Ransomware – co to je a jak se chránit?

Ransomware je typ škodlivého softwaru, který po průniku do zařízení zašifruje soubory uživatele nebo celé disky a poté požaduje výkupné (ransom v angličtině) za jejich zpřístupnění. Útočníci zpravidla požadují platbu v kryptoměnách – nejčastěji v bitcoinu – aby transakci co nejhůře dohledala policie.

Ransomware patří v současnosti k ekonomicky nejzničivějším formám malwaru.

Jak ransomwarový útok probíhá

Typický útok prochází několika fázemi:

1. Průnik – ransomware se dostane do zařízení přes phishingový e-mail, škodlivou přílohu, infikovaný odkaz nebo zranitelnost v softwaru. Útočníci stále častěji zneužívají špatně zabezpečený protokol RDP (vzdálená plocha), který je přístupný z internetu.

2. Usídlení a průzkum – po prvním průniku sofistikovaný ransomware chvíli tiše „leží” a mapuje síť. Šíří se na další počítače a hledá zálohovací systémy, které by se pokusil také zašifrovat nebo smazat.

3. Šifrování – ransomware začne šifrovat soubory silnými kryptografickými algoritmy (typicky AES-256 kombinovaný s RSA). Moderní varianty zašifrují desítky tisíc souborů za minuty. Bez dešifrovacího klíče, který drží útočník, jsou data nepřístupná.

4. Oznámení o výkupném – na ploše nebo ve složkách se objeví soubor s instrukcemi (typicky README.txt nebo HTML stránka): výše výkupného, adresa bitcoinové peněženky a lhůta, po jejímž uplynutí se cena zvýší nebo klíč bude smazán.

5. Dvojité vydírání – novější útočníci data nejen šifrují, ale předtím je ukradnou. Hrozí jejich zveřejněním na „leak stránkách” i v případě, že oběť zálohu má a výkupné neplatí.

Příklady a dopady v České republice

Ransomware zasáhl českou infrastrukturu opakovaně. K veřejně známým případům patřily útoky na nemocnice (Benešov 2019, Brno 2020) nebo vzdělávací instituce. NÚKIB ve svých ročních zprávách opakovaně identifikuje ransomware jako jednu z hlavních hrozeb pro tuzemské organizace. V roce 2024 NÚKIB zaznamenal 268 kybernetických incidentů postihujících kritickou infrastrukturu.

Domácí uživatelé jsou cílem zpravidla méně sofistikovaných, ale masově rozesílaných variant – například přes falešné e-mailové přílohy zneužívající jméno České spořitelny, ČSOB nebo Zásilkovny.

Jak se před ransomwarem chránit

Zálohy jsou nejdůležitější obrannou linií. Platí pravidlo 3-2-1: tři kopie dat, na dvou různých typech médií, přičemž jedna záloha je mimo budovu (nebo offline). Klíčové je, aby zálohovací médium nebylo trvale připojeno k počítači – ransomware totiž v první řadě hledá přístupná záložní úložiště a zašifruje je také.

Cloudové zálohy se správou verzí (například funkce „Předchozí verze” ve Windows nebo verzování v cloudových službách) umožňují obnovit soubory do stavu před útokem.

Pravidelné aktualizace systému a aplikací odstraňují zranitelnosti, které ransomware zneužívá k průniku. To platí zejména pro RDP – pokud vzdálená plocha není nutná, deaktivujte ji.

Obezřetnost u e-mailů – viz obecný přehled Bezpečnost na internetu: kompletní průvodce pro rok 2026. Nepříjemná pravda je, že ransomware nejčastěji pronikne přes e-mailovou přílohu, kterou uživatel sám otevře.

Antivirus s behaviorální analýzou dokáže zachytit ransomware v okamžiku, kdy začne hromadně šifrovat soubory, a útok přerušit dřív, než způsobí velké škody.

Pokud k útoku dojde

Při zjištění ransomwarového útoku okamžitě:

1. Odpojte zařízení od sítě (wifi, ethernet, VPN) – zabráníte šíření na další počítače.
2. Neplaťte výkupné bez předchozí konzultace s odborníkem – nejdříve ověřte, zda pro daný ransomware neexistuje bezplatný dešifrovací nástroj na nomoreransom.org.
3. Nahlaste incident na CSIRT.CZ (abuse@csirt.cz) nebo, pokud jste firma z odvětví kritické infrastruktury, přímo na NÚKIB.
4. Obnovte ze zálohy po čisté reinstalaci systému – pokus o odstranění ransomwaru ze zašifrovaného systému je spolehlivý jen zřídka.