legnicatech
Kontakt

Co zrobić po ataku ransomware — 7 kroków

Pliki zaszyfrowane, na ekranie żądanie okupu, firma stoi. Zachowaj spokój — przeprowadzimy Cię przez pierwsze kroki, które ograniczą szkody i pomogą odzyskać dane.

IT i wsparcie9 min czytania
Ekran firmowego komputera z komunikatem żądania okupu po ataku ransomware

Pierwsze kroki — co robić od razu

Odłącz zaatakowane komputery od sieci — kabla i Wi-Fi — ale ich nie wyłączaj. Nie płać okupu, zabezpiecz dowody i zgłoś incydent. Potem odtwórz dane z czystej kopii zapasowej.

Ransomware to złośliwy program, który szyfruje Twoje pliki i żąda zapłaty za ich odblokowanie. Atak zwykle widać od razu: kasa nie działa, system magazynowy stoi, na ekranie jest okno z żądaniem okupu.

Najważniejsze są pierwsze minuty. Poniżej masz siedem kroków po kolei — od izolacji sprzętu po zgłoszenie incydentu.

W kroku szóstym wracają dwie instytucje. CERT Polska to rządowy zespół, który pomaga firmom po ataku komputerowym i zbiera zgłoszenia incydentów. UODO to Urząd Ochrony Danych Osobowych, do którego zgłasza się wyciek danych.

Krok 1: Odłącz, nie wyłączaj

Odłącz zaatakowany komputer od sieci — wyjmij kabel i wyłącz Wi-Fi. Chodzi o to, by ransomware nie rozszedł się na inne maszyny i dyski sieciowe w firmie.

Nie naciskaj przycisku zasilania. CERT Polska zaleca, by maszyny nie wyłączać — w pamięci komputera zostają ślady, które bywają potrzebne do analizy i odzyskania danych.

Komputer wyłącz tylko wtedy, gdy nie da się go odłączyć od sieci w żaden inny sposób. Można też zostawić go w trybie hibernacji — to bezpieczniejsze niż twarde wyłączenie.

Jeśli atak objął kilka stanowisk, odłącz wszystkie po kolei. Odetnij też dostęp do wspólnego serwera plików, zanim szyfrowanie pójdzie dalej.

Krok 2: Nie płać okupu

Nie płać. CERT Polska jednoznacznie zaleca, by okupu nie płacić — zapłata nie gwarantuje, że odzyskasz pliki.

Zdarza się, że po przelewie przestępcy znikają albo przysyłają klucz, który działa tylko częściowo. Znane są też przypadki, gdy ta sama firma została zaatakowana ponownie po zapłacie.

Coraz częściej atakujący nie tylko szyfrują dane, ale też je wykradają i grożą publikacją. Zapłata okupu nie cofa tego, że Twoje dane są już w ich rękach.

Płacąc, finansujesz dalsze ataki — na Ciebie i na inne firmy. Zanim w ogóle pomyślisz o okupie, sprawdź kopię zapasową i darmowe narzędzia z kroku piątego.

Krok 3: Zabezpiecz dowody

Zanim cokolwiek skasujesz lub przeinstalujesz, zabezpiecz ślady ataku. Przydadzą się i do zgłoszenia, i do późniejszego odzyskania danych.

Najlepiej zrób kopię zaszyfrowanych plików na osobny nośnik. Jeśli kiedyś pojawi się darmowy program do odszyfrowania, będziesz miał z czego odzyskać dane.

Co warto zachować

  • Treść żądania okupu — zrób zdjęcie ekranu lub zapisz plik z notatką od przestępców.
  • Przynajmniej dwa przykładowe zaszyfrowane pliki — pomogą rozpoznać rodzinę ransomware.
  • Logi z czasu infekcji — z komputera, serwera, firewalla, jeśli je masz.
  • Oryginalne pliki, które gdzieś ocalały — choćby na pendrivie albo w mailu.

Nie kasuj komunikatu o okupie i nie formatuj dysku „na szybko”. To są dowody — usunięcie ich utrudni zarówno zgłoszenie, jak i odzyskanie plików.

Krok 4: Znajdź źródło i je usuń

Atak miał gdzieś swój początek. Jeśli go nie zamkniesz, przestępcy wrócą — nawet po odtworzeniu danych z kopii.

Najczęstsze drogi wejścia to luki w usługach dostępnych z internetu i słabe hasła do zdalnego dostępu. Trzecia typowa droga to mail z phishingiem — podrobiona wiadomość, która podstępem nakłania do kliknięcia.

Typowe drogi wejścia

  • Niezałatane luki w usługach dostępnych z internetu — VPN (zdalny dostęp do sieci firmy), pulpit zdalny (RDP), serwer pocztowy.
  • Słabe lub powtarzane hasła do zdalnego dostępu, bez weryfikacji dwuetapowej.
  • Mail phishingowy z zainfekowanym załącznikiem lub linkiem.

Zmień wszystkie hasła zdalnego dostępu i wyłącz usługi, których nie potrzebujesz. Jeśli nie wiesz, którędy weszli, to jest moment, by zadzwonić po kogoś, kto to sprawdzi.

Krok 5: Sprawdź, czy jest darmowy klucz

Czasem dane da się odzyskać bez płacenia i bez kopii. Dla wielu rodzin ransomware istnieją darmowe programy do odszyfrowania.

Najpierw ustal, jaka rodzina ransomware Cię zaatakowała. Pomaga w tym strona id-ransomware.malwarehunterteam.com — wgrywasz przykładowy plik i notatkę o okupie, a serwis rozpoznaje typ.

Potem sprawdź nomoreransom.org — wspólny projekt policji i firm bezpieczeństwa. Znajdziesz tam darmowe narzędzia do odszyfrowania, jeśli istnieją dla Twojego przypadku.

Nie dla każdej rodziny taki klucz powstał. Ale to darmowy i bezpieczny krok, który warto wykonać, zanim ktokolwiek pomyśli o okupie.

Krok 6: Zgłoś incydent — gdzie i kiedy

Atak ransomware zgłasza się w dwóch miejscach, na dwóch różnych zasadach. Jedno dotyczy samego incydentu, drugie — danych osobowych, które mogły wyciec.

Zgłoszenie do CERT Polska

CERT Polska działa w ramach CSIRT NASK — zespołu reagowania na incydenty przy państwowym instytucie badawczym. Atak zgłosisz przez formularz na incydent.cert.pl lub mailem na cert@cert.pl.

Zgłoszenie do CERT warto wysłać zawsze — pomagają, doradzają i zbierają dane o kampaniach ataków. Dla większości małych firm to zgłoszenie dobrowolne, ale bardzo przydatne.

Część firm będzie miała jednak twardy obowiązek prawny. Wynika on z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która wchodzi w życie 3 kwietnia 2026.

Podmioty objęte tą ustawą będą zgłaszać incydent do właściwego CSIRT niezwłocznie — nie później niż w 24 godziny od wykrycia.

Obejmie to głównie tak zwane podmioty kluczowe i ważne — energetykę, transport, ochronę zdrowia, dostawców usług cyfrowych. Jeśli nie wiesz, czy Twoja firma będzie objęta ustawą, sprawdź to z kimś, kto zna przepisy.

Zgłoszenie do UODO

Jeśli w ataku wyciekły lub mogły wyciec dane osobowe — klientów, pracowników, kontrahentów — zgłaszasz to do Prezesa UODO. Robisz to w 72 godziny od stwierdzenia naruszenia. To wymóg z artykułu 33 RODO.

Po upływie 72 godzin zgłoszenie nadal trzeba wysłać — ale z wyjaśnieniem, dlaczego się spóźniło. Jeśli ryzyko dla osób jest wysokie, masz też obowiązek zawiadomić je same, prostym językiem (artykuł 34 RODO).

CERT czy UODO — kto, kiedy, czego dotyczy

Dwa zgłoszenia łatwo pomylić, więc zestawiamy je obok siebie. Jeden atak może uruchomić oba naraz.

Zgłoszenie do CERT Polska

  • Czego dotyczy: incydentu komputerowego — samego ataku ransomware.
  • Gdzie: incydent.cert.pl lub cert@cert.pl.
  • Kiedy: dla większości firm dobrowolnie, im szybciej tym lepiej.
  • Termin ustawowy 24 godzin: tylko dla podmiotów objętych ustawą o krajowym systemie cyberbezpieczeństwa.

Zgłoszenie do UODO

  • Czego dotyczy: naruszenia danych osobowych — gdy wyciekły dane ludzi.
  • Gdzie: do Prezesa UODO, przez formularz na uodo.gov.pl.
  • Kiedy: w 72 godziny od stwierdzenia naruszenia (artykuł 33 RODO).
  • Kto zgłasza: Twoja firma jako administrator danych, nie firma IT.

Krok 7: Odtwórz dane z czystej kopii

Gdy źródło ataku jest zamknięte, a dowody zabezpieczone, czas przywrócić firmę do pracy. Odtwarzaj dane tylko z kopii, co do której masz pewność, że jest czysta.

Zacznij od systemów najważniejszych dla firmy — tych, bez których nie sprzedasz i nie zafakturujesz. W hurtowni będzie to magazyn i kasa, w biurze rachunkowym dane kadrowo-płacowe klientów.

Nie wgrywaj kopii na zainfekowany jeszcze sprzęt. Najpierw maszyny trzeba wyczyścić albo postawić na nowo, dopiero potem przywracać pliki.

Jeśli kopii nie ma albo jest stara, to twarda lekcja na przyszłość. Dobra kopia zapasowa to różnica między godziną przestoju a utratą danych z całego miesiąca.

Częste błędy i jak ich uniknąć

W panice łatwo o ruchy, które pogarszają sytuację. Oto te, które widujemy najczęściej u firm z Legnicy, Lubina i Polkowic.

  • Wyłączenie komputera „dla bezpieczeństwa” — kasuje ślady przydatne do odzyskania danych.
  • Zapłata okupu od ręki — bez sprawdzenia kopii i darmowych narzędzi z kroku piątego.
  • Wgranie kopii na wciąż zainfekowany sprzęt — atak wraca po kilku godzinach.
  • Brak zgłoszenia do UODO przy wycieku danych — to realne ryzyko kary.
  • Brak jakiejkolwiek kopii zapasowej — najczęstszy powód, dla którego dane przepadają.

Krótki przykład z naszego podwórka

Wyobraź sobie hurtownię spod Lubina. Pracownik klika w załącznik z maila, w nocy ransomware szyfruje serwer magazynowy. Rano nikt nie zafakturuje ani nie wyda towaru.

Dobry scenariusz: serwer odłączony od sieci, źródło znalezione, dane odtworzone z wczorajszej kopii. Firma rusza po kilku godzinach, a wyciek danych klientów trafia do UODO w terminie.

Zły scenariusz: ktoś wyłączył serwer, skasował komunikat i zapłacił okup. Kopii nie było, klucz nie zadziałał, a magazyn stał trzy dni. To różnica, którą robi przygotowanie.

Lepiej zapobiec niż odzyskiwać

Najtańsza obrona przed ransomware to ta, która zadziała, zanim atak nastąpi. Trzy rzeczy dają największy efekt przy najmniejszym koszcie.

  • Sprawdzona kopia zapasowa zasadą 3-2-1 — trzy kopie, dwa różne nośniki, jedna trzymana poza firmą.
  • Regularne aktualizacje systemów i programów — łatają luki, którymi wchodzą atakujący.
  • EDR (ochrona stacji końcowych) — program, który wykrywa i blokuje podejrzane działania na komputerach, zanim zaszyfrują dane.

Jak zbudować taką kopię krok po kroku, opisaliśmy osobno — przeczytaj o kopii zapasowej zasadą 3-2-1. To naturalna para do tego poradnika.

Tym wszystkim na co dzień zajmuje się stała obsługa IT dla firm. Jeden opiekun pilnuje kopii, aktualizacji i ochrony — żebyś nie czytał tego poradnika w środę o ósmej rano.

Chcesz najpierw sprawdzić, gdzie Twoja firma jest najbardziej narażona? Zacznij od audytu bezpieczeństwa IT — pokaże, co załatać w pierwszej kolejności. A jeśli szukasz kogoś, kto przejmie obsługę na stałe, popatrz na outsourcing IT.

FAQ

Najczęstsze pytania

Czytaj dalej

Zobacz także