Co dělat první 2 hodiny po ransomware útoku: Krok za krokem průvodce

Ráno přijdete do práce a počítače kolegů zobrazují zprávu s požadavkem na výkupné. Nebo IT správce zaznamená neobvyklou aktivitu na serverech uprostřed noci. Ať tak či onak, zjistíte, že vaše organizace čelí ransomware útoku. Co teď?

Prvních 120 minut po odhalení útoku je klíčových. Rozhoduje se o tom, jak velký rozsah útok bude mít, zda se podaří zachovat forenzní důkazy pro vyšetřování a jak rychlá bude obnova. Tento průvodce vám poskytuje konkrétní kroky — ne obecné rady, ale přesný postup, který lze okamžitě implementovat.

Minuty 0–15: Okamžitá reakce (co NEDĚLAT a co DĚLAT)

Prvním instinktem mnoha lidí je restartovat počítač, doufajíce, že problém zmizí. To je fatální chyba. Restartem přijdete o obsah operační paměti, kde mohou být klíče pro dešifrování dat, informace o útočníkovi nebo stopy jeho přítomnosti v systému.

Co okamžitě NEDĚLAT

• Nerestartujte žádný zasažený systém — zachovejte stav v paměti.
• Nespouštějte antivirový scan na zasažených systémech — může přepsat nebo smazat důkazy.
• Nekomunikujte s útočníkem bez konzultace s IR specialistou — každá komunikace je taktická záležitost.
• Nesmazávejte žádné soubory ani logy — i výkupná zpráva je důkaz.
• Neplaťte výkupné bez důkladné analýzy situace — platba nezaručuje obnovu dat, financuje kriminální struktury a může být v rozporu s protikorupčními předpisy.

Co okamžitě UDĚLAT

1. Dokumentujte vše, co vidíte — fotografujte obrazovky mobilním telefonem. Zapište čas zjištění.
2. Aktivujte krizový tým — kontaktujte IT ředitele, bezpečnostního manažera a management. Mějte kontakty připravené mimo zasažené systémy (tištěné nebo v mobilním telefonu).
3. Přestaňte používat zasažené systémy pro interní komunikaci — přepněte na alternativní kanál (osobní telefony, Signal).

Minuty 15–45: Izolace sítě a identifikace rozsahu

Izolace je nejdůležitější technický krok v prvních hodinách. Cílem je zastavit šíření ransomwaru do dalších systémů a zamezit exfiltraci dat (útočník může stále stahovat data, i když šifrování již probíhá nebo skončilo).

Postup izolace sítě

1. Odpojte zasažené segmenty sítě od zbytku infrastruktury na úrovni switche nebo firewallu — ne fyzickým vytažením kabelů z každého PC, ale změnou VLAN nebo ACL pravidel centrálně.
2. Zablokujte odchozí provoz na firewalli na internetu pro zasažené segmenty — zastavíte případnou probíhající exfiltraci dat a komunikaci malwaru s C2 serverem.
3. Izolujte zálohovací systémy — odpojte zálohovací servery od produkční sítě, aby nedošlo k zašifrování záloh. To je priorita číslo jedna pro obnovu.
4. Dokumentujte síťovou topologii v době útoku — screenshoty z firewallu, SIEM, NAC systémů.

Identifikace rozsahu útoku

Paralelně s izolací identifikujte, které systémy jsou zasaženy:

• Které servery a pracovní stanice vykazují příznaky šifrování (vysoké I/O, přejmenované soubory, výkupné zprávy)?
• Kdy útočník vstoupil do sítě? (Ransomware se obvykle nasazuje až po 2–4 týdnech průzkumu.) Prohledejte logy z SIEM za posledních 30–90 dní.
• Jaký typ ransomwaru se jedná? Podívejte se na přípony zašifrovaných souborů a výkupnou zprávu — databáze na ID Ransomware (ransomware.id) pomůže identifikovat variantu.
• Došlo k exfiltraci dat? Zkontrolujte logy odchozího provozu — velké přenosy dat před šifrováním jsou typický vzor double extortion útoků.

Minuty 45–90: Kontaktování IR týmu a forenzní uchování důkazů

Pokud nemáte vlastní Incident Response tým, je čas zavolat externím specialistům. SecureOn.cz poskytuje 24/7 IR služby s garantovanou dobou reakce. Mějte číslo uložené předem — hledání kontaktu uprostřed incidentu zabírá drahocenný čas.

Forenzní uchování důkazů

Správné uchování důkazů je klíčové pro dvě věci: vyšetřování útoku a případné trestní oznámení. Provádějte tyto kroky ještě před jakoukoliv obnovou:

• Memory dump: pořiďte výpis operační paměti zasažených systémů pomocí nástrojů jako WinPmem (Windows) nebo LiME (Linux) — klíče pro dešifrování nebo artefakty malwaru mohou být pouze v RAM.
• Disk image: pořiďte bitovou kopii pevných disků zasažených systémů (dd, FTK Imager). Pracujte vždy s kopií, nikdy s originálem.
• Exportujte logy: Windows Event Logs, logy firewallů, proxy serverů, VPN, Active Directory — vše co může ukázat pohyb útočníka.
• Zachovejte výkupné zprávy a veškerou komunikaci s útočníkem jako důkaz.
• Poznamenejte si hashe (SHA256) klíčových souborů pro pozdější ověření integrity.

Minuty 90–120: Hlášení povinností dle NIS2 a komunikace

Pokud vaše organizace spadá pod NIS2 směrnici (a od roku 2025 to platí pro tisíce českých firem), máte zákonnou povinnost hlásit závažné kybernetické incidenty NÚKIB. Časové lhůty jsou přísné:

• Do 24 hodin: předběžné hlášení (early warning) — stačí základní informace o incidentu.
• Do 72 hodin: první formální hlášení s dostupnými informacemi o rozsahu a dopadu.
• Do 1 měsíce: závěrečná zpráva po dokončení vyšetřování.

Hlášení provádějte přes portál NUKIB.cz. Zpoždění nebo opomenutí hlášení může vést k sankcím až do výše 10 milionů EUR nebo 2 % celosvětového obratu.

Interní a externí komunikace

Komunikaci při incidentu nelze improvizovat. Připravte stručné, faktické zprávy pro různé skupiny:

• Zaměstnanci: co se děje, co mají dělat (nepoužívat zasažené systémy), na koho se obrátit. Eliminujte paniku a dezinformace.
• Management a představenstvo: dopad na provoz, odhadované náklady, timeline obnovy.
• Zákazníci a partneři: pokud mohlo dojít k úniku jejich dat, informujte je promptně — zákonná povinnost dle GDPR je 72 hodin pro hlášení ÚOOÚ.
• Média: komunikujte přes právní oddělení nebo PR specialistu, ne technický tým. Nedávejte útočníkovi zbytečnou publicitu.

Zálohy a obnova: jak postupovat správně

Obnova ze záloh je preferovaná cesta — platit výkupné je krajní možnost, ke které byste se měli uchýlit jen po konzultaci s IR specialisty a právníky, pokud zálohy neexistují nebo jsou také zašifrované.

Jak ověřit zálohy před obnovou

1. Ověřte, že zálohy jsou čisté — zkontrolujte logy zálohovacího systému, kdy naposled proběhlo zálohotvorba bez chyb.
2. Izolujte zálohovací média od sítě před obnovou — útočník může být stále přítomen.
3. Obnovujte do čistého prostředí (fresh install OS), nikdy na stávající kompromitované systémy.
4. Před připojením obnovených systémů do produkce proveďte bezpečnostní scan.

Ideální zálohovací strategie pro odolnost vůči ransomwaru je pravidlo 3-2-1-1-0: 3 kopie dat, na 2 různých médiích, 1 off-site, 1 offline (air-gapped) a 0 chyb při ověřování zálohy.

Příprava na ransomware útok je výrazně efektivnější a levnější než řešení samotného útoku. SecureOn.cz nabízí sestavení Incident Response playbooku na míru vaší organizaci, pravidelné cvičné simulace a 24/7 IR hotline. Kontaktujte nás dříve, než budete potřebovat.

Závěr: Plán, ne panika

Ransomware útok testuje připravenost organizace v nejhorší možnou dobu. Firmy, které zvládají ransomware incidenty s minimálními ztrátami, mají jedno společné: měly předem připravený Incident Response plán, pravidelně testované zálohy a kontakty na IR specialisty uložené mimo digitální systémy.

Pokud váš plán říká jen "zavolej IT", není to plán — je to přání. Začněte budovat skutečnou připravenost dnes.