Ransomware – jak se bránit?

1. Odpojení zařízení od sítě

Co udělat: Odpoj ethernetový kabel nebo vypni Wi-Fi na infikovaném zařízení. Pokud je zařízení součástí podnikové sítě, zajisti, aby správce IT izoloval infikovaný segment sítě.

Proč je to důležité: Ransomware se může šířit přes síť na další počítače, servery nebo připojená úložiště.

2. Neprováděj platby útočníkům

Proč neplatit: Platba neznamená jistotu, že dostaneš dešifrovací klíč. Podpora útočníků je neetická a podněcuje další útoky.

Co udělat místo toho: Zaměř se na možnosti obnovení dat z vlastních záloh nebo existující dešifrovací nástroje.

3. Identifikace ransomwaru

Jak identifikovat: Podívej se na název ransomwaru v žádosti o výkupné (soubor s instrukcemi, který útočníci vytvořili). Porovnej příponu šifrovaných souborů s databázemi, např. na ID Ransomware.

Co dál: Pokud ransomware už má známé řešení, využij dostupné dešifrovací nástroje z webu No More Ransom.

4. Zkontroluj zálohy

Co zkontrolovat: Jsou zálohy aktuální a neinfikované? Máš je uložené offline (např. na externím disku nebo páskové jednotce)?

Obnova: Pokud jsou zálohy bezpečné, smaž celý infikovaný systém a obnov data ze záloh.

5. Skenování a odstranění malwaru

Jak na to: Spusť systém v nouzovém režimu (Safe Mode), abys minimalizoval aktivitu malwaru. Použij nástroje jako Malwarebytes, Emsisoft Emergency Kit nebo Kaspersky Virus Removal Tool.

Postup: Po vyčištění zařízení obnov systém z čisté zálohy nebo ho znovu nainstaluj.

6. Obnovení systému

Pokud nemáš zálohy: Existují forenzní nástroje, které dokáží částečně obnovit data, např. Recuva, Disk Drill nebo R-Studio. Výsledky nejsou zaručené, ale za pokus to stojí.

Čistá instalace: Pokud je šifrování nevratné a nemáš zálohy, přeinstaluj systém. Zkontroluj a bezpečně ulož licenční klíče a instalační soubory předem.

7. Informování odborníků

Kontaktní místa:

• Policie ČR: Oznam útok na oddělení kybernetické kriminality.
• Bezpečnostní firmy: Společnosti jako ESET, AVAST mohou nabídnout odbornou asistenci.

Co připravit: Popis incidentu (kdy a jak k útoku došlo). Vzor šifrovaného souboru a žádosti o výkupné (bez aktivování škodlivého obsahu).

8. Prevence budoucích útoků

Zálohování: Používej pravidelné offline zálohy. Doporučuje se metoda 3-2-1:

• 3 kopie dat
• 2 různé typy úložišť (např. disk a cloud)
• 1 kopie offline (odpojená od sítě)

Školení: Nauč zaměstnance rozpoznat phishing a nedůvěryhodné přílohy. Vyhýbej se podezřelým e-mailům s odkazy nebo přílohami.

Ochrana systému: Aktualizuj operační systém a aplikace. Používej firewally a antivirové systémy s funkcemi detekce hrozeb.