Ransomware — co to jest? Definicja, rodzaje i przykłady (WannaCry)

Ransomware — czym jest, jak działa, rodzaje i słynny atak WannaCry. Dowiedz się, jak chronić dane przed szyfrowaniem, uniknąć okupu i ograniczyć ryzyko infekcji.

Autor: Leandro Alegsa

Ransomware jest rodzajem złośliwego oprogramowania. Ogranicza dostęp do systemu komputerowego, który zainfekował lub danych, które przechowuje (często przy użyciu technik szyfrowania) i żąda zapłaty okupu na rzecz twórcy (twórców) złośliwego oprogramowania. Ma to na celu usunięcie tego ograniczenia. Niektóre formy oprogramowania okupowego szyfrują pliki na dysku twardym systemu. Inne mogą po prostu zablokować system i wyświetlać komunikaty mające na celu przekonanie użytkownika do zapłaty. Z punktu widzenia technicznego ransomware korzysta z różnych metod szyfrowania (symetrycznego i asymetrycznego), mechanizmów zabezpieczających klucze szyfrujące oraz technik utrudniających odzyskanie kluczy przez właściciela systemu.

Ransomware po raz pierwszy stał się popularny w Rosji. Obecnie na całym świecie wzrosło wykorzystanie oszustw związanych z okupem. W czerwcu 2013 r. firma McAfee poinformowała, że w pierwszych trzech miesiącach 2013 r. zebrała ponad 250 000 unikalnych próbek oprogramowania typu "ransomware" — to ponad dwukrotnie więcej niż w roku poprzednim. CryptoLocker, robak zajmujący się okupem, który pojawił się pod koniec 2013 roku, zebrał szacunkowo 3 miliony dolarów, zanim został zdemontowany przez władze. Od tego czasu pojawiły się kolejne fale ataków, a model biznesowy przestępców ewoluował — przykładem jest model RaaS (Ransomware-as-a-Service), który umożliwia mniej zaawansowanym przestępcom wynajmowanie gotowych ładunków i infrastruktury.

W maju 2017 r. na całym świecie rozlał się kawałek okupu o nazwie WannaCry. Trwał on cztery dni i dotknął ponad 200 000 komputerów w 150 krajach. Tylko około 130.000 dolarów (USD) zostało kiedykolwiek zapłacone w formie okupu, ale atak dotknął wiele dużych firm i organizacji. Narodowa Służba Zdrowia (NHS) Wielkiej Brytanii została mocno uderzona przez WannaCry. Szpitale nie miały dostępu do swoich plików, a tak wiele operacji zostało odwołanych i pacjenci musieli zostać odwróceni. NHS była szczególnie zagrożona, ponieważ korzystała z wersji systemu operacyjnego Windows o nazwie Windows XP, której firma Microsoft już nie obsługiwała. Oznaczało to, że Microsoft nie wysyłał aktualizacji zabezpieczeń dla tej wersji systemu Windows, pozostawiając ją otwartą dla wirusa WannaCry. Inne systemy zostały dotknięte ryzykiem, mimo że korzystały z nowszych wersji systemu Windows, ponieważ ich użytkownicy nie zainstalowali jeszcze najnowszych aktualizacji zabezpieczeń. Mimo, że WannaCry nie został zaprojektowany tak, by faktycznie niszczyć komputery lub ich pliki, doprowadził on do ogromnej straty czasu i pieniędzy, pokazując, jak bardzo świat jest nadal podatny na ataki z wykorzystaniem oprogramowania okupowego.

Jak działa ransomware?

  • Infekcja: najczęściej następuje przez zainfekowane załączniki e-mail (phishing), złośliwe linki, luki w oprogramowaniu (drive-by downloads), zestawy exploitów lub niechroniony dostęp zdalny (RDP).
  • Szyfrowanie: po uruchomieniu ransomware skanuje dyski i sieć w poszukiwaniu cennych plików, a następnie szyfruje je za pomocą algorytmów kryptograficznych; często klucze szyfrujące są przechowywane na serwerach przestępców.
  • Blokada systemu: niektóre warianty zamiast szyfrować, blokują ekran (locker ransomware) i uniemożliwiają korzystanie z maszyny.
  • Wymuszenia: pojawia się wiadomość z instrukcją zapłaty okupu (zwykle w kryptowalutach), terminem i groźbą skasowania kluczy lub wycieku danych.
  • Utrudnianie odzysku: ransomware często usuwa kopie woluminów, wyłącza usługi przywracania systemu, a także szyfruje pliki kopii zapasowych, by utrudnić odzyskanie bez zapłacenia.

Główne rodzaje ransomware

  • Crypto-ransomware (szyfrujące): szyfruje pliki użytkownika i wymaga odszyfrowania (np. CryptoLocker).
  • Locker ransomware: blokuje dostęp do systemu bez szyfrowania plików, uniemożliwiając korzystanie z pulpitu.
  • Doxware / leakware: oprócz szyfrowania grozi publikacją wykradzionych danych, w celu zwiększenia presji na ofiarę.
  • RaaS (Ransomware-as-a-Service): model, gdzie autorzy sprzedają lub udostępniają narzędzia innym przestępcom, którzy wykonują ataki.

Jak ransomware się rozprzestrzenia?

  • Phishing (złośliwe załączniki, makra w dokumentach).
  • Wykorzystanie luk w oprogramowaniu i niezałatanych systemów.
  • Zainfekowane reklam (malvertising) i złośliwe strony internetowe.
  • Ataki na zdalny pulpit (RDP), słabe hasła i brak ograniczeń dostępu.
  • Ruch boczny w sieci — po kompromitacji jednego komputera atakujący próbuje rozprzestrzenić się na serwery i inne stacje robocze.

Znane przykłady ataków

  • CryptoLocker (2013): jeden z pierwszych głośnych przypadków szyfrujących oprogramowań okupowych, zebrał miliony dolarów.
  • WannaCry (2017): gwałtownie rozprzestrzeniał się dzięki wykorzystaniu luki w protokole SMB i załączonych exploitów, sparaliżował organizacje na całym świecie — w tym NHS.
  • NotPetya (2017): początkowo przypominał ransomware, ale był zaprojektowany bardziej jako narzędzie destrukcyjne niż źródło zarobku.
  • W ostatnich latach aktywne były też rodziny takie jak Ryuk, Conti czy REvil, atakujące głównie większe przedsiębiorstwa i placówki publiczne.

Jak się chronić przed ransomware?

  • Regularne kopie zapasowe: wykonuj je często i przechowuj offline lub w wydzielonej, odizolowanej lokalizacji. Testuj proces przywracania danych.
  • Aktualizacje i łaty: instaluj poprawki systemowe i aplikacyjne (zwłaszcza dotyczące krytycznych usług jak SMB).
  • Ograniczenie uprawnień: stosuj zasadę najmniejszych uprawnień (least privilege) oraz segregację sieci.
  • Bezpieczeństwo poczty: filtrowanie załączników, blokowanie makr oraz edukacja użytkowników w zakresie phishingu.
  • Silne uwierzytelnianie: wieloskładnikowe uwierzytelnianie (MFA) dla zdalnych dostępów i kont administracyjnych.
  • Narzędzia ochronne: antywirusy, EDR/EDR XDR, systemy wykrywania włamań, a także monitoring ruchu sieciowego.
  • Segmentacja sieci: ogranicza możliwość rozprzestrzeniania się infekcji w infrastrukturze.
  • Polityki i procedury: plan reagowania na incydenty, regularne szkolenia i ćwiczenia.

Co robić po ataku?

  • Odłącz zainfekowane urządzenia od sieci, aby zapobiec dalszemu rozprzestrzenianiu.
  • Zabezpiecz dowody (logi, obrazy dysków) i skonsultuj się z zespołem ds. bezpieczeństwa lub firmą zajmującą się reagowaniem na incydenty.
  • Powiadom odpowiednie organy ścigania i regulatorów — w niektórych krajach zgłoszenie jest obowiązkowe.
  • Sprawdź dostępność narzędzi do odszyfrowania (np. projekty typu „No More Ransom”) — czasami dostępne są bezpłatne rozwiązania dla znanych wariantów.
  • Rozważ decyzję o zapłacie okupu ostrożnie — płatność nie gwarantuje odzyskania danych i finansuje przestępczość.

Czy warto płacić okup?

W większości przypadków specjalistyczne zespoły i organy ścigania odradzają płacenie okupu. Płatność:

  • nie daje gwarancji odzyskania danych,
  • zachęca przestępców do dalszych ataków,
  • może być niezgodna z prawem w niektórych jurysdykcjach (np. gdy transakcja wspiera organizacje przestępcze lub sankcjonowane podmioty).

Zamiast tego lepszym rozwiązaniem jest posiadanie sprawnych kopii zapasowych, współpraca ze specjalistami i zgłoszenie incydentu odpowiednim służbom.

Perspektywy i wnioski

Ransomware pozostaje jednym z najbardziej kosztownych i powszechnych zagrożeń dla firm i instytucji. Ewolucja technik przestępców (RaaS, szyfrowanie z wyciekiem danych, ataki ukierunkowane) sprawia, że ochrona powinna być wielowarstwowa: technologia, procedury, edukacja użytkowników i gotowość operacyjna. Kluczowe są prewencja (kopie zapasowe, łaty, segmentacja) oraz szybka i skoordynowana reakcja na incydenty.

Pytania i odpowiedzi

P: Co to jest ransomware?


O: Ransomware to rodzaj złośliwego oprogramowania, które ogranicza dostęp do systemu komputerowego lub jego danych, często przy użyciu technik szyfrowania, i żąda od użytkownika zapłacenia okupu w celu usunięcia ograniczenia.

P: Jak oprogramowanie ransomware stało się popularne?


O: Ransomware stało się najpierw popularne w Rosji, ale od tego czasu jego użycie wzrosło na skalę międzynarodową.

P: Ile unikalnych próbek oprogramowania ransomware zostało zebranych przez McAfee w 2013 roku?


O: Firma McAfee poinformowała o zebraniu ponad 250 000 unikalnych próbek oprogramowania ransomware w pierwszych trzech miesiącach 2013 r.

P: Jaka była szacunkowa kwota zebrana przez CryptoLockera przed jego usunięciem?


O: Według doniesień, CryptoLocker zebrał szacunkową kwotę 3 milionów USD, zanim został zdjęty przez władze.

P: Co się stało podczas ataku WannaCry w 2017 roku?


O: Atak WannaCry rozprzestrzenił się na całym świecie i objął ponad 200 000 komputerów w 150 krajach. Trwał cztery dni i zapłacono tylko około 130 000 USD (okup). Szczególnie mocno ucierpiała brytyjska Narodowa Służba Zdrowia (NHS), ponieważ używała ona przestarzałej wersji systemu Windows, której Microsoft nie wspierał już aktualizacjami bezpieczeństwa.

P: Dlaczego niektóre systemy były nadal zagrożone, mimo że miały zainstalowane nowsze wersje Windows?


O: Niektóre systemy były nadal zagrożone, mimo że miały zainstalowane nowsze wersje systemu Windows, ponieważ ich użytkownicy nie zainstalowali jeszcze najnowszych aktualizacji zabezpieczeń.

P: Jaki wpływ miał WannaCry na ludzi i organizacje na całym świecie?


O: Wirus WannaCry spowodował wiele strat czasu i pieniędzy u ludzi i organizacji na całym świecie, pokazując, jak bardzo jesteśmy podatni na ataki ransomware.


Przeszukaj encyklopedię
AlegsaOnline.com - 2020 / 2025 - License CC3