BlogPoradnik

48 godzin po ataku ransomware — krok po kroku

Co robić, gdy ransomware uderzy? Pierwszy krok to nie panika. Sprawdź dokładny plan działania na 48h po ataku — technicznie, prawnie i operacyjnie.

SecIQ Team7 min czytania

Kluczowe wnioski

  • Pierwsza godzina: izolacja, nie odłączanie zasilania — wyłączenie może zniszczyć dowody w RAM
  • KSC 2.0 wymaga zgłoszenia do CSIRT w 24h — musisz mieć fakty, nie domysły
  • Nie płać okupu bez konsultacji z ekspertem i organami ścigania
  • Logi w chmurze pozwalają odtworzyć łańcuch ataku, nawet gdy on-prem jest zaszyfrowany

Zanim przeczytasz dalej

Ten artykuł opisuje co robić po ataku. Ale najważniejsza praca dzieje się przed nim. Firma z SOC, backupami i planem reagowania przeżyje ransomware z drobnym przestojem. Firma bez tego — stanie przed egzystencjalnym zagrożeniem.

Jeśli jeszcze nie masz planu — umów konsultację. Lepiej rozmawiać o tym teraz niż w panice o 3 w nocy.

Godzina 0 — wykrycie

Sygnały, że to ransomware

  • Pliki z nietypowymi rozszerzeniami (.encrypted, .locked, .crypt)
  • Notatka z żądaniem okupu na pulpicie lub w folderach
  • Systemy przestają odpowiadać / aplikacje nie działają
  • Masowe alerty z antywirusa / EDR
  • SOC raportuje anomalną aktywność szyfrowania

Pierwsze 15 minut — izolacja

Zrób:

  • Odłącz zainfekowane systemy od sieci (kabel, WiFi)
  • Odłącz od VPN i połączeń z dostawcami
  • Zablokuj skompromitowane konta w AD / Entra ID
  • Powiadom SOC / zespół incident response

NIE rób:

  • Nie wyłączaj zasilania — pamięć RAM może zawierać klucze deszyfrujące
  • Nie próbuj samodzielnie usuwać malware
  • Nie formatuj dysków
  • Nie komunikuj się z atakującym (jeszcze)
  • Nie ogłaszaj publicznie (za wcześnie)

Dlaczego izolacja, nie wyłączenie

To częsty błąd. Odruch to „wyłączyć wszystko". Ale wyłączenie:

  • Niszczy dane w pamięci RAM (potencjalne klucze deszyfrujące)
  • Uniemożliwia analizę procesów, które jeszcze działają
  • Może uruchomić mechanizmy samozniszczenia malware

Izolacja od sieci zatrzymuje rozprzestrzenianie, ale zachowuje dowody.

Godziny 1-4 — ocena sytuacji

Zakres ataku

Zespół SOC / IR odpowiada na pytania:

  • Ile systemów jest zainfekowanych?
  • Czy backup jest nienaruszony?
  • Czy dane zostały wykradzione przed zaszyfrowaniem?
  • Jaki wektor ataku? (phishing, RDP, supply chain, exploit?)
  • Czy atakujący wciąż ma dostęp do sieci?

Logi — fundament analizy

Tu ujawnia się zasadnicza różnica między firmą z logami w chmurze a firmą z logami lokalnymi.

Logi lokalne: Jeśli serwer z logami został zaszyfrowany — tracisz historię. Nie wiesz, kiedy atak się zaczął, jak atakujący się dostał, co wykradł. Nie możesz przygotować rzetelnego raportu dla CSIRT.

Logi w chmurze (jak w SecIQ SOC): Repozytorium w Azure Sentinel pozostaje nienaruszone. Możesz odtworzyć pełny łańcuch ataku: od pierwszego phishinga, przez eskalację uprawnień, po moment zaszyfrowania. To zmienia jakość reakcji i compliance.

Profesjonalni atakujący wiedzą o logach. Jedną z pierwszych rzeczy, które robią po uzyskaniu dostępu, jest zamrożenie lub usunięcie logów. Wyłączają agenty monitoringu, zatrzymują usługi logowania, nadpisują pliki dzienników. Jeśli jedyna kopia logów jest na tym samym serwerze — plan jest skuteczny. Jeśli logi lecą w czasie rzeczywistym do chmury — atakujący nie może ich dotknąć.

Godziny 4-24 — reakcja i raportowanie

Powiadomienia (wymagane przez KSC 2.0)

Termin Kogo Co zawiera
24h CSIRT (CERT Polska lub sektorowy CSIRT) Wstępne zgłoszenie: co się stało, kiedy wykryto, wstępny zakres
72h CSIRT Raport wstępny: wektor ataku, zakres, podjęte działania
30 dni CSIRT Raport końcowy: root cause, pełna analiza, wnioski, zmiany

Decyzja o okupie

CERT Polska i organy ścigania stanowczo odradzają płacenie.

Fakty:

  • 30% ofiar, które zapłaciły, nie odzyskało pełni danych
  • Płacenie finansuje kolejne ataki
  • Nie ma gwarancji, że atakujący nie opublikuje danych mimo zapłaty
  • Niektóre grupy ransomware wracają do ofiar, które zapłaciły

Jeśli mimo to rozważasz zapłatę — skonsultuj z prawnikiem, ekspertem IR i organami ścigania. Nie podejmuj decyzji w panice.

Równolegle: odzyskiwanie

Jeśli backup jest nienaruszony:

  1. Zweryfikuj integralność backupu (czy nie jest zainfekowany)
  2. Przygotuj czyste środowisko do przywrócenia
  3. Przywróć systemy krytyczne w kolejności priorytetów
  4. Monitoruj odbudowane środowisko pod kątem ponownej infekcji

Jeśli backup jest zaszyfrowany lub nieaktualny — to scenariusz kryzysowy. Potrzebujesz firmy specjalizującej się w incident response.

Godziny 24-48 — stabilizacja

Komunikacja

Kurs online

Kurs NIS2 dla zarządów i IT managerów

Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.

Zapisz się na kurs
  • Zarząd: pełna informacja o zakresie, wpływie biznesowym i planie działania
  • Pracownicy: co wiedzieć, czego nie robić, kiedy wrócą systemy
  • Klienci (jeśli dotknięci): szczera komunikacja buduje zaufanie; ukrywanie — niszczy
  • UODO: jeśli wyciekły dane osobowe — zgłoszenie w 72h (osobny obowiązek)
  • Ubezpieczyciel: jeśli macie polisę cyber — natychmiast

Hardening przed ponownym atakiem

Atakujący często wracają. Po przywróceniu:

  • Zmień wszystkie hasła (AD, admin, serwisowe)
  • Włącz MFA wszędzie
  • Zamknij wektor ataku (łataj podatność, wyłącz RDP, segmentuj sieć)
  • Zweryfikuj połączenia z dostawcami (supply chain vector?)

Lekcje z naszych doświadczeń

Z incydentów, które obsługiwaliśmy, wyciągamy powtarzające się wzorce:

  1. Timing jest celowy. Atakujący czekają na piątek wieczór, długi weekend, okres świąteczny. Firma bez SOC 24/7 ma 60+ godzin opóźnienia w reakcji.

  2. Logi decydują o jakości reakcji. Firma z logami w chmurze wie w ciągu godzin: co, jak, kiedy. Firma bez logów zaczyna od „nie wiemy, co się stało."

  3. Supply chain to realny wektor. Widzieliśmy przypadki, gdzie atak na 30-osobową firmę serwisową dał dostęp do sieci klienta z 500 pracownikami. Jedno niezabezpieczone połączenie VPN.

  4. Profesjonalizacja ataków. Grupy RaaS mają helpdesk, negocjatorów i „obsługę klienta". Traktują to jak biznes — bo to jest biznes.

Ekonomia ransomware — ile kosztuje brak przygotowania

Liczby pomagają podjąć decyzję, zanim presja wymusi ją za Ciebie.

Koszt przestoju. Firma produkcyjna 200 osób traci średnio 50 000-150 000 PLN dziennie na przestoju. Przy 5-dniowym odtwarzaniu z backupu to 250 000-750 000 PLN strat operacyjnych — bez liczenia kosztu danych, reputacji i kar.

Koszt okupu. Mediany rosną co roku. W 2025 mediana żądania dla firm MŚP wynosiła 200 000-500 000 USD. Ale zapłacenie nie gwarantuje niczego — 30% firm nie odzyskuje pełni danych. Niektóre grupy wracają po „klientów", którzy zapłacili.

Koszt ochrony. SOC z monitoringiem 24/7, backupem w chmurze, planem reagowania i wsparciem compliance KSC 2.0 — od 1 499 PLN miesięcznie. To mniej niż jedna godzina przestoju linii produkcyjnej.

Matematyka jest jednoznaczna. Ale firmy najczęściej robią ją dopiero po incydencie.

Czego nie piszą w poradnikach

Stres. Atak ransomware to doświadczenie, na które nikt nie jest psychicznie przygotowany. Zarząd podejmuje decyzje pod presją czasu, IT pracuje po 20 godzin, pracownicy nie wiedzą co się dzieje. Plan reagowania — przygotowany wcześniej, przetestowany — zmniejsza chaos. Nie eliminuje stresu, ale daje strukturę, gdy wszystko inne się sypie.

Komunikacja wewnętrzna. Pracownicy rozmawiają. Na Teams, WhatsApp, prywatnych mailach. Jeśli nie dasz im oficjalnej informacji — sami ją wymyślą. I będzie gorsza od prawdy. Przygotuj szablony komunikacji kryzysowej ZANIM ich potrzebujesz.

Ubezpieczenie. Polisy cyber insurance mają warunki. Jeden z nich to „udokumentowane środki bezpieczeństwa". Firma bez SOC, bez backupu, bez MFA — może nie dostać wypłaty. Sprawdź swoją polisę teraz, nie po incydencie.

Co zrobić teraz — zanim zaatakują

Najlepszy czas na przygotowanie do ransomware to rok temu. Drugi najlepszy — dziś. Lista nie jest długa, ale każdy punkt ma znaczenie:

  • Sprawdź, czy masz SOC z monitoringiem 24/7 — nie „dyżur telefoniczny", nie „best effort w weekendy"
  • Sprawdź, czy logi przechowywane są w chmurze, poza zasięgiem ataku — lokalne logi giną razem z serwerem
  • Przetestuj odtwarzanie z backupu — kiedy ostatnio? Czy ktoś sprawdził, czy backup działa, czy tylko istnieje?
  • Sprawdź, czy MFA jest na wszystkich kontach administracyjnych — nie tylko na e-mailu, ale też na AD, Azure, VPN
  • Zweryfikuj połączenia VPN z dostawcami — jedno niezabezpieczone połączenie to otwarte drzwi
  • Przygotuj plan komunikacji kryzysowej — szablony, kontakty, procedura. Zanim będziesz ich potrzebować
  • Sprawdź polisę cyber insurance — czy warunki są spełnione? Czy ubezpieczyciel zapłaci?

Ochrona SOC w SecIQ zaczyna się od 1 499 PLN miesięcznie. To mniej niż godzina przestoju. I zdecydowanie mniej niż rozmowa z atakującym o okupie.

Umów bezpłatną konsultację z SecIQ →

Źródła

FAQ

Co zrobić w pierwszych minutach po wykryciu ransomware?
Izoluj zainfekowane systemy od sieci (odłącz kabel, wyłącz WiFi), ale NIE wyłączaj zasilania — w pamięci RAM mogą być klucze deszyfrujące. Powiadom SOC lub zespół IR. Nie próbuj samodzielnie usuwać malware.
Czy muszę zgłosić atak ransomware do CSIRT?
Tak, jeśli podlegasz KSC 2.0 (NIS2). Wstępne zgłoszenie w ciągu 24h od wykrycia, raport wstępny w 72h, raport końcowy w 30 dni. Nawet jeśli nie podlegasz — zgłoszenie do CERT Polska jest zalecane.
Czy powinniśmy płacić okup ransomware?
CERT Polska i organy ścigania stanowczo odradzają. 30% ofiar nie odzyskuje danych mimo zapłaty. Płacenie finansuje kolejne ataki. Skonsultuj decyzję z ekspertem IR i prawnikiem przed podjęciem działania.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Poradnik

Cyberatak — rodzaje, scenariusze i ochrona firmy

10 min czytania

Poradnik

Cyberbezpieczeństwo dla firm — kompletny przewodnik 2026

12 min czytania

Poradnik

KSC 2.0 — ustawa o krajowym systemie cyberbezpieczeństwa

10 min czytania
Wróć do bloga