Trebam li ikada platiti otkupninu?

Tek nakon iscrpljenih alternativa: vratite iz sigurnosnih kopija, posavjetujte se s policijom, provjerite ima li vaš soj poznati dekriptor. Ako je plaćanje jedina opcija, učinite to putem kvalificirane IR tvrtke — oni pregovaraju, provjeravaju rad dekriptora i dokumentiraju transakciju za osiguranje i provedbu zakona.

Sprječava li antivirusni softver ransomware?

Tradicionalni AV koji se temelji na potpisu uglavnom ne radi — moderni se ransomware neprestano prepakira. EDR (Endpoint Detection and Response) alati koji traže obrasce ponašanja, u kombinaciji s pravilima smanjenja površine napada u sustavu Windows, sprječavaju većinu infekcija potrošačke razine.

Može li me VPN zaštititi od ransomwarea?

Posredno. VPN može sakriti vaš kućni IP od oportunističkih skenera i spriječiti neke kategorije mrežnih napada. Ali ransomware uglavnom stiže putem krađe identiteta ili kompromitiranih vjerodajnica, što VPN ne čini ništa da spriječi. Higijena krajnje točke važnija je mnogo više od mrežne pozicije.

Kako ću znati jesam li udaren?

Najizravniji simptom: datoteke imaju nove ekstenzije, ne otvaraju se, a na radnoj površini pojavljuje se poruka o otkupnini. Raniji znakovi upozorenja: neuobičajena aktivnost prijave, onemogućavanje zaštitnika, masovne promjene datoteka otkrivene revizijskim zapisnicima. Nakon što enkripcija započne, imate nekoliko minuta za odspajanje zahvaćenih strojeva — fizički prekid mrežne veze najbrže je obuzdavanje.

Je li moje kućno računalo realna meta?

Ciljani napadi poduzeća rijetko pogađaju pojedince. Ali automatizirani ransomware i dalje inficira kućne korisnike putem zlonamjernih privitaka e-pošte i piratskog softvera. Obrane su iste: sigurnosne kopije (oblak + vanjski disk), 2FA na važnim računima i nepokretanje nepoznatih izvršnih datoteka.

Objašnjenje ransomwarea: kako napad funkcionira, zašto se isplati i kako ga zaustaviti

Ransomware je rijedak poslovni model kibernetičkog kriminala koji je kriminalce pretvorio u operatere. Šifrirajte podatke žrtve, zahtijevajte plaćanje za ključ za dešifriranje, ponovite. Tehnička sofisticiranost ponekad je niska, a ponekad izvanredna, ali ekonomska je logika ono što ga je učinilo najvećom kategorijom kibernetičkog kriminala na svijetu po izvučenim dolarima.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Ransomware je zlonamjerni softver koji šifrira datoteke na zaraženom sustavu i zahtijeva plaćanje ključa za dešifriranje. Moderne vrste dodaju ekstrakciju podataka ("dvostruko iznuđivanje") i prijetnje odavanjem ukradenih podataka ako se otkupnina ne plati ("trostruko iznuđivanje"). Kategorija se pojavila 1989. s AIDS trojancem i ostala je kuriozitet sve dok se kriptovaluta nije pojavila oko 2013., pružajući sustav plaćanja koji je poslovanje učinio održivim u većem broju.

Kako se infekcija razvija

Većina modernih napada ransomwarea slijedi prepoznatljivu progresija:

Ipočetni pristup. Phishing e-pošta, izloženi RDP, nezakrpani VPN uređaj ili ukradene vjerodajnice koje prodaje Initial Access Broker (IAB) — stručnjak koji prodaje samo unos, a ne otkupninu.
Postojanost i privilegija eskalacija. Napadač uspostavlja dugoročni pristup putem planiranih zadataka, usluga ili domenskih računa.
Reconnaissance. Mapirajte okruženje: kontrolere domene, poslužitelje datoteka, sustave za sigurnosno kopiranje, hipervizore, pohrane osjetljivih podataka. Ova faza može trajati danima ili tjednima.
Onemogućivanje obrane. Onemogućite antivirusni program, petljajte u zapisnike, izbrišite kopije u sjeni i sigurnosne kopije na dohvat ruke.
Eksfiltracija. Ukradi osjetljive podatke za korištenje kao dodatnu prednost. Moderni napadači eksfiliraju prije enkripcije.
Encryption. Rasporedite korisni teret ransomwarea na što više krajnjih točaka i poslužitelja, često putem pravila grupe ili PsExec.
Negotiation. Poruka o otkupnini pojavljuje se na svakom ekranu. Jedinstveni URL za chat ili e-pošta vodi do portala operatera gdje se dešifriranje dogovara.

Ekonomija

Ransomware je postao potpuno profesionalizirana industrija pod nazivom Ransomware-as-a-Service (RaaS). Model:

Operatori (Conti, LockBit, BlackCat, Cl0p, drugi) razvijaju zlonamjerni softver, pokreću portale za pregovore, rukuju dešifriranjem i pružaju "korisničku uslugu."
Podružnice provode stvarne upade i implementiraju teret operatera. Dobivaju 70–80% otkupnine; operater zadržava ostatak.
IPosrednici za početni pristup prodaju pristup korporativnim mrežama za 500–50 000 USD, ovisno o prihodu cilja.
Stručnjaci za pregovore, perači novca i OSINT analitičari podržavaju operacija.

Cijeli opskrbni lanac radi na ruskim i kineskim forumima (uglavnom ruskim), a plaćanja se usmjeravaju kroz miksere kriptovaluta. Prosječni zahtjevi za otkupninom od 2025. iznose se u milijunima za poslovne ciljeve, a žrtve s visokim prihodima plaćaju više od 5 milijuna dolara za dešifriranje.

Kriptografija

Moderni ransomware koristi hibridnu enkripciju: novi AES-256 ključ za svaku datoteku (ili za cijeli datotečni sustav), zatim AES ključ šifriran s operaterov javni ključ RSA-2048 ili ECDH ugrađen u zlonamjerni softver. Bez privatnog ključa operatera, nikakva računalna snaga ne može dekriptirati datoteke. Ovo je isti uzorak šifriranja koji koristi legitimni softver; kriptografska snaga nije slaba karika.

Slaba karika je povremeno u implementaciji: rani WannaCry imao je greške u upravljanju ključevima koje su omogućavale oporavak; LockBitov portal za pregovore imao je ranjivosti koje su istraživači iskoristili za dohvaćanje ključeva; neki manji sojevi koriste AES u neispravnim načinima. Radne skupine za provođenje zakona nekoliko su puta otkrile dešifratore. Ali za dobro osmišljene, trenutačno aktivne sojeve, plaćanje operateru je jedini put tehničkog oporavka.

Zašto žrtve plaćaju

Ekonomska matematika, posebno kada su sigurnosne kopije također šifrirane: platite 1 milijun dolara, oporavite se za 48 sati. Ne plaćajte, obnovite iz sigurnosnih kopija izvan mjesta (ako ih ima), oporavite se za 2–6 tjedana, izgubite klijente i partnere tijekom prekida rada. Za posao vrijedan 500 milijuna dolara, nepriuštiv izbor je dugi oporavak, a ne otkupnina. Osiguranje je kroz povijest nadoknađivalo otkupninu; osiguravatelji sve više odbijaju ili uvjetuju pokriće mjerama prevencije.

Strateški problem s plaćanjem: financira sljedeći napad i signalizira da je žrtva meta plaćanja. Tvrtke za kibernetičku sigurnost, vladine agencije i mnogi CISO-i snažno preporučuju da ne plaćate kada postoji bilo kakva održiva alternativa.

Kako se zapravo obraniti

Nijedan alat ne sprječava ransomware. Obrane koje zapravo djeluju u kombinaciji:

INepromjenjive sigurnosne kopije izvan mreže. Sigurnosne kopije koje se ne mogu mijenjati ili brisati iz proizvodne mreže, redovito se testiraju na mogućnost obnavljanja. WORM pohrana, odvojeni računi u oblaku, mediji sa zrakom.
MFA posvuda, hardverski ključevi za administratore. Većina početnog pristupa još uvijek dolazi putem vjerodajnica. Hardverski ključ 2FA pobjeđuje AitM phishing.
EDR s otkrivanjem ponašanja. Moderno otkrivanje krajnje točke traži ponašanja slična ransomware-u (masovno mijenjanje datoteka, brisanje kopija u sjeni, pozivi biblioteke za šifriranje) i može zaustaviti implementaciju u sekundi.
Segmentacija mreže. Radijus eksplozije upada u korelaciji je s time koliko je mreža ravna. Mikrosegmentacija, hostovi za skok i usko ograničeni servisni računi sadrže širenje.
Krapanje izloženih usluga. VPN uređaji, RDP pristupnici, poslužitelji e-pošte i aplikacije izložene Internetu najčešće su ulazne točke. Zakrpite ih unutar prozora za otkrivanje podataka.
IDržač odgovora na incidente. Unaprijed dogovoreni ugovor s tvrtkom za IR skraćuje vrijeme odgovora s dana na sate i smanjuje pritisak plaćanja otkupnine.

Zaokret organa za provođenje zakona

2024–2026 vidio je koordiniranu međunarodni odgovor. FBI-evo uklanjanje Hivea (2023.), uklanjanje LockBita (2024.) i nastavak zapljene operaterske infrastrukture podigli su operativne troškove vođenja glavnog brenda RaaS. Operateri često mijenjaju robnu marku i rekonstruiraju se, ali stope prometa znatno su otežale poslovanje. Praćenje kriptovalute (Chainalysis, TRM Labs) također se dovoljno poboljšalo da pranje novca putem miksera više nije zajamčeni korak čišćenja.

Srednjoročna putanja: ransomware se nastavlja, ali model postaje manje isplativ kako se obrana poboljšava, a atribucija postaje brža. Krivi li se putanja dovoljno brzo je političko pitanje desetljeća.

Često postavljana pitanja

Trebam li ikada platiti otkupninu?: Tek nakon iscrpljenih alternativa: vratite iz sigurnosnih kopija, posavjetujte se s policijom, provjerite ima li vaš soj poznati dekriptor. Ako je plaćanje jedina opcija, učinite to putem kvalificirane IR tvrtke — oni pregovaraju, provjeravaju rad dekriptora i dokumentiraju transakciju za osiguranje i provedbu zakona.
Sprječava li antivirusni softver ransomware?: Tradicionalni AV koji se temelji na potpisu uglavnom ne radi — moderni se ransomware neprestano prepakira. EDR (Endpoint Detection and Response) alati koji traže obrasce ponašanja, u kombinaciji s pravilima smanjenja površine napada u sustavu Windows, sprječavaju većinu infekcija potrošačke razine.
Može li me VPN zaštititi od ransomwarea?: Posredno. VPN može sakriti vaš kućni IP od oportunističkih skenera i spriječiti neke kategorije mrežnih napada. Ali ransomware uglavnom stiže putem krađe identiteta ili kompromitiranih vjerodajnica, što VPN ne čini ništa da spriječi. Higijena krajnje točke važnija je mnogo više od mrežne pozicije.
Kako ću znati jesam li udaren?: Najizravniji simptom: datoteke imaju nove ekstenzije, ne otvaraju se, a na radnoj površini pojavljuje se poruka o otkupnini. Raniji znakovi upozorenja: neuobičajena aktivnost prijave, onemogućavanje zaštitnika, masovne promjene datoteka otkrivene revizijskim zapisnicima. Nakon što enkripcija započne, imate nekoliko minuta za odspajanje zahvaćenih strojeva — fizički prekid mrežne veze najbrže je obuzdavanje.
Je li moje kućno računalo realna meta?: Ciljani napadi poduzeća rijetko pogađaju pojedince. Ali automatizirani ransomware i dalje inficira kućne korisnike putem zlonamjernih privitaka e-pošte i piratskog softvera. Obrane su iste: sigurnosne kopije (oblak + vanjski disk), 2FA na važnim računima i nepokretanje nepoznatih izvršnih datoteka.