Co to jest ransomware - w skrócie Ransomware to złośliwe oprogramowanie, które szyfruje pliki na zainfekowanym urządzeniu i żąda okupu za ich odblokowanie, najczęściej w kryptowalutach. Trafia na komputer przez załącznik w mailu phishingowym, lukę w nieaktualnym oprogramowaniu albo pobrany z sieci plik. Bez klucza deszyfrującego lub kopii zapasowej odzyskanie danych jest często niemożliwe.

Ransomware to złośliwe oprogramowanie, które szyfruje pliki na zainfekowanym urządzeniu i żąda okupu za ich odblokowanie - najczęściej w kryptowalutach, bo te trudniej namierzyć. Do komputera trafia zwykle przez załącznik w mailu phishingowym, lukę w nieaktualnym oprogramowaniu albo pobrany z sieci plik. Ochrona sprowadza się do trzech rzeczy: kopii zapasowej odłączonej od komputera, aktualnego systemu i antywirusa z modułem anty-ransomware. W tym artykule znajdziesz dokładne omówienie każdego z tych punktów oraz instrukcję, co robić, gdy atak już nastąpił.

Ile ataków ransomware jest w Polsce? Dane z 2025 roku

Ransomware przestał być problemem wyłącznie korporacji i szpitali. W 2025 roku CERT Polska odnotował rekordową liczbę zgłoszeń od małych i średnich firm - od biur rachunkowych po gabinety stomatologiczne. Ataki są zautomatyzowane, więc atakujących nie interesuje wielkość ofiary. Interesuje ich, czy ofiara zapłaci.

4,88 mln $
średni koszt ataku ransomware na świecie
IBM Cost of Data Breach 2024
21 dni
średni czas przestoju firmy po ataku
Coveware Q4 2024
+68%
wzrost ataków ransomware w Europie rok do roku
ENISA Threat Landscape 2025

Według raportu ESET za pierwszą połowę 2025 roku, Polska była najczęściej atakowanym krajem na świecie pod względem ransomware - 6% wszystkich globalnych ataków trafiało na polskie firmy i instytucje. 21 dni przestoju to dla małej firmy często koniec działalności. Dane klientów zaszyfrowane, faktury niedostępne, systemy wyłączone. A okup to nie jedyny koszt - dochodzą kary RODO za wyciek danych, utrata klientów i koszty odbudowy infrastruktury.

Czym jest ransomware i jak działa?

Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na zainfekowanym urządzeniu. Po zaszyfrowaniu wyświetla komunikat z żądaniem okupu - najczęściej w kryptowalutach, bo trudniejszych do śledzenia. Dopóki nie zapłacisz (albo nie odzyskasz danych inaczej), pliki są niedostępne.

Typowy atak wygląda tak:

  1. Infekcja. Otwierasz zainfekowany załącznik w mailu, klikasz w złośliwy link albo atakujący wykorzystuje lukę w niezaktualizowanym oprogramowaniu. Ransomware instaluje się po cichu.
  2. Rozpoznanie. Malware skanuje dyski lokalne, podłączone napędy sieciowe i dostępne zasoby udostępnione. Szuka dokumentów, zdjęć, baz danych - wszystkiego, co ma wartość.
  3. Szyfrowanie. Pliki zostają zaszyfrowane silnym algorytmem (najczęściej AES-256 + RSA). Oryginały są usuwane. Nazwy plików zmieniają się na losowe ciągi znaków z nowym rozszerzeniem.
  4. Żądanie okupu. Na ekranie pojawia się komunikat: „Twoje pliki zostały zaszyfrowane. Zapłać X BTC w ciągu 72 godzin albo dane zostaną zniszczone." Niektóre warianty grożą też opublikowaniem wykradzionych danych.
Podwójne wymuszenie Nowoczesne grupy ransomware stosują taktykę podwójnego wymuszenia: najpierw kopiują dane na swoje serwery, potem je szyfrują. Nawet jeśli odzyskasz pliki z kopii zapasowej, grożą upublicznieniem wrażliwych informacji. Dlatego sama kopia zapasowa - choć niezbędna - nie rozwiązuje problemu w 100%.

Jak ransomware trafia na komputer?

Ransomware nie pojawia się znikąd. Prawie zawsze wchodzi przez jeden z kilku sprawdzonych kanałów. Znajomość tych wektorów to połowa obrony.

📧

Phishing - fałszywe maile z załącznikami

Najczęstszy wektor. Dostajesz mail z „fakturą" w pliku ZIP, „dokumentem do podpisu" w formacie DOCX z makrami, albo „potwierdzeniem zamówienia" w PDF. Otwierasz, makro uruchamia skrypt, skrypt pobiera ransomware. W Polsce popularne są maile podszywające się pod firmy kurierskie, ZUS i kancelarie prawne. Więcej o rozpoznawaniu takich maili w naszym poradniku o phishingu.

🔓

Niezałatane luki w oprogramowaniu

Stary Windows Server z otwartym portem RDP, niezaktualizowany serwer Exchange, VPN bez łatki bezpieczeństwa - to zaproszenia dla automatycznych skanerów. Grupy jak LockBit i Cl0p skanują internet w poszukiwaniu znanych luk i atakują masowo. Łatanie systemów w ciągu 48 godzin od publikacji poprawki eliminuje większość tego ryzyka.

💾

Pirackie oprogramowanie i cracki

Pobierasz „darmowego" Photoshopa z torrenta albo „aktywator" Windows. W paczce, oprócz programu, siedzi ransomware. Instalator prosi o wyłączenie antywirusa „bo inaczej crack nie zadziała" - a to jedyna ochrona, która mogłaby go zatrzymać. Szczególnie częste w Polsce, gdzie piractwo wciąż jest popularne.

🌐

Złośliwe reklamy i strony internetowe

Wchodzisz na stronę z wiadomościami, wyskakuje reklama z zestawem exploitów (narzędzia wykorzystujące luki w przeglądarce). Jeśli przeglądarka lub jej wtyczki są nieaktualne, kod wykonuje się automatycznie - bez klikania. Rzadsze niż phishing, ale wciąż groźne, bo nie wymagają żadnej interakcji ze strony ofiary.

Jakie są rodzaje ransomware?

Nie każdy ransomware działa tak samo. Różnice mają znaczenie, bo wpływają na szanse odzyskania danych.

Ransomware szyfrujące (crypto ransomware)

Najgroźniejszy typ. Szyfruje pliki silnym algorytmem kryptograficznym. Bez klucza deszyfrującego (który ma atakujący) odzyskanie danych jest praktycznie niemożliwe. Przykłady: LockBit, Conti, REvil, BlackCat (ALPHV). To ten typ odpowiada za większość strat finansowych.

Ransomware blokujące (locker ransomware)

Blokuje dostęp do systemu operacyjnego - widzisz ekran z żądaniem okupu, ale pliki nie są zaszyfrowane. Łatwiejszy do usunięcia niż crypto ransomware. Częsty na telefonach z Androidem, gdzie blokuje ekran i wyświetla fałszywy komunikat „od policji".

Ransomware z wyciekiem danych (leakware / doxware)

Grozi opublikowaniem skradzionych danych zamiast (lub oprócz) szyfrowania. Szczególnie groźny dla firm przetwarzających dane osobowe - wyciek oznacza kary RODO, utratę zaufania klientów i potencjalne pozwy. Grupy jak Cl0p prowadzą dedykowane strony, na których publikują dane firm, które odmówiły zapłaty.

Jak się chronić przed ransomware?

Nie ma jednego narzędzia, które zatrzyma każdy atak. Ochrona to kilka warstw, z których każda zmniejsza ryzyko. Poniżej - od najważniejszych.

💾 Kopie zapasowe 3-2-1

Trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą. Przynajmniej jedna kopia offline (odłączona od sieci). Ransomware szyfruje wszystko, do czego ma dostęp - dyski sieciowe też. Kopia na odłączonym dysku lub w chmurze z wersjonowaniem przetrwa atak.

🔄 Aktualizacje systemu i oprogramowania

80% ataków wykorzystuje znane luki, na które łatki istnieją od tygodni lub miesięcy. Włącz automatyczne aktualizacje Windows, przeglądarki, pakietu biurowego. Dla firm: oprogramowanie do zarządzania łatkami (patch management) to inwestycja, która się zwraca przy pierwszym unikniętym ataku.

🛡️ Antywirus z ochroną przed ransomware

Nowoczesne antywirusy mają dedykowane moduły anty-ransomware. Bitdefender monitoruje zachowanie procesów i blokuje masowe szyfrowanie plików. Kaspersky wykrywa podejrzane modyfikacje i automatycznie tworzy kopie zagrożonych plików. Norton oferuje ochronę folderów przed nieautoryzowanym dostępem.

📧 Ostrożność z mailami i załącznikami

Nie otwieraj załączników od nieznanych nadawców. Nie włączaj makr w dokumentach Office, chyba że masz pewność co do źródła. Sprawdzaj adresy nadawców i linki przed kliknięciem. Więcej sygnałów ostrzegawczych opisujemy w poradniku o phishingu.

Dodatkowe warstwy ochrony

Narzędzia, które pomagają

Bitdefender Total Security

Najlepsza ochrona

Moduł Advanced Threat Defense monitoruje zachowanie procesów w systemie. Gdy wykryje masowe szyfrowanie plików - typowe dla ransomware - blokuje proces i przywraca pliki do stanu sprzed ataku. W testach AV-TEST: 6/6 za ochronę, 5.5/6 za wydajność. Automatyczne tworzenie kopii zapasowych zagrożonych plików działa niezależnie od reszty programu.

Sprawdź Bitdefender →

Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.

Kaspersky Plus

Najniższe fałszywe alarmy

System Watcher obserwuje wszystkie procesy i cofnie zmiany, jeśli uzna je za złośliwe - nawet po częściowym zaszyfrowaniu plików. W testach AV-TEST: 6/6 za ochronę przy zaledwie 9 fałszywych alarmach (najniższy wynik w branży). Moduł Network Attack Blocker chroni przed atakami przez sieć, w tym przez niezabezpieczony RDP.

Sprawdź Kaspersky →

Link prowadzi bezpośrednio do producenta Kaspersky. Nie pobieramy prowizji za ten produkt.

Norton 360 Deluxe

VPN + kopia zapasowa w pakiecie

Norton oferuje wbudowaną kopię zapasową 50 GB w chmurze - osobna warstwa ochrony przed utratą danych. Do tego nielimitowany VPN (przydatny przy pracy zdalnej na publicznych sieciach) i moduł SONAR do wykrywania nieznanych zagrożeń na podstawie zachowania. W AV-TEST: 6/6 za ochronę.

Sprawdź Norton 360 →

Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.

F-Secure Internet Security

Prywatność UE/RODO

Fińska firma pod jurysdykcją UE - dane przetwarzane zgodnie z RODO. DeepGuard analizuje zachowanie aplikacji i blokuje podejrzane procesy, zanim zaszyfrują pliki. W AV-TEST: 6/6 za ochronę. Interfejs prosty, bez zbędnych modułów - koncentracja na ochronie, nie na dodatkach.

Sprawdź F-Secure →

Link afiliacyjny - zarabiamy prowizję bez dodatkowego kosztu dla Ciebie.

No More Ransom (nomoreransom.org)

Za darmo

Wspólna inicjatywa Europolu, holenderskiej policji, Kaspersky i McAfee. Zawiera darmowe narzędzia deszyfrujące dla ponad 170 wariantów ransomware. Wgrywasz zaszyfrowany plik, strona identyfikuje wariant i - jeśli deszyfrator istnieje - pozwala odzyskać dane bez płacenia. Nie działa na najnowsze warianty, ale zawsze warto sprawdzić.

Sprawdź No More Ransom →

Porównanie wszystkich programów antywirusowych pod kątem ochrony, wydajności i ceny znajdziesz w naszym rankingu oprogramowania antymalware.

Zainfekowany - co teraz?

uwaga ▸ nie restartuj komputera
Nie restartuj komputera Restart może uruchomić kolejną fazę szyfrowania lub usunąć klucze deszyfrujące z pamięci RAM. Odłącz internet (kabel lub Wi-Fi), ale nie wyłączaj urządzenia.
  1. Odłącz urządzenie od sieci. Natychmiast. Kabel Ethernet, Wi-Fi, Bluetooth - wszystko. Ransomware rozprzestrzenia się po sieci lokalnej. Im szybciej odetniemy zainfekowany komputer, tym mniej urządzeń ucierpi.
  2. Zrób zdjęcie ekranu z żądaniem okupu. Telefonem, nie zrzutem ekranu. Zapisz nazwę ransomware, adres portfela kryptowalutowego, kwotę i termin. Te informacje pomogą przy identyfikacji wariantu i ewentualnym zgłoszeniu na policję.
  3. Nie płać okupu. FBI, Europol i CERT Polska zgodnie to odradzają. Płacąc finansujesz kolejne ataki i nie masz gwarancji, że dostaniesz działający deszyfrator. Według danych Sophos, firmy które zapłaciły odzyskały średnio 65% danych.
  4. Sprawdź nomoreransom.org. Wgraj zaszyfrowany plik i notatkę z żądaniem okupu. Jeśli deszyfrator istnieje, odzyskasz dane za darmo. Działa dla starszych wariantów, których szyfrowanie badacze zdołali złamać.
  5. Zgłoś incydent. CERT Polska (cert.pl) - bezpłatne zgłoszenie, pomoc w analizie. Policja - jeśli straty są znaczące. Jeśli przetwarzasz dane osobowe: UODO w ciągu 72 godzin (wymóg RODO).
  6. Przywróć dane z kopii zapasowej. Ale dopiero po upewnieniu się, że ransomware został usunięty. Przywrócenie danych na wciąż zainfekowany system oznacza ponowne zaszyfrowanie. Użyj naszego poradnika do usuwania malware, zanim przywrócisz pliki.
  7. Zmień wszystkie hasła. Z czystego urządzenia. Ransomware często towarzyszy infekcjom info-stealerów - programów kradnących zapisane hasła. Zacznij od poczty, bankowości i kont firmowych.
Dla firm Incydent ransomware to też incydent bezpieczeństwa danych. Jeśli przetwarzasz dane osobowe klientów, pracowników lub kontrahentów, masz 72 godziny na zgłoszenie do UODO. Brak zgłoszenia grozi karą do 20 mln EUR lub 4% rocznego obrotu - często wyższą niż straty z samego ataku.

Najczęstsze pytania o ransomware

Ransomware to złośliwe oprogramowanie, które szyfruje pliki na zainfekowanym urządzeniu i żąda okupu za ich odblokowanie - najczęściej w kryptowalutach. Do komputera trafia zwykle przez załącznik w mailu phishingowym, lukę w nieaktualnym oprogramowaniu albo pobrany z sieci plik. Bez klucza deszyfrującego lub kopii zapasowej odzyskanie danych jest często niemożliwe.

Nie. FBI, Europol i CERT Polska zgodnie odradzają płacenie. Według raportu Sophos 2025, firmy które zapłaciły odzyskały średnio 65% danych - nie wszystkie. Płacąc finansujesz kolejne ataki i nie masz gwarancji, że dostaniesz deszyfrator. Zamiast tego skorzystaj z darmowych narzędzi na nomoreransom.org lub przywróć dane z kopii zapasowej.

Najczęściej przez phishing - zainfekowany załącznik w mailu (fałszywa faktura, dokument PDF) lub link do złośliwej strony. Inne wektory to: niezałatane luki w oprogramowaniu (szczególnie RDP i VPN bez aktualizacji), zainfekowane nośniki USB, pirackie oprogramowanie i złośliwe reklamy w przeglądarce.

Dobry antywirus zatrzymuje większość znanych wariantów ransomware. W testach AV-TEST najlepsze programy (Bitdefender, Kaspersky, Norton) wykrywają 99,9% zagrożeń. Ale żaden antywirus nie daje 100% gwarancji - nowe, nieznane warianty mogą przejść. Dlatego antywirus powinien być jedną z warstw ochrony, obok kopii zapasowych i aktualizacji systemu.

Trzy opcje: (1) przywrócenie z kopii zapasowej - najskuteczniejsze, jeśli masz aktualną kopię offline; (2) darmowe narzędzia deszyfrujące na nomoreransom.org - działają dla starszych wariantów ransomware, dla których badacze złamali szyfrowanie; (3) przywrócenie poprzednich wersji plików (Windows Shadow Copies) - jeśli ransomware ich nie usunął. Dla nowych wariantów bez kopii zapasowej odzyskanie danych jest często niemożliwe.

Tak, choć rzadziej niż Windows. Na Androidzie ransomware najczęściej blokuje ekran i żąda opłaty - instaluje się przez aplikacje spoza Google Play. Na iOS ataki są sporadyczne dzięki zamkniętemu ekosystemowi Apple. Komputery Mac nie są odporne - w 2024 roku pojawił się wariant LockBit dla macOS. Niezależnie od systemu, kopie zapasowe i ostrożność przy instalowaniu oprogramowania to podstawa.

Materiał handlowy. Linki „Sprawdź →" to linki afiliacyjne - jeśli zdecydujesz się na zakup przez taki link, cyberranking.pl otrzymuje prowizję od sprzedawcy. Dla Ciebie cena jest taka sama. Nie wpływa to na nasze oceny ani rekomendacje - stosujemy tę samą metodologię niezależnie od relacji handlowych.