Přijdete k počítači a místo dokumentů vidíte soubory s podivnou příponou a výzvu: „Vaše data jsou zašifrovaná, zaplaťte výkupné." Ransomware je noční můra každé firmy. Dobrá zpráva ale je, že v řadě případů existuje dešifrovací klíč zdarma — a platit útočníkům byste neměli. Ukážeme si, kdy klíč existuje, jak ho najít a co dělat, když neexistuje.
Jak vůbec může existovat klíč zdarma
Ransomware šifruje soubory pomocí kryptografie a bez správného klíče je v podstatě nemožné je rozšifrovat hrubou silou. Přesto pro stovky variant ransomwaru dešifrovací nástroj existuje. Jak to? Ze tří hlavních důvodů:
- Chyba v kódu útočníků. Autoři ransomwaru nejsou neomylní. Když udělají chybu v implementaci šifrování, bezpečnostní experti ji dokážou využít a postavit dešifrovací nástroj — tak tomu bylo třeba u ransomwaru Petya nebo CryptXXX.
- Zásah policie. Když se orgánům podaří zabavit servery útočníků, najdou na nich uložené klíče a zpřístupní je obětem.
- Zveřejněné klíče. Někdy autoři sami vydají hlavní klíč — ať už z „výčitek", nebo když činnost ukončují. To se stalo například u ransomwaru TeslaCrypt.
No More Ransom: první místo, kam se podívat
Projekt No More Ransom vznikl v roce 2016 ze spolupráce Europolu, nizozemské policie a bezpečnostních firem. Shromažďuje dešifrovací nástroje a klíče na jednom místě a dnes pokrývá více než sto rodin ransomwaru. Vše je zdarma. Postup je jednoduchý:
- Crypto Sheriff. Na webu projektu nahrajete ukázku zašifrovaného souboru (a případně výzvu k výkupnému). Nástroj se pokusí určit, o jaký ransomware jde.
- Dešifrovací nástroj. Pokud pro danou variantu existuje řešení, projekt vám nabídne nástroj ke stažení i s návodem.
- Když řešení není. Ne každý ransomware jde dešifrovat. Nové klíče ale přibývají průběžně — má proto smysl zašifrovaná data nemazat a zkusit to znovu za čas.
Spustit audit zdarma
Prověříme bezpečnost vaší domény — výsledek do e‑mailu.
Proč výkupné neplatit
Zaplatit se může zdát jako nejrychlejší cesta zpět k datům. Ve skutečnosti je to špatný nápad hned z několika důvodů:
- Žádná záruka. Platíte zločincům. Nemáte jistotu, že klíč vůbec dostanete — a i když ho dostanete, obnova bývá neúplná.
- Terč pro další útok. Kdo zaplatil jednou, je označen jako ochotný platit. Riziko opakovaného útoku roste.
- Financujete zločin. Každé výkupné je investice do dalšího vývoje ransomwaru a dalších obětí.
- Data mohou být pryč. Některé varianty (třeba NotPetya) data rovnou ničí — výkupné nedává smysl, protože co dešifrovat neexistuje.
Nejlepší dešifrovací klíč je záloha
Ať už klíč existuje, nebo ne, existuje jedna metoda obnovy, která funguje vždycky: otestovaná záloha. Když máte data bezpečně zazálohovaná mimo dosah ransomwaru, útok pro vás znamená nepříjemnost, ne katastrofu — postižené systémy prostě obnovíte ze zálohy.
Co dělat hned po útoku
Pokud ransomware právě řádí, jednejte v tomto pořadí: odpojte zasažené zařízení od sítě (kabel i Wi-Fi), aby se nákaza nešířila dál; nevypínejte ho ale hned natvrdo (v paměti mohou být stopy užitečné pro obnovu); zdokumentujte výzvu k výkupnému a příponu souborů; a zavolejte odborníka, případně nahlaste incident. Teprve pak zkoušejte identifikaci ransomwaru a hledání klíče.
Co si odnést
- Pro stovky variant ransomwaru existuje dešifrovací nástroj zdarma — začněte na projektu No More Ransom (Crypto Sheriff).
- Klíče vznikají z chyb útočníků, ze zabavených serverů nebo je autoři sami zveřejní.
- Výkupné neplaťte — nemáte záruku, financujete zločin a stáváte se terčem znovu.
- Nástroje stahujte jen z oficiálních zdrojů, jinak riskujete další malware.
- Otestovaná záloha podle pravidla 3-2-1 je jediná obrana, která funguje vždy.
Nechcete se do téhle situace vůbec dostat? Jak ransomwaru předcházet, jsme rozebrali v článku Ransomware: jak se bránit. Rádi vám nastavíme spolehlivé zálohování a obranu v rámci kybernetické bezpečnosti. Stav své ochrany zjistíte nezávazným online auditem nebo si stáhněte náš checklist kybernetické bezpečnosti.