Přijdete k počítači a místo dokumentů vidíte soubory s podivnou příponou a výzvu: „Vaše data jsou zašifrovaná, zaplaťte výkupné." Ransomware je noční můra každé firmy. Dobrá zpráva ale je, že v řadě případů existuje dešifrovací klíč zdarma — a platit útočníkům byste neměli. Ukážeme si, kdy klíč existuje, jak ho najít a co dělat, když neexistuje.

Jak vůbec může existovat klíč zdarma

Ransomware šifruje soubory pomocí kryptografie a bez správného klíče je v podstatě nemožné je rozšifrovat hrubou silou. Přesto pro stovky variant ransomwaru dešifrovací nástroj existuje. Jak to? Ze tří hlavních důvodů:

  • Chyba v kódu útočníků. Autoři ransomwaru nejsou neomylní. Když udělají chybu v implementaci šifrování, bezpečnostní experti ji dokážou využít a postavit dešifrovací nástroj — tak tomu bylo třeba u ransomwaru Petya nebo CryptXXX.
  • Zásah policie. Když se orgánům podaří zabavit servery útočníků, najdou na nich uložené klíče a zpřístupní je obětem.
  • Zveřejněné klíče. Někdy autoři sami vydají hlavní klíč — ať už z „výčitek", nebo když činnost ukončují. To se stalo například u ransomwaru TeslaCrypt.

No More Ransom: první místo, kam se podívat

Projekt No More Ransom vznikl v roce 2016 ze spolupráce Europolu, nizozemské policie a bezpečnostních firem. Shromažďuje dešifrovací nástroje a klíče na jednom místě a dnes pokrývá více než sto rodin ransomwaru. Vše je zdarma. Postup je jednoduchý:

  • Crypto Sheriff. Na webu projektu nahrajete ukázku zašifrovaného souboru (a případně výzvu k výkupnému). Nástroj se pokusí určit, o jaký ransomware jde.
  • Dešifrovací nástroj. Pokud pro danou variantu existuje řešení, projekt vám nabídne nástroj ke stažení i s návodem.
  • Když řešení není. Ne každý ransomware jde dešifrovat. Nové klíče ale přibývají průběžně — má proto smysl zašifrovaná data nemazat a zkusit to znovu za čas.
⚠️
Stahujte dešifrovací nástroje jen z oficiálního zdroje (nomoreransom.org a odkazované stránky renomovaných bezpečnostních firem). Podvodné „dešifrovače" kolující po internetu jsou často samy malware, který situaci ještě zhorší.

Spustit audit zdarma

Prověříme bezpečnost vaší domény — výsledek do e‑mailu.

Proč výkupné neplatit

Zaplatit se může zdát jako nejrychlejší cesta zpět k datům. Ve skutečnosti je to špatný nápad hned z několika důvodů:

  • Žádná záruka. Platíte zločincům. Nemáte jistotu, že klíč vůbec dostanete — a i když ho dostanete, obnova bývá neúplná.
  • Terč pro další útok. Kdo zaplatil jednou, je označen jako ochotný platit. Riziko opakovaného útoku roste.
  • Financujete zločin. Každé výkupné je investice do dalšího vývoje ransomwaru a dalších obětí.
  • Data mohou být pryč. Některé varianty (třeba NotPetya) data rovnou ničí — výkupné nedává smysl, protože co dešifrovat neexistuje.

Nejlepší dešifrovací klíč je záloha

Ať už klíč existuje, nebo ne, existuje jedna metoda obnovy, která funguje vždycky: otestovaná záloha. Když máte data bezpečně zazálohovaná mimo dosah ransomwaru, útok pro vás znamená nepříjemnost, ne katastrofu — postižené systémy prostě obnovíte ze zálohy.

Držte se pravidla 3-2-1: alespoň 3 kopie dat, na 2 různých médiích, z toho 1 mimo firmu (ideálně neměnná, tzv. immutable záloha, kterou ransomware nepřepíše). A hlavně — obnovu ze zálohy si čas od času vyzkoušejte nanečisto. Záloha, kterou jste nikdy neobnovili, je jen naděje, ne jistota.

Co dělat hned po útoku

Pokud ransomware právě řádí, jednejte v tomto pořadí: odpojte zasažené zařízení od sítě (kabel i Wi-Fi), aby se nákaza nešířila dál; nevypínejte ho ale hned natvrdo (v paměti mohou být stopy užitečné pro obnovu); zdokumentujte výzvu k výkupnému a příponu souborů; a zavolejte odborníka, případně nahlaste incident. Teprve pak zkoušejte identifikaci ransomwaru a hledání klíče.

Co si odnést

  • Pro stovky variant ransomwaru existuje dešifrovací nástroj zdarma — začněte na projektu No More Ransom (Crypto Sheriff).
  • Klíče vznikají z chyb útočníků, ze zabavených serverů nebo je autoři sami zveřejní.
  • Výkupné neplaťte — nemáte záruku, financujete zločin a stáváte se terčem znovu.
  • Nástroje stahujte jen z oficiálních zdrojů, jinak riskujete další malware.
  • Otestovaná záloha podle pravidla 3-2-1 je jediná obrana, která funguje vždy.

Nechcete se do téhle situace vůbec dostat? Jak ransomwaru předcházet, jsme rozebrali v článku Ransomware: jak se bránit. Rádi vám nastavíme spolehlivé zálohování a obranu v rámci kybernetické bezpečnosti. Stav své ochrany zjistíte nezávazným online auditem nebo si stáhněte náš checklist kybernetické bezpečnosti.