Ransomware, únik dat, podezřelá aktivita ve vaší síti? Nehledejte v Googlu — telefon je rychlejší. Pomůžeme vám zorientovat se, izolovat dopad a zvolit další kroky. Bez okolků, bez prodeje, bez paniky.
Tísňová linka CypherOn
+420 704 129 568Dovoláte se nám 24/7. Mimo pracovní dobu krátký zpětný call do 1 hodiny.
Vypadá to instinktivně, ale forenzní stopy jsou na infikovaném zařízení. Nechte ho zapnuté, pokud to jde — odpojte ho jen od sítě. Nezačínejte přeinstalovávat systém.
Odpojte postižená zařízení od sítě (LAN i Wi-Fi). Nemažte logy, nepřepisujte zálohy, nezavírejte uživatelské účty. Vše může být důkaz nebo cesta zpět.
Pokud máte ransomware s žádostí o platbu, nekomunikujte s útočníkem dřív, než si promluvíte s námi. Špatná odpověď v prvních hodinách obvykle znamená vyšší cenu nebo druhý útok.
Co jste viděli, kdy, kdo to zaregistroval první, jaké systémy jsou postižené. Stačí poznámky — ušetří nám 30 minut prvního callu.
Pokud nemůžete nebo nechcete telefonovat, vyplňte krátký formulář — ozveme se do několika hodin (v pracovní dobu typicky do 30 minut). Pro skutečně urgentní incident ale doporučujeme telefon výše.
Časté otázky
Otázky, které si firmy během ransomware útoku pokládají nejčastěji. Odpovědi vychází z doporučení NÚKIB, ENISA a praxe — žádný marketing, jen co skutečně platí.
NÚKIB i ENISA jednoznačně doporučují neplatit. Není zaručeno, že obdržíte funkční dekryptor (úspěšnost se pohybuje kolem 60 %). Platba financuje další útoky a označí vás jako ochotnou oběť — 80 % platících firem je napadeno znovu do 12 měsíců. Platba skupinám pod sankcemi (typicky ruské skupiny) je v EU navíc potenciálně trestná. Existují ale výjimky — rozhodnutí vždy konzultujte s právníkem, IR týmem a pojišťovnou, ne pod tlakem v prvních hodinách.
Pokud jste subjektem podle zákona o kybernetické bezpečnosti (ZoKB) nebo NIS2 — ano, povinně. Tzv. early warning typicky do 24 hodin od detekce, detailní hlášení do 72 hodin. Pokud nejste regulovaný subjekt, hlášení není povinné, ale doporučené — NÚKIB tím získává kontextové informace o probíhajících kampaních. Nahlášení se podává přes oficiální portál nukib.gov.cz.
Záleží na typu zálohování. Pokud jsou zálohy online a dostupné z domény, ransomware je často zašifruje spolu s produkčními daty. Účinné jsou jen offline / immutable / off-site zálohy podle pravidla 3-2-1 (tři kopie, dvě média, jedna offline). A pravidelně testovaný restore — záloha, kterou jste nezkoušeli obnovit, se obvykle ukáže jako nepoužitelná v ten nejhorší možný moment.
První hodiny rozhodují. Útočník je v síti typicky 4–60 dní před šifrováním a v okamžiku, kdy ransomware spustí, často právě dokončuje exfiltraci dat. Každá hodina prodlevy v izolaci znamená víc šifrovaných systémů a víc ukradených dat. NÚKIB doporučuje aktivovat IR plán do 30 minut od potvrzení útoku.
Většinou ano — typicky se kryje IR tým, právní zastoupení, recovery, ztráta provozu, někdy i samotné výkupné (ale to se v posledních letech omezuje). Klíčové podmínky: nahlásit pojišťovně okamžitě, neničit důkazy, nedohazovat se sami s útočníkem bez konzultace. Pojišťovna může odmítnout plnění, pokud jste neměli základní opatření (MFA, EDR, zálohy, awareness training) — proto si pre-incident kontroly dělají vážněji než dřív.
Tzv. double extortion je dnes standard — 70 %+ ransomware kampaní data nejen šifruje, ale i krade. Strategie: (1) předpokládejte, že data byla exfiltrována, dokud forenzika nedokáže opak, (2) notifikujte ÚOOÚ podle GDPR do 72 hodin, pokud uniká osobní data, (3) připravte komunikační strategii pro případ zveřejnění. Placení v této fázi nezaručí, že data nebudou zveřejněna — útočníci si je často ponechávají i po platbě a později prodávají dál.
Vždy, i když nedoufáte v vyšetření. Ransomware je trestný čin (vydírání + neoprávněný přístup k počítačovému systému). Bez trestního oznámení často nelze využít většinu pojistných plnění a komplikuje to účetní odpis škody. Kontakty: PČR — odbor kybernetické kriminality, NCOZ. Ideálně přes právníka, který má zkušenost s podobnými případy.
Záleží na tom, co bylo postiženo a jak důkladně jste izolovali. Pokud jsou kritické business systémy (e-mail, ERP, fakturace) dotčené, krátkodobě se přejde na ruční režim — papírová evidence, mobilní hotspot, alternativní e-maily. Plný návrat na původní infrastrukturu by měl proběhnout až po forenzní analýze — restore na nevyčištěnou síť znamená, že se útočník vrátí během dní nebo týdnů. Typická doba úplné obnovy: 2–6 týdnů.
Hlubší zdroje
Pokud nemáte akutní incident, ale chcete vědět, co dělat preventivně nebo jak by měl vypadat váš incident response plán, máme pro vás detailnější materiály.
12 konkrétních opatření, která pokrývají 95 % útočných vektorů. Zálohy, MFA, segmentace, EDR, patch management — co reálně funguje a v jakém pořadí to zavádět.
Číst doporučení → 02 / Během útokuStrukturovaný postup pro pět fází incidentu — detekce, izolace, komunikace, obnova, lessons learned. Včetně NÚKIB a GDPR notifikačních povinností.
Číst postup →