Ce este ransomware-ul?

Ransomware este un tip de malware (software malițios) care criptează toate fișierele de pe calculator și din rețea, apoi cere o răscumpărare (ransom) pentru cheia de decriptare. Fără cheie, fișierele sunt inaccesibile.

Un atac ransomware reușit poate paraliza o firmă pentru zile sau săptămâni. Costul mediu al unui atac – incluzând timpul pierdut, recuperarea datelor și reputația – depășește 200.000 USD pentru o firmă medie, conform studiilor din 2025.

Cum ajunge ransomware-ul pe calculatorul tău

  • Email phishing – atașament malițios (Word, Excel, PDF, ZIP) sau link către un site infectat
  • RDP nesecurizat – portul Remote Desktop (3389) expus pe internet fără VPN sau 2FA
  • Software piratat – inclusiv activatori, crack-uri și kituri de instalare neoficiale
  • Site-uri compromise – descărcări drive-by prin browsere sau plugin-uri vulnerabile
  • USB infectate – dispozitive găsite sau primite de la surse necunoscute
  • Vulnerabilități nepatchuite – sisteme de operare și software neactualizat

Ce se întâmplă în timpul unui atac ransomware

  1. Malware-ul intră pe un calculator (de regulă prin phishing sau RDP)
  2. Se răspândește în rețea și cartografiază toate fișierele accesibile (inclusiv share-uri de rețea, NAS, backup-uri locale)
  3. Criptează silențios fișierele (poate dura ore sau zile nedetectat)
  4. Afișează mesajul de răscumpărare și instrucțiunile de plată (de regulă în Bitcoin)

⚠️ Nu plăti răscumpărarea! Plata nu garantează recuperarea datelor, finanțează grupări criminale și te marchează ca o țintă care plătește. Cheia poate să nu funcționeze.

Cum previi un atac ransomware

1. Backup offline și off-site (regula 3-2-1)

Backup-urile offline (deconectate de la rețea) sau în cloud nu pot fi criptate de ransomware. Acesta este cel mai important layer de protecție – cu backup bun, un atac ransomware nu te poate distruge.

2. Protecție RDP și acces remote

  • Nu expune RDP direct pe internet – folosește VPN
  • Activează autentificarea în doi factori (2FA) pe toate accesele remote
  • Folosește parole puternice pentru conturi de administrator
  • Monitorizează tentativele de autentificare eșuate

3. Actualizări regulate (patch management)

Majoritatea atacurilor ransomware exploatează vulnerabilități cunoscute, pentru care există patch-uri. Windows Update activat, aplicații actualizate, firmware routere actualizat.

4. Filtrare email și training angajați

Filtrarea email-urilor de phishing și educarea angajaților să nu deschidă atașamente suspecte sunt esențiale – angajații sunt vectorul principal de intrare al ransomware-ului.

5. Principiul privilegiului minim

Angajații trebuie să aibă acces doar la fișierele necesare muncii lor. Un ransomware rulat cu privilegii limitate poate coda mai puține fișiere.

6. Soluție EDR (Endpoint Detection and Response)

Antivirus clasic nu mai este suficient. Soluțiile EDR (ex: Microsoft Defender for Business, ESET PROTECT) detectează comportamente suspecte înainte ca criptarea să înceapă.

Ce faci dacă ești infectat cu ransomware

  1. Deconectează imediat calculatorul infectat de la rețea (cablu LAN, WiFi)
  2. Nu opri calculatorul – în memorie pot fi date utile pentru investigație
  3. Anunță-ți echipa IT și oprește activitatea pe rețea
  4. Nu plăti răscumpărarea
  5. Identifică backup-urile offline disponibile
  6. Raportează la DNSC (Directoratul Național de Securitate Cibernetică)
  7. Contactează un specialist IT pentru curățare și restaurare

💡 La iSoft Consulting implementăm straturi complete de protecție anti-ransomware: backup 3-2-1, securizare RDP, EDR și training angajați. Contactează-ne pentru o evaluare gratuită a vulnerabilităților firmei tale.

ransomware securitate IT protecție date backup atac cibernetic