Przejdź do treści
Powrót do Centrum Pomocy
Antywirus
Bezpieczeństwo

Co to jest ransomware — jak działa, jak się przed nim chronić i czy opłaca się płacić okup

Ransomware to kategoria złośliwego oprogramowania (malware) zaprojektowanego w celu wymuszenia pieniędzy od ofiary. W przeciwieństwie do innych typów malware —

11 min czytania·Zaktualizowano 1 miesiąc temu

Ransomware (z ang. ransom — okup, ware — oprogramowanie) to złośliwe oprogramowanie, które blokuje dostęp do danych ofiary — najczęściej poprzez ich zaszyfrowanie — i żąda zapłaty okupu w zamian za przywrócenie dostępu. To jedna z najgroźniejszych form cyberataków: w samym 2024 roku globalne straty z tytułu ransomware przekroczyły 813 milionów dolarów, a ataki dotykają zarówno wielkie korporacje, szpitale i instytucje rządowe, jak i użytkowników indywidualnych.

W skrócie

  • Złośliwe oprogramowanie szyfrujące pliki na dysku ofiary i żądające okupu za klucz deszyfrujący
  • Okup płacony niemal wyłącznie w kryptowalutach (Bitcoin, Monero) — trudny do wyśledzenia
  • Rozprzestrzenia się głównie przez phishing, zainfekowane załączniki e-mail, exploity w niezałatanych systemach
  • Model Ransomware-as-a-Service (RaaS) sprawił, że ataki mogą przeprowadzać nawet osoby bez umiejętności technicznych
  • W 2024 roku średni okup żądany od firm wynosił od 300 tys. do ponad 2 mln USD; od osób prywatnych — od 200 do 2000 USD
  • Najskuteczniejszą obroną są regularne, odseparowane kopie zapasowe (offline backup) oraz aktualne oprogramowanie antywirusowe
  • Płatność okupu nie gwarantuje odzyskania danych — FBI i Europol odradzają jej dokonywanie

Pełna definicja — czym dokładnie jest ransomware

Ransomware to kategoria złośliwego oprogramowania (malware) zaprojektowanego w celu wymuszenia pieniędzy od ofiary. W przeciwieństwie do innych typów malware — które mogą działać w ukryciu, wykradać dane lub wykorzystywać moc obliczeniową komputera — ransomware działa jawnie i natychmiastowo: użytkownik dowiaduje się o infekcji, kiedy jego pliki przestają być dostępne, a na ekranie pojawia się komunikat z żądaniem okupu.

Mechanizm ataku ma solidne podstawy kryptograficzne. Został po raz pierwszy opisany w 1996 roku przez Adama L. Younga i Motiego Yunga z Columbia University jako wymuszenie kryptowirusowe (cryptoviral extortion) — protokół trójstopniowy:

  1. Atakujący umieszcza klucz publiczny w malware i rozprzestrzenia go.
  2. Malware na komputerze ofiary generuje losowy klucz symetryczny, szyfruje nim pliki, a następnie szyfruje ten klucz symetryczny kluczem publicznym atakującego — tworząc tzw. szyfrowanie hybrydowe.
  3. Ofiara wysyła zaszyfrowany klucz symetryczny wraz z okupem; atakujący odszyfrowuje go swoim kluczem prywatnym i odsyła klucz symetryczny, umożliwiając odzyskanie plików.

W praktyce współczesne ransomware korzysta z algorytmów AES-256 (szyfrowanie symetryczne) i RSA-2048 lub krzywych eliptycznych (szyfrowanie asymetryczne), co czyni złamanie szyfru praktycznie niemożliwym bez klucza prywatnego atakującego.

Dwie główne kategorie ransomware

TypDziałaniePrzykład
Ransomware szyfrujące (crypto-ransomware)Szyfruje pliki na dysku; system pozostaje częściowo sprawny, ale dokumenty, zdjęcia, bazy danych są niedostępneCryptoLocker, WannaCry, LockBit, BlackCat/ALPHV
Ransomware blokujące (locker-ransomware)Blokuje dostęp do całego systemu — wyświetla pełnoekranowy komunikat uniemożliwiający korzystanie z komputeraReveton („police ransomware”), WinLock

Osobnym, coraz powszechniejszym wariantem jest leakware / doxware — ransomware, które nie tylko szyfruje pliki, ale również wykrada je przed zaszyfrowaniem i grozi ich publicznym ujawnieniem (tzw. podwójne wymuszenie, double extortion), jeśli okup nie zostanie zapłacony. Grupa Maze jako pierwsza zastosowała tę technikę na szeroką skalę w 2019 roku; od tego czasu stała się ona standardem wśród głównych gangów ransomware.

Jak dochodzi do infekcji — wektory ataku

Współczesny ransomware rzadko infekuje przypadkowe komputery. Dominuje model ataków celowanych (targeted attacks), w których przestępcy wybierają konkretną organizację, przeprowadzają rekonesans, a następnie dostarczają ładunek. Najczęstsze drogi infekcji to:

  1. Phishing i spear-phishing — wiadomości e-mail zawierające złośliwe załączniki (dokumenty Office z makrami VBA, pliki PDF z linkami, archiwa ZIP) lub linki prowadzące do stron infekujących. W 2025 roku phishing odpowiadał za około 40–45% wszystkich udanych ataków ransomware.
  2. Exploity na niezałatane luki (RDP, VPN, serwery webowe) — atakujący skanują internet w poszukiwaniu otwartych portów RDP (Remote Desktop Protocol, port 3389) z słabymi hasłami. Bruteforce RDP pozostaje jednym z najskuteczniejszych wektorów wejścia.
  3. Luki dnia zerowego (0-day) — wykorzystanie nieznanych wcześniej podatności w oprogramowaniu; grupa BlackCat/ALPHV notorycznie używała 0-dayów do infekcji firmowych serwerów Exchange i VMware ESXi.
  4. Zainfekowane nośniki USB i złośliwe reklamy (malvertising) — rzadsze, ale wciąż skuteczne, zwłaszcza wobec użytkowników indywidualnych.
  5. Ataki na łańcuch dostaw (supply chain) — infekcja przez oprogramowanie dostawcy, np. atak na Kaseya VSA w 2021 roku, który rozprzestrzenił ransomware REvil na setki firm MSP.

Ransomware-as-a-Service (RaaS) — ransomware jako usługa

Od około 2016 roku rynek ransomware przeszedł fundamentalną zmianę. Pojawił się model Ransomware-as-a-Service — analogiczny do legalnych subskrypcji SaaS: twórcy ransomware (developerzy) udostępniają gotowe zestawy narzędzi wraz z infrastrukturą (serwery C2, panele zarządzania ofiarami, strony do negocjacji okupu) w zamian za procent od każdego zapłaconego okupu (zwykle 20–30%).

Dzięki RaaS próg wejścia do cyberprzestępczości drastycznie spadł: osoba bez wiedzy programistycznej może wynająć ransomware, wybrać cel i rozpocząć atak. Najbardziej znane grupy działające w tym modelu to:

  • LockBit — najaktywniejszy gang 2022–2024, rozbity w ramach międzynarodowej operacji Cronos w lutym 2024
  • BlackCat/ALPHV — ransomware napisane w Rust, zniknęło z rynku w pierwszej połowie 2024 po głośnym ataku na Change Healthcare
  • REvil — odpowiedzialny za ataki na JBS i Kaseya, infrastruktura zlikwidowana po presji dyplomatycznej USA na Rosję w 2021 roku
  • Hive, Conti, Black Basta — kolejne znaczące grupy, częściowo rozbite przez organy ścigania

Mimo sukcesów służb, RaaS wciąż ewoluuje: nowe grupy powstają w zastępstwie rozbitych, a łączna liczba ataków ransomware w 2025 roku pozostała na wysokim poziomie — szacowanym na ponad 400 milionów incydentów rocznie globalnie.

Porównanie: ransomware a inne zagrożenia cybernetyczne

ZagrożenieCelMechanizmOdzyskanie danych
RansomwareWymuszenie okupuSzyfrowanie plików + groźba wyciekuBackup offline lub (niezalecana) płatność okupu
PhishingKradzież danych logowaniaFałszywe strony podszywające się pod zaufane serwisyZmiana haseł, MFA
Spyware / keyloggerSzpiegostwo, kradzież danychUkryte działanie w tleUsunięcie malware, zmiana haseł
Wiper (np. NotPetya)Zniszczenie danychCelowe i nieodwracalne usuwanie/psucie danychWyłącznie backup — odszyfrowanie niemożliwe
CryptojackingKradzież mocy obliczeniowejWydobywanie kryptowalut w tleUsunięcie malware

Jak się chronić przed ransomware — sprawdzone zasady

Skuteczna ochrona przed ransomware opiera się na warstwowym podejściu do bezpieczeństwa. Żadne pojedyncze narzędzie nie daje pełnej ochrony — kluczowe jest połączenie technologii, procedur i świadomości użytkowników.

1. Kopie zapasowe — fundament bezpieczeństwa

Reguła 3-2-1 to absolutna podstawa: 3 kopie danych na 2 różnych nośnikach, z czego 1 kopia przechowywana poza siedzibą (off-site) i — w przypadku ransomware — koniecznie offline (odłączona od sieci). Backup podłączony na stałe do komputera (zewnętrzny dysk USB, NAS z mapowanym dyskiem sieciowym) również zostanie zaszyfrowany przez ransomware.

2. Aktualizacje i łatanie

Regularne instalowanie poprawek bezpieczeństwa eliminuje znane luki, którymi ransomware dostaje się do systemu. Dotyczy to systemu operacyjnego, przeglądarek, klientów poczty, VPN-ów oraz wszystkich aplikacji wystawionych do internetu.

3. Oprogramowanie antywirusowe i EDR

Wbudowany Windows Defender (Microsoft Defender Antivirus) z włączoną funkcją Controlled Folder Access (kontrolowany dostęp do folderów) zapewnia solidną podstawową ochronę. W środowiskach firmowych zalecane są rozwiązania klasy EDR/XDR (Endpoint Detection and Response), które wykrywają anomalie behawioralne — ransomware, zanim zacznie szyfrować, musi przejrzeć wiele plików, co jest wykrywalne.

4. Segmentacja sieci i zasada najmniejszych uprawnień

W firmach: separacja sieci krytycznych od sieci biurowych, ograniczenie uprawnień administratora lokalnego, wyłączenie zbędnych usług (RDP z zewnątrz to zaproszenie do ataku). W domu: nie pracuj na koncie administratora na co dzień.

5. Edukacja i świadomość

Większość ataków zaczyna się od kliknięcia w złośliwy link lub otwarcia załącznika. Regularne szkolenia i symulacje phishingowe redukują to ryzyko nawet o 70%.

Co robić, gdy padniesz ofiarą ransomware

Jeśli twój komputer został zainfekowany:

  1. Natychmiast odłącz komputer od sieci (wyłącz Wi-Fi, odłącz kabel sieciowy) — powstrzymasz rozprzestrzenianie się infekcji i komunikację z serwerem C2.
  2. Nie płać okupu — FBI, Europol i polskie organy ścigania (CERT Polska) stanowczo odradzają płacenie. Płatność finansuje dalszą działalność przestępczą i nie gwarantuje odzyskania danych (według badań Sophos, jedynie około 60% organizacji, które zapłaciły, odzyskało pełny dostęp do danych).
  3. Zgłoś incydent do odpowiednich służb — w Polsce: CERT Polska (cert.pl), CSIRT NASK, a w przypadku firmy — również do najbliższej jednostki policji.
  4. Sprawdź projekt No More Ransom (nomoreransom.org) — międzynarodowa inicjatywa Europolu i firm bezpieczeństwa oferuje darmowe narzędzia deszyfrujące dla wielu rodzin ransomware.
  5. Przywróć dane z backupu offline — po upewnieniu się, że system został wyczyszczony z malware (najlepiej przez pełną reinstalację systemu).

Częste pytania

Czy ransomware może zainfekować komputer Mac lub Linux?

Tak. Choć historycznie większość ransomware celowała w Windows (ze względu na jego dominację rynkową), współczesne rodziny atakują również macOS i Linuksa. Przykładowo, LockBit miał wariant dla Linuksa celujący w serwery VMware ESXi, a na macOS odnotowano ataki m.in. przez złośliwe aplikacje podszywające się pod legalne narzędzia. Żaden system operacyjny nie jest automatycznie bezpieczny.

Czy przywrócenie systemu Windows (System Restore) ochroni przed ransomware?

Nie. Współczesne ransomware celowo usuwa punkty przywracania systemu i kopie Volume Shadow Copy (VSS) jako jeden z pierwszych kroków po infekcji. Poleganie na System Restore zamiast na regularnych kopiach zapasowych offline to poważny błąd.

Czy płacenie okupu jest legalne?

W Polsce i większości krajów UE samo zapłacenie okupu nie jest nielegalne — ale może być uznane za finansowanie działalności przestępczej, szczególnie jeśli grupa ransomware znajduje się na listach sankcyjnych (np. OFAC w USA). Firmy z sektora finansowego i infrastruktury krytycznej muszą zgłaszać takie zdarzenia odpowiednim organom. Co więcej, niektóre jurysdykcje — jak Wielka Brytania — rozważają wprowadzenie całkowitego zakazu płacenia okupu przez instytucje publiczne.

Czym ransomware różni się od wirusa lub trojana?

Wirus to malware, które replikuje się i rozprzestrzenia samodzielnie. Trojan to malware udające legalne oprogramowanie. Ransomware może być dostarczone jako trojan (np. w załączniku e-mail udającym fakturę) lub rozprzestrzeniać się jak wirus (WannaCry używał exploita EternalBlue do automatycznego atakowania innych komputerów w sieci). Ransomware definiuje się przez cel (wymuszenie okupu), a nie metodę rozprzestrzeniania.

Czy darmowe antywirusy chronią przed ransomware?

Darmowe programy antywirusowe chronią przed znanymi sygnaturami ransomware, ale często nie mają zaawansowanych funkcji wykrywania behawioralnego ani modułów anti-ransomware obecnych w płatnych pakietach (np. Bitdefender, Kaspersky, Norton 360, a także wbudowany Microsoft Defender w Windows 10 i 11, który w testach niezależnych wypada bardzo dobrze). Kluczowe jest, aby antywirus — darmowy czy płatny — był stale aktualizowany.

Jak rozpoznać fałszywy e-mail z ransomware zanim go otworzę?

Sprawdź nadawcę — fałszywe wiadomości często pochodzą z domen podobnych do prawdziwych (np. faktury@firmа.com z cyrylicą zamiast łacińskiego "a"). Nie otwieraj niespodziewanych załączników, zwłaszcza .exe, .js, .vbs, .docm, .xlsm. Najedź kursorem na link, aby sprawdzić faktyczny adres docelowy. Podejrzliwość to twój najlepszy mechanizm obronny.

Czy Windows 11 ma wbudowaną ochronę przed ransomware?

Tak. Windows 11 (i Windows 10) zawiera Microsoft Defender Antivirus z funkcją Ochrona przed ransomware (Ransomware Protection), w tym Kontrolowany dostęp do folderów (Controlled Folder Access), który uniemożliwia nieautoryzowanym aplikacjom modyfikowanie plików w chronionych katalogach (domyślnie: Dokumenty, Obrazy, Pulpit i inne). Włączenie tej funkcji znacząco utrudnia ransomware zaszyfrowanie najważniejszych plików.

Chroń swój komputer — zacznij od legalnego oprogramowania

Ransomware najczęściej wykorzystuje luki w nieaktualnym oprogramowaniu oraz systemy zainfekowane przez pirackie wersje programów. Posiadanie legalnego, w pełni aktualnego systemu Windows z włączonym Windows Defender i regularnymi poprawkami bezpieczeństwa to pierwsza i podstawowa linia obrony. W sklepie KluczeSoft.pl znajdziesz w pełni legalne, niedrogie licencje na Windows 11 w wersji Home i Professional — z natychmiastową dostawą klucza i fakturą VAT. Legalny system to system, który możesz bez przeszkód aktualizować i chronić na bieżąco.


Artykuł przygotowany przez zespół redakcyjny KluczeSoft.pl. Niezależne źródło — nie jesteśmy powiązani z Microsoft Corporation. Informacje aktualne na maj 2026 roku.

Sprawdź też

<!-- IL-V1 -->

Powiązane artykuły

Najczęściej zadawane pytania

Tak. Choć historycznie większość ransomware celowała w Windows (ze względu na jego dominację rynkową), współczesne rodziny atakują również macOS i Linuksa. Przykładowo, LockBit miał wariant dla Linuksa celujący w serwery VMware ESXi, a na macOS odnotowano ataki m.in. przez złośliwe aplikacje podszywające się pod legalne narzędzia. Żaden system operacyjny nie jest automatycznie bezpieczny.
Nie. Współczesne ransomware celowo usuwa punkty przywracania systemu i kopie Volume Shadow Copy (VSS) jako jeden z pierwszych kroków po infekcji. Poleganie na System Restore zamiast na regularnych kopiach zapasowych offline to poważny błąd.
W Polsce i większości krajów UE samo zapłacenie okupu nie jest nielegalne — ale może być uznane za finansowanie działalności przestępczej, szczególnie jeśli grupa ransomware znajduje się na listach sankcyjnych (np. OFAC w USA). Firmy z sektora finansowego i infrastruktury krytycznej muszą zgłaszać takie zdarzenia odpowiednim organom. Co więcej, niektóre jurysdykcje — jak Wielka Brytania — rozważają wprowadzenie całkowitego zakazu płacenia okupu przez instytucje publiczne.
Wirus to malware, które replikuje się i rozprzestrzenia samodzielnie. Trojan to malware udające legalne oprogramowanie. Ransomware może być dostarczone jako trojan (np. w załączniku e-mail udającym fakturę) lub rozprzestrzeniać się jak wirus (WannaCry używał exploita EternalBlue do automatycznego atakowania innych komputerów w sieci). Ransomware definiuje się przez **cel** (wymuszenie okupu), a nie metodę rozprzestrzeniania.
Darmowe programy antywirusowe chronią przed znanymi sygnaturami ransomware, ale często nie mają zaawansowanych funkcji wykrywania behawioralnego ani modułów anti-ransomware obecnych w płatnych pakietach (np. Bitdefender, Kaspersky, Norton 360, a także wbudowany Microsoft Defender w Windows 10 i 11, który w testach niezależnych wypada bardzo dobrze). Kluczowe jest, aby antywirus — darmowy czy płatny — był stale aktualizowany.
Sprawdź nadawcę — fałszywe wiadomości często pochodzą z domen podobnych do prawdziwych (np. `faktury@firmа.com` z cyrylicą zamiast łacińskiego "a"). Nie otwieraj niespodziewanych załączników, zwłaszcza .exe, .js, .vbs, .docm, .xlsm. Najedź kursorem na link, aby sprawdzić faktyczny adres docelowy. Podejrzliwość to twój najlepszy mechanizm obronny.
Tak. Windows 11 (i Windows 10) zawiera **Microsoft Defender Antivirus** z funkcją **Ochrona przed ransomware** (Ransomware Protection), w tym **Kontrolowany dostęp do folderów** (Controlled Folder Access), który uniemożliwia nieautoryzowanym aplikacjom modyfikowanie plików w chronionych katalogach (domyślnie: Dokumenty, Obrazy, Pulpit i inne). Włączenie tej funkcji znacząco utrudnia ransomware zaszyfrowanie najważniejszych plików.

Czy ten artykuł był pomocny?

Co to jest ransomware — jak działa, jak się przed nim chr… | Centrum Pomocy KluczeSoft