Kiedy widzę ten ekran, wiem, że będzie ciężka rozmowa
Czerwony ekran. Napis po angielsku, czasem po polsku. „Twoje pliki zostały zaszyfrowane. Zapłać 500 dolarów w Bitcoin w ciągu 72 godzin albo stracisz je na zawsze."
Widziałem ten widok dziesiątki razy — na dyskach, które przynoszą do serwisu klienci. I za każdym razem historia jest podobna: „Otworzyłem załącznik z maila" albo „Wszedłem na jakąś stronę i coś się zainstalowało." Twarz klienta, gdy mówię, że szanse na odzyskanie danych bez klucza deszyfrującego wynoszą mniej niż 5% — tego się nie zapomina.
Ransomware to nie jest abstrakcyjne zagrożenie z wiadomości telewizyjnych. To realny problem, z którym mierzą się zwykli ludzie — osoby prywatne, jednoosobowe firmy, małe biura rachunkowe, gabinety lekarskie. I najgorsze jest to, że w większości przypadków można było go uniknąć.
Jak działa ransomware — bez technicznego żargonu
Mechanizm jest brutalnie prosty. Złośliwy program dostaje się na komputer, szyfruje pliki (dokumenty, zdjęcia, bazy danych — wszystko, co wartościowe) za pomocą algorytmu, którego złamanie jest praktycznie niemożliwe, a potem żąda okupu za klucz deszyfrujący.
Najczęściej trafia na komputer przez:
Email z załącznikiem. „Faktura.pdf.exe", „Potwierdzenie zamówienia.docm", „Wezwanie do zapłaty.zip". Otwierasz, klikasz „Włącz makra" i po minucie Twoje pliki są już szyfrowane. Widziałem przypadek, gdzie pracownica biura rachunkowego otworzyła maila „z ZUS-u" z załącznikiem „Decyzja o kontroli". Wszystkie dane klientów za trzy lata — zaszyfrowane.
Fałszywe strony internetowe. Wchodzisz na stronę wyglądającą jak znany serwis, pobierasz „aktualizację Flasha" lub „darmowy program" — i uruchamiasz instalator ransomware'u.
Luki w systemie. Niezaktualizowany Windows, stary serwer z otwartym pulpitem zdalnym (RDP) — to otwarte drzwi dla atakujących. WannaCry w 2017 roku zainfekował ponad 200 tysięcy komputerów w 150 krajach, wykorzystując lukę w Windowsie, na którą Microsoft wydał łatkę dwa miesiące wcześniej. Dwa miesiące — a większość firm nie zdążyła zaktualizować.
Pendrive'y i dyski zewnętrzne. Rzadziej, ale się zdarza. Ktoś przynosi pendrive'a ze „zdjęciami z wakacji" i odpala go na komputerze firmowym. Efekt — zaszyfrowana cała sieć lokalna.
Skala problemu — to nie jest niszowe zagrożenie
Żeby było jasne, jak poważna to sprawa:
W 2017 roku atak WannaCry sparaliżował szpitale w Wielkiej Brytanii — odwoływano operacje, karetki kierowano do odległych placówek. Straty globalne? Szacunkowo 4-8 miliardów dolarów.
NotPetya (2017) uderzył w firmę logistyczną Maersk — 45 000 komputerów, 4 000 serwerów. Firma musiała odtworzyć całą infrastrukturę IT od zera. Koszt: 300 milionów dolarów.
Ale nie musisz być międzynarodową korporacją, żeby oberwać. W 2024 roku ataki ransomware na małe i średnie firmy w Polsce rosły o 40% rok do roku. Średni okup? Od kilku do kilkudziesięciu tysięcy złotych. Średni koszt przestoju? Kilka dni bez dostępu do danych, faktur, bazy klientów.
Do mojego serwisu trafiają głównie osoby prywatne i małe firmy. Jednoosobowa działalność gospodarcza, biuro rachunkowe, niewielka przychodnia — ludzie, dla których utrata danych to utrata lat pracy. I ci ludzie rzadko mają kopie zapasowe.
Jak się chronić — siedem zasad, które naprawdę działają
Nie będę wymyślał koła na nowo. Ochrona przed ransomware sprowadza się do kilku fundamentalnych rzeczy. Problem w tym, że ludzie o nich wiedzą — i ich nie robią.
1. Kopia zapasowa — jedyna pewna ochrona
Nie „jedyna z wielu", nie „jedna z ważnych". Jedyna pewna.
Jeśli masz aktualną kopię zapasową na odłączonym nośniku — ransomware jest dla Ciebie niewygodnym incydentem, a nie katastrofą. Formtujesz dysk, instalujesz system od nowa, odtwarzasz dane z kopii i wracasz do pracy.
Zasada 3-2-1: trzy kopie danych, na dwóch różnych nośnikach, z czego jedna poza lokalizacją (w chmurze lub w innym budynku).
Absolutne minimum dla osoby prywatnej: dysk zewnętrzny, na który co tydzień kopiujesz najważniejsze pliki. Po skopiowaniu — odłączasz dysk od komputera. To kluczowe, bo ransomware szyfruje też podłączone dyski zewnętrzne. Dysk leżący na półce jest bezpieczny.
Dla firmy: codzienne automatyczne kopie na NAS lub w chmurze (Backblaze, Wasabi, Google Drive Business), z wersjonowaniem plików i kopią offline. Testuj odtwarzanie danych co kwartał — kopia, z której nie da się odtworzyć danych, jest bezwartościowa.
2. Aktualizuj system i programy
WannaCry zainfekował setki tysięcy komputerów przez lukę, na którą łatka była dostępna od dwóch miesięcy. Dwa miesiące. Wystarczyło kliknąć „Zainstaluj aktualizacje".
Wiem, że aktualizacje potrafią być irytujące. Wiem, że czasem psują rzeczy. Ale aktualizacje bezpieczeństwa naprawiają luki, przez które wchodzą atakujący. Włącz automatyczne aktualizacje Windowsa. Aktualizuj przeglądarkę. Aktualizuj Office'a. Aktualizuj router — tak, routery też mają oprogramowanie, które wymaga aktualizacji.
3. Nie otwieraj podejrzanych załączników
Brzmi jak rada z 2005 roku? Bo jest — i nadal jest aktualna, bo ludzie nadal otwierają.
Faktura w mailu od „DHL" mimo że nic nie zamawiałeś? Nie otwieraj. „Wezwanie do zapłaty" z dziwnego adresu? Nie otwieraj. Plik z podwójnym rozszerzeniem (faktura.pdf.exe)? Na pewno nie otwieraj.
Jeśli mail wygląda podejrzanie, ale może być prawdziwy — zadzwoń do nadawcy i zapytaj. Trzy minuty weryfikacji telefonicznej mogą uratować lata pracy.
Dodatkowa wskazówka: zwracaj uwagę na adres nadawcy. „faktura@dhl-polska.com" to nie to samo co „faktura@dhl.com.pl-services.xyz". Atakujący tworzą domeny, które na pierwszy rzut oka wyglądają wiarygodnie, ale przy bliższym spojrzeniu — nie są tym, za co się podają. Najedź kursorem na link w mailu zanim klikniesz — zobaczysz prawdziwy adres docelowy.
4. Włącz widoczność rozszerzeń plików w Windowsie
Windows domyślnie ukrywa rozszerzenia plików. To oznacza, że plik „Faktura.pdf.exe" wyświetla się jako „Faktura.pdf" — i wygląda jak niewinny PDF. Zmień to: Eksplorator → Widok → Rozszerzenia nazw plików (zaznacz).
5. Korzystaj z antywirusa z ochroną przed ransomware
Windows Defender jest dobry — naprawdę. Ma wbudowaną funkcję „Kontrolowany dostęp do folderów", która blokuje nieznane programy przed modyfikowaniem plików w chronionych folderach (Dokumenty, Pulpit, Zdjęcia). Włącz ją: Ustawienia → Prywatność i zabezpieczenia → Ochrona przed wirusami → Ochrona przed ransomware.
Jeśli chcesz czegoś więcej — Malwarebytes Premium lub Bitdefender mają dedykowane moduły antyransomware.
6. Nie używaj konta administratora do codziennej pracy
Pracuj na koncie ze standardowymi uprawnieniami. Jeśli ransomware uruchomi się na koncie admina — ma pełny dostęp do systemu. Na koncie standardowym — może zaszyfrować tylko Twoje pliki, nie pliki systemowe i nie pliki innych użytkowników. To ogranicza szkody.
7. Wyłącz pulpit zdalny (RDP), jeśli go nie potrzebujesz
RDP to jeden z najczęstszych wektorów ataku na firmy. Atakujący skanują internet w poszukiwaniu otwartych portów RDP, a potem próbują łamać hasła. Jeśli nie korzystasz z pulpitu zdalnego — wyłącz go. Jeśli korzystasz — używaj VPN-a i silnych haseł.
Co robić, gdy ransomware już zaatakował?
Jeśli widzisz komunikat o okupie lub zauważasz, że pliki mają dziwne rozszerzenia (.locked, .encrypted, .crypted) — działaj szybko:
Natychmiast odłącz komputer od sieci — wyciągnij kabel sieciowy, wyłącz WiFi. Ransomware często szyfruje też pliki na dyskach sieciowych i w folderach współdzielonych. Im szybciej odetniesz komputer, tym mniej plików zostanie zaszyfrowanych w sieci.
Nie wyłączaj komputera. Klucz deszyfrujący może być w pamięci RAM — wyłączenie go skasuje tę szansę. Są narzędzia forensyczne, które potrafią wyciągnąć klucz z pamięci niektórych wariantów ransomware.
Nie płać okupu. Serio. Nie ma żadnej gwarancji, że dostaniesz klucz. FBI szacuje, że 30% płacących nigdy nie otrzymuje narzędzia do odszyfrowania. A nawet jeśli odzyskasz dane — płacąc, finansujesz kolejne ataki.
Sprawdź nomoreransom.org. To projekt Europolu i firm antywirusowych. Mają darmowe narzędzia deszyfrujące dla wielu wariantów ransomware. Wrzuć zaszyfrowany plik i notatkę z okupem — system spróbuje rozpoznać wariant.
Zabezpiecz zaszyfrowane pliki. Zrób kopię dysku (np. za pomocą Clonezilla). Może za pół roku ktoś złamie ten wariant ransomware i opublikuje deszyfrator. Zdarzało się to wielokrotnie — np. klucze do GandCrab zostały udostępnione publicznie po zamknięciu grupy przestępczej, i tysiące osób odzyskało pliki, które miesiącami leżały zaszyfrowane na zapasowych dyskach.
Zgłoś incydent na policję (cyberprzestępczość) i do CERT Polska (cert.pl).
Odzyskiwanie danych po ransomware — jakie są realne szanse?
Będę szczery: w większości przypadków, jeśli ransomware zdążył zaszyfrować pliki i nie ma darmowego deszyfratora — dane są stracone. Nowoczesne ransomware używa algorytmów AES-256 i RSA-2048, których złamanie jest obliczeniowo niemożliwe bez klucza.
Ale są wyjątki. Czasem ransomware kasuje oryginalne pliki po zaszyfrowaniu, zamiast nadpisywać je — wtedy istnieje szansa na odzyskanie skasowanych plików narzędziami do recovery. Czasem szyfrowanie objęło tylko część plików. Czasem klient ma kopię zapasową, o której zapomniał — na starym pendrivie, w chmurze, w mailu.
Dlatego przed poddaniem się warto przynieść dysk do serwisu. Nie obiecuję cudów, ale bezpłatna wstępna diagnoza pozwala ocenić sytuację.
Ransomware a firmy — dlaczego małe biznesy są łatwym celem
Duże korporacje mają działy IT, firewalle, systemy detekcji intruzów, regularne szkolenia pracowników. Mały biznes? Często jeden komputer z Windowsem, na którym jest wszystko — księgowość, baza klientów, umowy, faktury. Bez kopii zapasowej, bez polityki bezpieczeństwa, często ze wspólnym hasłem do wszystkiego.
Widziałem jednoosobowe biuro rachunkowe, w którym atak ransomware zaszyfrował dane 120 klientów za trzy lata. Brak kopii zapasowej. Klient zapłacił okup (równowartość ok. 3000 zł) — i dostał deszyfrator, który zadziałał na 80% plików. Resztę trzeba było odtwarzać ręcznie. Stracił dwa tygodnie pracy i reputację u kilku klientów.
Morał? Zewnętrzny dysk za 300 zł, na który co wieczór kopiujesz folder z danymi, a potem odłączasz — to inwestycja, która może uratować firmę. Dosłownie.
Nie chcę straszyć — chcę, żebyś się przygotował. Kopia zapasowa na odłączonym dysku. Aktualizacje systemu. Zdrowy rozsądek przy mailach. Te trzy rzeczy eliminują 95% ryzyka.
A jeśli już oberwałeś — zadzwoń: 505 055 154 lub napisz na biuro@doktor-komputer.pl. Pomożemy, jeśli będzie się dało pomóc.
Najczęściej zadawane pytania
Czy ransomware może zaatakować telefon?
Tak, istnieje ransomware na Androida — głównie z nieoficjalnych sklepów z aplikacjami. Na iPhonie jest to praktycznie niemożliwe przy normalnym użytkowaniu (bez jailbreaku). Ale najczęstszym celem pozostają komputery z Windowsem — tu jest największa baza potencjalnych ofiar.
Czy zapłacenie okupu gwarantuje odzyskanie danych?
Nie. FBI szacuje, że około 30% płacących nigdy nie dostaje klucza deszyfrującego. A nawet jeśli dostaniesz — nic nie gwarantuje, że narzędzie zadziała poprawnie. Są udokumentowane przypadki, gdzie deszyfrator uszkadzał pliki zamiast je odszyfrowywać.
Czy Windows Defender chroni przed ransomware?
Tak, i to całkiem dobrze. Ma wbudowaną funkcję „Kontrolowany dostęp do folderów", która blokuje nieznane programy przed modyfikowaniem plików. Problem w tym, że domyślnie jest wyłączona — trzeba ją ręcznie aktywować w ustawieniach bezpieczeństwa.
Jak często robić kopie zapasowe?
Zależy od tego, ile danych jesteś gotów stracić. Jeśli codziennie tworzysz ważne pliki — codzienne kopie. Jeśli używasz komputera okazjonalnie — raz w tygodniu. Kluczowe: kopia musi być na nośniku, który nie jest stale podłączony do komputera. Dysk na półce, kopia w chmurze z wersjonowaniem — to jest ochrona.