemožní opětovné zapnutí OS,“ říká odborník David Pecl.
  2. Neresetujte a nevypínejte počítač unáhleně. V paměti počítače mohou být stopy, které pomohou forenzní analýze a případnému obnovení dat.
  3. Zajistěte důkazy. Pokud je to možné, zkuste zajistit původní infikovaný soubor, část zašifrovaných dat a soubor s požadavky na výkupné. Tyto materiály jsou důležité pro bezpečnostní specialisty i policii.
  4. Nahlaste incident. V ČR se kybernetické útoky hlásí na Policii ČRNÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Firmy mohou mít ze zákona povinnost útok nahlásit. Podívejte se na nový zákon o kybernetické bezpečnosti, který je účinný od 1. listopadu 2025, zda mezi tyto organizace patříte.
  5. Nekontaktujte útočníky bez odborné pomoci. Obraťte se na IT bezpečnostní specialisty. Existují i volně dostupné nástroje – třeba web NoMoreRansom.org (projekt Europolu a bezpečnostních firem) nabízí bezplatné dešifrovací klíče pro některé druhy ransomwaru.
  6. Obnovte data ze zálohy. Pokud máte funkční, neovlivněnou zálohu, je to nejrychlejší cesta k obnově.

Platit, nebo neplatit?

To je otázka, která trápí každou oběť. Odpověď není jednoduchá: „Bavíme-li se o běžných uživatelích, nemá smysl platit výkupné. Pro běžného uživatele je obtížné zjistit, o jaký ransomware se jedná a zda poskytuje záruky, že po zaplacení budou data dešifrována. Ačkoliv ani pro firmy se nedoporučuje platit výkupné, v mnoha případech je to pro ně levnější varianta, protože například nemají dostatečné zálohy nebo platí za nezveřejnění dat. Pokud zaplatíte, nikdo vám nezaručí, že vaše data budou opravdu dešifrována nebo nebudou zveřejněna. Na druhou stranu, pro útočníky je to také business a spousta organizovaných ransomwarových skupin si zakládá na své pověsti,“ uvádí David Pecl ze Security Avengers.

I když nezaplatíte, škody ale mohu být značné. V České republice patří k nejznámějším případům rozsáhlého ransomwarového útoku případ, který se odehrál 11. prosince 2019. Obětí se stala benešovská nemocnice, kde došlo k zašifrování dat v počítačích, současně s tímto útokem byly napadeny i další počítače některých institucí státní správy. „Benešovská nemocnice od počátku striktně odmítla s útočníkem komunikovat, a nereagovala ani na zaslání výkupného. Policie nemá informace o tom, že by při útoku unikla data o složkách pacientů.
Středočeští kriminalisté od počátku na případu spolupracovali s IT specialisty benešovské nemocnice, s kolegy z NCOZ, zaměstnanci NÚKIB a ESET, od kterých následně obdrželi závěrečné zprávy a analýzy. Nejdelší čas vyžadovalo vyčíslení škody ze strany benešovské nemocnice, kdy její výše přesahovala 59 milionů korun,“ uvedla na svém webu Policie České republiky.

Nejcitelnější ztráty vznikly u neuskutečněných zákroků a operací, které pojišťovny neproplatily. Problémy se nevyhnuly ani transfuzní stanici, která musela omezit svou produkci. Kromě ušlého zisku se však nemocnice musela vyrovnat i s obrovskými náklady na obnovu: od nákupu špičkového zabezpečení přes reinstalaci všech programů až po důkladné proškolení zaměstnanců.

Jak se chránit před ransomware

Dobrou zprávou je, že většině ransomwarových útoků lze předejít. Vyžaduje to ale disciplínu a pravidelnou péči o zařízení.

Zlaté pravidlo: Zálohujte – správně a pravidelně!

Záloha je vaše nejsilnější zbraň. Ale pozor – záloha dostupná ze stejného počítače nebo sítě nestačí. Ransomware ji dokáže zašifrovat také. „Zálohují na systémy, ke kterým mají přístup ze stejného PC nebo sítě. To ale znamená, že k takovým zálohám se může dostat i malware. Ve firemním prostředí se bavíme o pravidle 3-2-1 pro zálohování: 3 sady dat (ostrá data + 2 zálohy), alespoň 2 různá média (například externí harddisk a cloud), 1 zálohu offsite – tedy v jiné budově, aby se předešlo rizikům fyzického zničení při požáru. Základem je také pravidelně testovat, zda jsou zálohy funkční a zda z nich lze data obnovit," doporučuje David Pecl ze Security Avengers.

Aktualizujte software a operační systém. Každý vydaný patch opravuje bezpečnostní díry, které útočníci zneužívají. Například ransomware WannaCry, který zaútočil v roce 2017, dokázal infikovat statisíce počítačů právě proto, že jejich majitelé ignorovali dostupnou aktualizaci.

Dávejte pozor na e-maily. Neklikejte na přílohy ani odkazy od neznámých odesílatelů. I od známých kontaktů buďte ostražití – jejich e-mail mohl být kompromitován.

Používejte silná a unikátní hesla + vícefaktorové ověření (MFA).

Pro více informací o heslech a vícefaktorovém ověření si přečtěte tyto články:

👉 Správce hesel: Co to je, jak funguje a který vybrat?

👉Dvoufaktorové ověření (2FA): Co to je a jak ho nastavit

Nainstalujte a udržujte antivirový software. Antivirus je bezpečnostní řešení, které dokáže detekovat ransomware ještě před tím, než stihne šifrovat.

Omezte přístupová práva. Každý uživatel nebo program by měl mít přístup jen k tomu, co skutečně potřebuje. Pokud ransomware infikuje účet s omezenými právy, způsobí menší škody.

Ve firmách: školte zaměstnance. Lidský faktor je nejčastější příčinou úspěšného útoku. Pravidelná školení o rozpoznání phishingu výrazně snižují riziko.

 

3 hlavní body, které si z článku odnést

  • 1. Záloha v cloudu i na disku je vaše jediná záchrana:

    Pokud nemáte zálohu, která je fyzicky nebo softwarově oddělená od vašeho běžícího počítače, ransomware ji zašifruje společně s vašimi daty. Pravidelné testování funkčnosti záloh je stejně důležité jako jejich vytváření.

  • 2. Placení výkupného je sázka do loterie:

    Zaplacení peněz (často v milionech korun) vám nezaručuje, že data dostanete zpět. Navíc tím financujete budoucí útoky a pro hackery se stáváte „ověřeným cílem“ pro příště.

  • 3. Vteřiny rozhodují o rozsahu škod:

    Pokud si všimnete, že se s vašimi soubory děje něco divného (třeba se jim mění ikony nebo přípony), okamžitě odpojte zařízení od internetu a Wi-Fi. Přerušením spojení můžete zastavit nedokončené šifrování a zachránit alespoň část svých dat.

FAQ

1. Co je to ransomware?

Ransomware je škodlivý software, který zašifruje nebo zablokuje vaše data a za jejich obnovu požaduje výkupné – nejčastěji v kryptoměnách. Útočníci mohou data také ukrást a vyhrožovat jejich zveřejněním. Jde o jeden z nejrozšířenějších a ekonomicky nejničivějších typů kyberútoku.

2. Jak je šířen ransomware?

Nejčastěji prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem. Dalšími cestami jsou infikované stahování z internetu (falešné aktualizace, pirátský software) nebo zneužití bezpečnostních zranitelností v nezáplatovaných systémech. Více než polovina útoků začíná podvodným e-mailem.

3. Jak lze poznat ransomware?

Nejjasnějším příznakem je zpráva na obrazovce s požadavkem na výkupné. Dalšími varovnými signály jsou soubory s neznámými příponami, které nelze otevřít, neobvyklé zpomalení počítače, deaktivovaný antivirový software nebo zmizení záloh. Útok však může probíhat i skrytě – zvláště v podnikových sítích.

4. Jak se bránit ransomware?

Nejdůležitějším krokem je pravidelné zálohování dat na místa, kam ransomware nemůže dosáhnout – ideálně podle pravidla 3-2-1 (tři kopie, dvě média, jedna mimo hlavní lokalitu). Dále je nutné udržovat software aktualizovaný, neotevírat podezřelé přílohy, používat silná hesla a vícefaktorové ověření a mít nainstalovaný aktuální antivirový software. Zálohy navíc pravidelně testujte – záloha, která nefunguje, vám nepomůže.

2603-Koop-Clanky_2603-Clanky-Pecl-1-20260326-154342.png

David Pecl

  • Security Consultant, Security Avengers
  • Lektor IT bezpečnosti a autor kurzu Kybernetická bezpečnost – SOC analytik

V oblasti kybernetické bezpečnosti působí více než 10 let. Vystudoval informační bezpečnost na Fakultě elektrotechniky a komunikačních technologií VUT v Brně. Od roku 2022 pracuje jako Security Consultant ve společnosti Security Avengers, kde se podílí na návrhu architektur implementovaných řešení, implementaci samotné, jejich integraci na další nástroje, hardeningu systémů a školeních v oblasti bezpečnosti. Vedle konzultační činnosti přednáší na odborných konferencích, vede workshopy a věnuje se publikační činnosti v oblasti kybernetické bezpečnosti.

0
hlasů
Líbil se vám článek? Dejte plus.
Napište nám,
co můžeme zlepšit

Sdílejte článek:

Pokračujte ve čtení