Ransomware to złośliwe oprogramowanie, które szyfruje pliki na zainfekowanym urządzeniu i żąda okupu za ich odblokowanie - najczęściej w kryptowalutach, bo te trudniej namierzyć. Do komputera trafia zwykle przez załącznik w mailu phishingowym, lukę w nieaktualnym oprogramowaniu albo pobrany z sieci plik. Ochrona sprowadza się do trzech rzeczy: kopii zapasowej odłączonej od komputera, aktualnego systemu i antywirusa z modułem anty-ransomware. W tym artykule znajdziesz dokładne omówienie każdego z tych punktów oraz instrukcję, co robić, gdy atak już nastąpił.
Ile ataków ransomware jest w Polsce? Dane z 2025 roku
Ransomware przestał być problemem wyłącznie korporacji i szpitali. W 2025 roku CERT Polska odnotował rekordową liczbę zgłoszeń od małych i średnich firm - od biur rachunkowych po gabinety stomatologiczne. Ataki są zautomatyzowane, więc atakujących nie interesuje wielkość ofiary. Interesuje ich, czy ofiara zapłaci.
Według raportu ESET za pierwszą połowę 2025 roku, Polska była najczęściej atakowanym krajem na świecie pod względem ransomware - 6% wszystkich globalnych ataków trafiało na polskie firmy i instytucje. 21 dni przestoju to dla małej firmy często koniec działalności. Dane klientów zaszyfrowane, faktury niedostępne, systemy wyłączone. A okup to nie jedyny koszt - dochodzą kary RODO za wyciek danych, utrata klientów i koszty odbudowy infrastruktury.
Czym jest ransomware i jak działa?
Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na zainfekowanym urządzeniu. Po zaszyfrowaniu wyświetla komunikat z żądaniem okupu - najczęściej w kryptowalutach, bo trudniejszych do śledzenia. Dopóki nie zapłacisz (albo nie odzyskasz danych inaczej), pliki są niedostępne.
Typowy atak wygląda tak:
-
Infekcja. Otwierasz zainfekowany załącznik w mailu, klikasz w złośliwy link albo atakujący wykorzystuje lukę w niezaktualizowanym oprogramowaniu. Ransomware instaluje się po cichu.
-
Rozpoznanie. Malware skanuje dyski lokalne, podłączone napędy sieciowe i dostępne zasoby udostępnione. Szuka dokumentów, zdjęć, baz danych - wszystkiego, co ma wartość.
-
Szyfrowanie. Pliki zostają zaszyfrowane silnym algorytmem (najczęściej AES-256 + RSA). Oryginały są usuwane. Nazwy plików zmieniają się na losowe ciągi znaków z nowym rozszerzeniem.
-
Żądanie okupu. Na ekranie pojawia się komunikat: „Twoje pliki zostały zaszyfrowane. Zapłać X BTC w ciągu 72 godzin albo dane zostaną zniszczone." Niektóre warianty grożą też opublikowaniem wykradzionych danych.
Jak ransomware trafia na komputer?
Ransomware nie pojawia się znikąd. Prawie zawsze wchodzi przez jeden z kilku sprawdzonych kanałów. Znajomość tych wektorów to połowa obrony.
Phishing - fałszywe maile z załącznikami
Najczęstszy wektor. Dostajesz mail z „fakturą" w pliku ZIP, „dokumentem do podpisu" w formacie DOCX z makrami, albo „potwierdzeniem zamówienia" w PDF. Otwierasz, makro uruchamia skrypt, skrypt pobiera ransomware. W Polsce popularne są maile podszywające się pod firmy kurierskie, ZUS i kancelarie prawne. Więcej o rozpoznawaniu takich maili w naszym poradniku o phishingu.
Niezałatane luki w oprogramowaniu
Stary Windows Server z otwartym portem RDP, niezaktualizowany serwer Exchange, VPN bez łatki bezpieczeństwa - to zaproszenia dla automatycznych skanerów. Grupy jak LockBit i Cl0p skanują internet w poszukiwaniu znanych luk i atakują masowo. Łatanie systemów w ciągu 48 godzin od publikacji poprawki eliminuje większość tego ryzyka.
Pirackie oprogramowanie i cracki
Pobierasz „darmowego" Photoshopa z torrenta albo „aktywator" Windows. W paczce, oprócz programu, siedzi ransomware. Instalator prosi o wyłączenie antywirusa „bo inaczej crack nie zadziała" - a to jedyna ochrona, która mogłaby go zatrzymać. Szczególnie częste w Polsce, gdzie piractwo wciąż jest popularne.
Złośliwe reklamy i strony internetowe
Wchodzisz na stronę z wiadomościami, wyskakuje reklama z zestawem exploitów (narzędzia wykorzystujące luki w przeglądarce). Jeśli przeglądarka lub jej wtyczki są nieaktualne, kod wykonuje się automatycznie - bez klikania. Rzadsze niż phishing, ale wciąż groźne, bo nie wymagają żadnej interakcji ze strony ofiary.
Jakie są rodzaje ransomware?
Nie każdy ransomware działa tak samo. Różnice mają znaczenie, bo wpływają na szanse odzyskania danych.
Ransomware szyfrujące (crypto ransomware)
Najgroźniejszy typ. Szyfruje pliki silnym algorytmem kryptograficznym. Bez klucza deszyfrującego (który ma atakujący) odzyskanie danych jest praktycznie niemożliwe. Przykłady: LockBit, Conti, REvil, BlackCat (ALPHV). To ten typ odpowiada za większość strat finansowych.
Ransomware blokujące (locker ransomware)
Blokuje dostęp do systemu operacyjnego - widzisz ekran z żądaniem okupu, ale pliki nie są zaszyfrowane. Łatwiejszy do usunięcia niż crypto ransomware. Częsty na telefonach z Androidem, gdzie blokuje ekran i wyświetla fałszywy komunikat „od policji".
Ransomware z wyciekiem danych (leakware / doxware)
Grozi opublikowaniem skradzionych danych zamiast (lub oprócz) szyfrowania. Szczególnie groźny dla firm przetwarzających dane osobowe - wyciek oznacza kary RODO, utratę zaufania klientów i potencjalne pozwy. Grupy jak Cl0p prowadzą dedykowane strony, na których publikują dane firm, które odmówiły zapłaty.
Jak się chronić przed ransomware?
Nie ma jednego narzędzia, które zatrzyma każdy atak. Ochrona to kilka warstw, z których każda zmniejsza ryzyko. Poniżej - od najważniejszych.
💾 Kopie zapasowe 3-2-1
Trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą. Przynajmniej jedna kopia offline (odłączona od sieci). Ransomware szyfruje wszystko, do czego ma dostęp - dyski sieciowe też. Kopia na odłączonym dysku lub w chmurze z wersjonowaniem przetrwa atak.
🔄 Aktualizacje systemu i oprogramowania
80% ataków wykorzystuje znane luki, na które łatki istnieją od tygodni lub miesięcy. Włącz automatyczne aktualizacje Windows, przeglądarki, pakietu biurowego. Dla firm: oprogramowanie do zarządzania łatkami (patch management) to inwestycja, która się zwraca przy pierwszym unikniętym ataku.
🛡️ Antywirus z ochroną przed ransomware
Nowoczesne antywirusy mają dedykowane moduły anty-ransomware. Bitdefender monitoruje zachowanie procesów i blokuje masowe szyfrowanie plików. Kaspersky wykrywa podejrzane modyfikacje i automatycznie tworzy kopie zagrożonych plików. Norton oferuje ochronę folderów przed nieautoryzowanym dostępem.
📧 Ostrożność z mailami i załącznikami
Nie otwieraj załączników od nieznanych nadawców. Nie włączaj makr w dokumentach Office, chyba że masz pewność co do źródła. Sprawdzaj adresy nadawców i linki przed kliknięciem. Więcej sygnałów ostrzegawczych opisujemy w poradniku o phishingu.
Dodatkowe warstwy ochrony
- Zasada minimalnych uprawnień - użytkownicy powinni mieć dostęp tylko do plików, których potrzebują. Administrator loguje się na konto z pełnymi uprawnieniami wyłącznie do zadań administracyjnych.
- Segmentacja sieci - oddzielenie krytycznych zasobów (serwer plików, bazy danych) od reszty sieci ogranicza rozprzestrzenianie się ransomware.
- Blokowanie makr - w środowisku firmowym warto wyłączyć makra w Office dla wszystkich użytkowników, którzy ich nie potrzebują.
- Menedżer haseł + 2FA - menedżer haseł chroni przed phishingiem (nie wpisze hasła na fałszywej stronie), a uwierzytelnianie dwuskładnikowe zatrzymuje atakującego nawet po przechwyceniu hasła.
Narzędzia, które pomagają
Bitdefender Total Security
Najlepsza ochronaModuł Advanced Threat Defense monitoruje zachowanie procesów w systemie. Gdy wykryje masowe szyfrowanie plików - typowe dla ransomware - blokuje proces i przywraca pliki do stanu sprzed ataku. W testach AV-TEST: 6/6 za ochronę, 5.5/6 za wydajność. Automatyczne tworzenie kopii zapasowych zagrożonych plików działa niezależnie od reszty programu.
Sprawdź Bitdefender →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
Kaspersky Plus
Najniższe fałszywe alarmySystem Watcher obserwuje wszystkie procesy i cofnie zmiany, jeśli uzna je za złośliwe - nawet po częściowym zaszyfrowaniu plików. W testach AV-TEST: 6/6 za ochronę przy zaledwie 9 fałszywych alarmach (najniższy wynik w branży). Moduł Network Attack Blocker chroni przed atakami przez sieć, w tym przez niezabezpieczony RDP.
Sprawdź Kaspersky →Link prowadzi bezpośrednio do producenta Kaspersky. Nie pobieramy prowizji za ten produkt.
Norton 360 Deluxe
VPN + kopia zapasowa w pakiecieNorton oferuje wbudowaną kopię zapasową 50 GB w chmurze - osobna warstwa ochrony przed utratą danych. Do tego nielimitowany VPN (przydatny przy pracy zdalnej na publicznych sieciach) i moduł SONAR do wykrywania nieznanych zagrożeń na podstawie zachowania. W AV-TEST: 6/6 za ochronę.
Sprawdź Norton 360 →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
F-Secure Internet Security
Prywatność UE/RODOFińska firma pod jurysdykcją UE - dane przetwarzane zgodnie z RODO. DeepGuard analizuje zachowanie aplikacji i blokuje podejrzane procesy, zanim zaszyfrują pliki. W AV-TEST: 6/6 za ochronę. Interfejs prosty, bez zbędnych modułów - koncentracja na ochronie, nie na dodatkach.
Sprawdź F-Secure →Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.
No More Ransom (nomoreransom.org)
Za darmoWspólna inicjatywa Europolu, holenderskiej policji, Kaspersky i McAfee. Zawiera darmowe narzędzia deszyfrujące dla ponad 170 wariantów ransomware. Wgrywasz zaszyfrowany plik, strona identyfikuje wariant i - jeśli deszyfrator istnieje - pozwala odzyskać dane bez płacenia. Nie działa na najnowsze warianty, ale zawsze warto sprawdzić.
Sprawdź No More Ransom →Porównanie wszystkich programów antywirusowych pod kątem ochrony, wydajności i ceny znajdziesz w naszym rankingu oprogramowania antymalware.
Zainfekowany - co teraz?
-
Odłącz urządzenie od sieci. Natychmiast. Kabel Ethernet, Wi-Fi, Bluetooth - wszystko. Ransomware rozprzestrzenia się po sieci lokalnej. Im szybciej odetniemy zainfekowany komputer, tym mniej urządzeń ucierpi.
-
Zrób zdjęcie ekranu z żądaniem okupu. Telefonem, nie zrzutem ekranu. Zapisz nazwę ransomware, adres portfela kryptowalutowego, kwotę i termin. Te informacje pomogą przy identyfikacji wariantu i ewentualnym zgłoszeniu na policję.
-
Nie płać okupu. FBI, Europol i CERT Polska zgodnie to odradzają. Płacąc finansujesz kolejne ataki i nie masz gwarancji, że dostaniesz działający deszyfrator. Według danych Sophos, firmy które zapłaciły odzyskały średnio 65% danych.
-
Sprawdź nomoreransom.org. Wgraj zaszyfrowany plik i notatkę z żądaniem okupu. Jeśli deszyfrator istnieje, odzyskasz dane za darmo. Działa dla starszych wariantów, których szyfrowanie badacze zdołali złamać.
-
Zgłoś incydent. CERT Polska (cert.pl) - bezpłatne zgłoszenie, pomoc w analizie. Policja - jeśli straty są znaczące. Jeśli przetwarzasz dane osobowe: UODO w ciągu 72 godzin (wymóg RODO).
-
Przywróć dane z kopii zapasowej. Ale dopiero po upewnieniu się, że ransomware został usunięty. Przywrócenie danych na wciąż zainfekowany system oznacza ponowne zaszyfrowanie. Użyj naszego poradnika do usuwania malware, zanim przywrócisz pliki.
-
Zmień wszystkie hasła. Z czystego urządzenia. Ransomware często towarzyszy infekcjom info-stealerów - programów kradnących zapisane hasła. Zacznij od poczty, bankowości i kont firmowych.
Najczęstsze pytania o ransomware
Ransomware to złośliwe oprogramowanie, które szyfruje pliki na zainfekowanym urządzeniu i żąda okupu za ich odblokowanie - najczęściej w kryptowalutach. Do komputera trafia zwykle przez załącznik w mailu phishingowym, lukę w nieaktualnym oprogramowaniu albo pobrany z sieci plik. Bez klucza deszyfrującego lub kopii zapasowej odzyskanie danych jest często niemożliwe.
Nie. FBI, Europol i CERT Polska zgodnie odradzają płacenie. Według raportu Sophos 2025, firmy które zapłaciły odzyskały średnio 65% danych - nie wszystkie. Płacąc finansujesz kolejne ataki i nie masz gwarancji, że dostaniesz deszyfrator. Zamiast tego skorzystaj z darmowych narzędzi na nomoreransom.org lub przywróć dane z kopii zapasowej.
Najczęściej przez phishing - zainfekowany załącznik w mailu (fałszywa faktura, dokument PDF) lub link do złośliwej strony. Inne wektory to: niezałatane luki w oprogramowaniu (szczególnie RDP i VPN bez aktualizacji), zainfekowane nośniki USB, pirackie oprogramowanie i złośliwe reklamy w przeglądarce.
Dobry antywirus zatrzymuje większość znanych wariantów ransomware. W testach AV-TEST najlepsze programy (Bitdefender, Kaspersky, Norton) wykrywają 99,9% zagrożeń. Ale żaden antywirus nie daje 100% gwarancji - nowe, nieznane warianty mogą przejść. Dlatego antywirus powinien być jedną z warstw ochrony, obok kopii zapasowych i aktualizacji systemu.
Trzy opcje: (1) przywrócenie z kopii zapasowej - najskuteczniejsze, jeśli masz aktualną kopię offline; (2) darmowe narzędzia deszyfrujące na nomoreransom.org - działają dla starszych wariantów ransomware, dla których badacze złamali szyfrowanie; (3) przywrócenie poprzednich wersji plików (Windows Shadow Copies) - jeśli ransomware ich nie usunął. Dla nowych wariantów bez kopii zapasowej odzyskanie danych jest często niemożliwe.
Tak, choć rzadziej niż Windows. Na Androidzie ransomware najczęściej blokuje ekran i żąda opłaty - instaluje się przez aplikacje spoza Google Play. Na iOS ataki są sporadyczne dzięki zamkniętemu ekosystemowi Apple. Komputery Mac nie są odporne - w 2024 roku pojawił się wariant LockBit dla macOS. Niezależnie od systemu, kopie zapasowe i ostrożność przy instalowaniu oprogramowania to podstawa.