Článek není o kybernetické bezpečnosti – na to existují specializované firmy a zdroje. Zaměřujeme se na to, co přichází po útoku: jaké jsou reálné možnosti obnovy dat, s čím se v praxi setkáváme a jak správným postupem v prvních hodinách výrazně zvýšit šance na záchranu. Vycházíme z případů, které naší laboratoří prošly za posledních několik let.

Průvodce článkem:

Co je ransomware a proč je dnes nebezpečnější než dříve

Ransomware je škodlivý software, který zašifruje data v počítači, na serveru nebo v celé firemní síti a za jejich zpřístupnění požaduje výkupné – obvykle v kryptoměně. Nejde o jeden konkrétní virus, ale o celou kategorii škodlivého kódu, která zahrnuje stovky různých rodin a tisíce variant.

Oproti situaci před několika lety se ale změnilo prakticky všechno. Současný ransomware je sofistikovanější, rychlejší a destruktivnější.

Šifrování na úrovni, kterou nelze prolomit

Moderní varianty ransomware (LockBit, BlackCat/ALPHV, Akira, RansomHub a desítky dalších) používají silné šifrovací algoritmy – symetrické šifry jako AES-256 nebo ChaCha20 v kombinaci s asymetrickou kryptografií (RSA, Curve25519). Konkrétní implementace se liší podle skupiny a verze, ale výsledek je stejný: pokud šifrování proběhne kompletně a útočníci neprozradí klíč, data bez tohoto klíče nelze dešifrovat – ani s neomezenými výpočetními prostředky. To je zásadní rozdíl oproti starším variantám, kde šifrování bylo často implementováno chybně a dalo se prolomit.

Double extortion – dvojí vydírání

Zatímco dříve útočníci „jen" zašifrovali data a čekali na platbu, dnes nejdříve citlivá data zkopírují (exfiltrují) na své servery a teprve poté je zašifrují. Oběť pak čelí dvojímu tlaku: i kdyby si data obnovila ze zálohy, útočníci hrozí zveřejněním ukradených dokumentů, databází nebo osobních údajů. Tento model je dnes u většiny profesionálních skupin standardem.

Ransomware jako služba (RaaS)

Ransomware-as-a-Service znamená, že útočník nemusí být programátor ani bezpečnostní expert. Stačí si pronajmout hotový ransomware kit, který obsahuje šifrovací nástroje, systém pro správu obětí i návody. Provozovatel platformy pak dostává podíl z výkupného. Důsledkem je dramatický nárůst počtu útoků – cílí se na firmy všech velikostí, nemocnice, školy, výrobní podniky i jednotlivce.

Čas hraje proti oběti

Medián doby od průniku útočníka do sítě po spuštění šifrování se v posledních letech dramaticky zkrátil. Podle dat bezpečnostních firem se v roce 2025 pohyboval kolem 3 dnů – a u sofistikovaných skupin může jít o hodiny. U plně automatizovaných útoků může být šifrování spuštěno během minut po prvotním průniku. To znamená, že prostor pro detekci a reakci je velmi malý.

Kdy je šance data zachránit – a kdy už ne

Toto je klíčová otázka, se kterou se na nás klienti obracejí. Odpověď není černobílá – záleží na konkrétní variantě ransomware, na tom, jak daleko útok pokročil, a na krocích, které uživatel nebo IT oddělení podnikli po zjištění útoku.

Situace, kdy je obnova reálná

Šifrování neproběhlo kompletně. Pokud byl útok včas detekován a systém vypnut nebo odpojen od sítě, mohl ransomware zašifrovat jen část souborů nebo jen některé disky. Nezašifrovaná data lze obvykle bez problémů zachránit. I u částečně zašifrovaných souborů mohou být obnovitelné některé fragmenty – záleží na typu souboru a způsobu šifrování.

Starší nebo slabší varianta ransomware. Existují stovky variant, u kterých bezpečnostní firmy nebo orgány činné v trestním řízení získaly dešifrovací klíče nebo odhalily slabiny v implementaci šifrování. Projekt No More Ransom – společná iniciativa Europolu, Kaspersky a dalších – nabízí přes 170 bezplatných dešifrovacích nástrojů pokrývajících více než 150 rodin ransomware. Emsisoft, Avast a Trend Micro poskytují desítky dalších. Pokud se na vaše data podaří takový nástroj použít, je to nejsnazší cesta k obnově.

Shadow copies (stínové kopie) zůstaly zachovány. Moderní ransomware se většinou pokouší smazat stínové kopie Windows (Volume Shadow Copies / VSS), protože by z nich šla data obnovit. Ne vždy se mu to ale podaří – například pokud neměl dostatečná oprávnění nebo pokud byl útok přerušen dřív, než stihl VSS smazat. V takových případech lze data obnovit přímo z těchto snímků.

Zasaženo jen část RAID nebo NAS. U diskových polí (RAID) a síťových úložišť (NAS) nemusí být všechny disky zasaženy stejně. Pokud je šifrování provedeno na úrovni souborového systému a některé disky zůstaly nedotčeny, lze z rekonstrukce RAID pole a analýzy surových dat na discích zachránit i data, která se zdála být ztracená.

Některé varianty šifrují jen částečně. Řada ransomware variant z důvodu rychlosti nešifruje celé soubory. Některé zašifrují pouze začátek souboru (prvních několik kilobajtů), jiné šifrují jen každý n-tý blok dat – například 16 bytů každých 512 bytů nebo 1 MB s přeskočením dalších 2 MB. Konkrétní implementace se liší podle skupiny a verze. U velkých souborů – videí, databází, virtuálních disků – tak může být obnovitelná podstatná část obsahu, byť ne vždy v použitelné formě.

Situace, kdy je obnova velmi obtížná nebo nemožná

Kompletní šifrování moderní variantou. Pokud ransomware typu LockBit 3.0, BlackCat, Akira nebo podobný dokončil šifrování všech disků a smazal stínové kopie, jsou data bez dešifrovacího klíče neobnovitelná. Žádná laboratoř na světě nedokáže prolomit správně implementované moderní šifrování – ať už jde o AES, ChaCha20 nebo jinou silnou šifru. Je důležité, aby to klienti slyšeli na rovinu – slibovat zázraky by bylo nepoctivé.

Zálohy byly také zašifrovány. Profesionální ransomware skupiny cíleně vyhledávají a šifrují i zálohy – připojené externí disky, síťové zálohovací úložiště, někdy i cloudové zálohy, pokud k nim měl napadený systém přístupové údaje. Pokud je zašifrováno vše včetně záloh, možnosti jsou minimální.

Destruktivní varianty (wipery). Některé varianty škodlivého kódu se tváří jako ransomware, ale ve skutečnosti data cíleně ničí – přepisují obsah souborů nebo celých disků. V takovém případě nejde o šifrování, ale o nevratnou destrukci dat. Příkladem jsou některé varianty spojené s geopolitickými konflikty.

Co dělat bezprostředně po útoku

Správná reakce v prvních minutách a hodinách po zjištění útoku může zásadně ovlivnit výsledek. Následující kroky platí jak pro firmy, tak pro jednotlivce.

Důležité: nepropadejte panice a nedělejte ukvapená rozhodnutí. Mnoho škod, které vidíme v laboratoři, způsobily panické reakce – nikoliv samotný ransomware.

1. Odpojte napadené zařízení od sítě – ale nevypínejte ho

Okamžitě odpojte síťový kabel a Wi-Fi. Tím zabráníte dalšímu šíření ransomware na ostatní zařízení v síti. Ale pokud je to možné, počítač nevypínejte. V operační paměti (RAM) se mohou nacházet šifrovací klíče, které specialisté dokáží extrahovat. Po vypnutí počítače jsou tyto klíče nenávratně ztraceny. Pokud ale nemáte k dispozici specialistu, který by klíče z RAM extrahoval v řádu hodin, a hrozí, že ransomware bude pokračovat v šifrování, je lepší počítač vypnout.

2. Zdokumentujte, co vidíte

Vyfoťte obrazovku s výkupním požadavkem (ransom note). Zaznamenejte příponu, kterou mají zašifrované soubory (například .lockbit, .akira, .blackcat). Poznamenejte si čas, kdy jste problém zjistili, a co mu předcházelo. Tyto informace jsou klíčové pro identifikaci varianty a určení dalšího postupu.

3. Identifikujte variantu ransomware

Na stránce ID Ransomware můžete nahrát ransom note nebo vzorek zašifrovaného souboru a během několika sekund zjistit, o jakou variantu se jedná. Tato informace je zásadní – určuje, zda existuje dešifrovací nástroj, jak se ransomware chová a jaké jsou možnosti obnovy.

4. Ověřte, zda existuje dešifrovací nástroj

Po identifikaci varianty zkontrolujte:

Pokud nástroj existuje, řiďte se přiloženým návodem. Ale pozor: použití nesprávného nástroje může data poškodit. Ujistěte se, že nástroj odpovídá přesně vaší variantě.

5. Nemažte ransom note ani šifrované soubory

Ransom note obsahuje identifikátory, které mohou být potřebné pro dešifrování. Šifrované soubory samotné jsou důkazním materiálem a mohou být využity při pozdější analýze. Pokud se později objeví dešifrovací nástroj (někdy i měsíce po útoku, po zásahu orgánů činných v trestním řízení), budete je potřebovat.

6. Kontaktujte odborníky

Pokud neexistuje dešifrovací nástroj a nemáte funkční zálohu, obraťte se na specializovanou firmu. Ideálně na dvě: jednu zaměřenou na kybernetickou bezpečnost (incident response – analýza průniku, zajištění důkazů, zabezpečení sítě) a jednu na záchranu dat (analýza stavu dat na discích, hledání obnovitelných fragmentů). Neváhejte se obrátit na nás – bezplatná konzultace vám pomůže zorientovat se v situaci.

Chyby, které šance na obnovu snižují nebo likvidují

V naší laboratoři pravidelně vidíme případy, kdy správný postup mohl vést k úspěšné obnově dat – ale nevhodný zásah uživatele nebo IT servisu situaci nenávratně zhoršil.

Formátování disku a přeinstalace systému

Nejčastější a nejdestruktivnější chyba. IT oddělení nebo servis přeinstaluje operační systém na napadený disk, čímž přepíše velkou část dat – včetně potenciálně obnovitelných souborů, stínových kopií a struktur souborového systému, které specialisté potřebují pro rekonstrukci. Pokud potřebujete systém zprovoznit, nainstalujte ho na jiný disk. Napadený disk nechte nedotčený.

Spuštění CHKDSK nebo nástrojů na opravu souborového systému

CHKDSK (Windows) a fsck (Linux) jsou nástroje na opravu souborového systému – nikoliv na záchranu dat. V kontextu ransomware útoku nemají tyto nástroje žádný smysl – souborový systém není „poškozený", data jsou zašifrovaná. CHKDSK ale může detekovat nesrovnalosti mezi metadaty a zašifrovaným obsahem souborů a pokusit se je „opravit" – přepisem tabulek MFT a alokačních záznamů, čímž může zničit struktury potřebné pro profesionální rekonstrukci dat. S parametrem /r navíc čte sektor po sektoru celý povrch disku, což zbytečně zatěžuje hardware. Prostě: na disk napadený ransomware CHKDSK nespouštějte.

Pokus o dešifrování nesprávným nástrojem

Použití dešifrovacího nástroje určeného pro jinou variantu ransomware může data dále poškodit. Nástroj se pokusí soubory „dešifrovat" nesprávným klíčem, čímž změní jejich obsah a znemožní pozdější korektní dešifrování i se správným nástrojem. Vždy si ověřte přesnou variantu ransomware, než cokoliv spustíte.

Smazání šifrovaných souborů

Uživatelé někdy v panice mažou zašifrované soubory nebo ransom note v domnění, že tím „vyčistí" systém. Tím ale přicházejí o data, která by mohla být později dešifrována – ať už existujícím nástrojem, nebo nástrojem, který bude vytvořen v budoucnu po zatčení útočníků nebo úniku klíčů.

Odklad řešení

Čas hraje roli zejména v případech, kdy ransomware nestihl šifrování dokončit nebo kdy existuje šance na extrakci klíčů z paměti. Každý den prodlevy snižuje pravděpodobnost, že se podaří zachránit data, která by jinak zachránitelná byla.

Platit výkupné? Realistický pohled

Obecné doporučení bezpečnostních firem i orgánů činných v trestním řízení je jednoznačné: neplaťte. A existují pro to dobré důvody. Platba financuje další útoky, motivuje útočníky k pokračování a neexistuje žádná garance, že po zaplacení data skutečně dostanete.

Statistiky to potvrzují. Podle studie Cybereason z roku 2024 přibližně polovina organizací, které zaplatily výkupné, svá data nezískala zpět nepoškozená – buď obdržely nefunkční dešifrovací nástroj, nebo se dešifrování podařilo jen částečně, nebo útočníci po platbě přestali komunikovat. Data Sophos z roku 2025 pak ukazují, že z organizací, kterým byla data zašifrována, jich 49 % zaplatilo výkupné – ale celkově 97 % organizací data nakonec obnovilo, ve většině případů ze záloh nebo jinými cestami bez platby.

Na druhou stranu je třeba přiznat, že pro firmu, které hrozí existenční ztráta dat – účetnictví, projektová dokumentace, zákaznické databáze – je rozhodnutí složitější, než jak vypadá z teoretické perspektivy. Nebudeme vám radit, abyste platili. Ale důrazně doporučujeme, abyste před jakýmkoliv rozhodnutím o platbě vyčerpali všechny ostatní možnosti: zálohy, dešifrovací nástroje, profesionální analýzu stavu dat na discích.

V řadě případů, které jsme řešili, se ukázalo, že data byla alespoň částečně obnovitelná – a klient nemusel platit nic. Někdy stačilo, aby se na problém podíval někdo, kdo ví, kde a jak hledat.

Jak pomáháme v EXALAB

Nejsme firma na kybernetickou bezpečnost a nenabízíme incident response ve smyslu zabezpečení sítě. Naše práce začíná tam, kde končí práce bezpečnostních specialistů – u samotných dat na discích.

Analýza varianty a rozsahu šifrování

Prvním krokem je vždy přesná identifikace varianty ransomware a vyhodnocení rozsahu škod. Zjišťujeme, zda šifrování proběhlo kompletně, zda existuje dešifrovací nástroj a zda jsou na discích obnovitelné nešifrované fragmenty dat.

Práce se surovou strukturou dat

I na disku, kde jsou soubory zašifrované, mohou existovat obnovitelná data. Předchozí verze souborů, které nebyly přepsány. Dočasné kopie vytvořené aplikacemi. Stínové kopie, které ransomware nestihl nebo nedokázal smazat. Databázové transakční logy. Data v RAID poli, kde ne všechny disky byly zasaženy stejně. Toto je oblast, kde se zkušenosti z každodenní práce se záchranou dat z poškozených médií přímo uplatňují.

Rekonstrukce dat z RAID a NAS

U napadených síťových úložišť (NAS) a diskových polí (RAID) může být situace příznivější, než se na první pohled zdá. Ransomware typicky šifruje na úrovni souborového systému – ale surová data na jednotlivých discích pole mohou být z velké části nedotčena. Rekonstrukcí RAID pole a analýzou dat na fyzické úrovni se v některých případech podaří obnovit významnou část souborů.

Realistické nastavení očekávání

Vždy vám řekneme na rovinu, jaké jsou šance. Pokud moderní ransomware dokončil kompletní šifrování a smazal stínové kopie, nebudeme slibovat nemožné. Diagnostiku provádíme bezplatně – a pokud zjistíme, že data obnovit nelze, sdělíme vám to bez zbytečného prodlení. Za neúspěšný pokus neplatíte.

Prevence – co skutečně funguje

Tento článek není primárně o prevenci – na to existují specializované zdroje. Přesto zmíníme několik bodů, které z pohledu záchrany dat považujeme za nejdůležitější.

Záloha oddělená od sítě

Nejúčinnější obranou proti ransomware je záloha, ke které se ransomware nemůže dostat. To znamená zálohu na médiu, které není trvale připojeno k počítači ani k síti – takzvaná offline nebo air-gapped záloha. Může to být externí disk, který připojíte jen na dobu zálohování a pak ho fyzicky odpojíte. Nebo dedikované zálohovací řešení s funkcí immutable snapshots (neměnitelné snímky), které nelze přepsat ani smazat po určitou stanovenou dobu.

Synchronizace není záloha

Cloudové synchronizační služby (OneDrive, Google Drive, Dropbox) nejsou záloha proti ransomware. Pokud ransomware zašifruje soubory na vašem počítači, synchronizační služba zašifrované verze automaticky nahraje do cloudu a přepíše originály. Některé služby nabízejí historii verzí souborů, což může pomoci – ale spoléhat se na to jako na jedinou ochranu je riskantní. Více o správném zálohování se dočtete v našem článku Zálohování dat.

Základní opatření, která výrazně snižují riziko

  • Aktualizace systému a software – zranitelnosti v neaktualizovaném software jsou nejčastějším vstupním bodem pro ransomware.
  • Vícefaktorová autentizace (MFA) – zejména pro vzdálený přístup (RDP, VPN), e-mailové účty a administrátorské účty.
  • Obezřetnost u e-mailů – phishing zůstává jedním z hlavních způsobů šíření ransomware. Neklikejte na odkazy a neotevírejte přílohy od neznámých odesílatelů.
  • Segmentace sítě – oddělte zálohovací infrastrukturu od běžné firemní sítě, aby případný ransomware nemohl z napadeného počítače dosáhnout na zálohy.

Často kladené otázky – FAQ

Lze ransomware dešifrovat bez zaplacení výkupného?

Záleží na variantě. U starších nebo méně sofistikovaných variant existují bezplatné dešifrovací nástroje – projekt No More Ransom jich nabízí přes 170. U moderních variant s korektně implementovaným šifrováním nelze data bez klíče dešifrovat. I v takovém případě ale mohou existovat jiné cesty k obnově – nešifrované fragmenty, stínové kopie, data z RAID pole. Právě tyto možnosti vyhodnocujeme v rámci bezplatné diagnostiky.

Může EXALAB data dešifrovat?

Neprolomíme šifrování. Žádná laboratoř na světě nedokáže prolomit správně implementované moderní šifrování. Co ale dokážeme, je analyzovat stav dat na discích a hledat cesty k obnově mimo šifrovanou vrstvu – stínové kopie, předchozí verze souborů, nešifrované fragmenty, rekonstrukce RAID polí. V řadě případů se tak podaří zachránit data, o kterých se klient domníval, že jsou nenávratně ztracená.

Jak poznám, jaký ransomware mě napadl?

Nejrychlejší cestou je služba ID Ransomware, kde nahrajete ransom note (výkupní zprávu) nebo vzorek zašifrovaného souboru. Služba vám během sekund identifikuje variantu a sdělí, zda existuje dešifrovací nástroj. Můžete se také řídit příponou, kterou ransomware přidal k zašifrovaným souborům (například .lockbit, .akira) – ale pozor, některé varianty používají náhodné přípony.

Má smysl obnova dat z disku napadeného ransomware?

Ano, ale ne ve smyslu „prolomení šifrování". Smysl má analýza toho, co na disku zůstalo nezašifrované, nebo co ransomware nestihl smazat. Pokud šifrování neproběhlo kompletně, pokud zůstaly stínové kopie, pokud jde o RAID pole kde nejsou všechny disky zasaženy – v těchto případech má profesionální záchrana dat smysl. Diagnostika je u nás zdarma a dozvíte se, jaké jsou reálné možnosti.

Chrání mě antivirus před ransomware?

Kvalitní antivirový software a nástroje typu EDR (Endpoint Detection and Response) výrazně snižují riziko napadení. Nedokáží ale garantovat stoprocentní ochranu – zejména proti nově vytvořeným variantám, které ještě nejsou v databázích. Proto je antivirus důležitou, ale nikoliv jedinou vrstvou ochrany. Pravidelné zálohování na offline médium je nenahraditelné.

Potřebujete poradit nebo pomoci se záchranou dat po ransomware útoku? Diagnostiku provádíme bezplatně a nezávazně. Kontaktujte nás na +420 608 177 773 – pomůžeme vám vyhodnotit situaci a určit, jaké jsou reálné možnosti obnovy vašich dat.

Základní údaje
By Frantisek Fridrich
Frantisek Fridrich
Nadřazená kategorie: Blog
Vysvětlivky a tipy