Ce este ransomware — cum funcționează și cum te aperi

Ransomware-ul criptează fișierele și cere răscumpărare. Cum funcționează, atacuri în România, de ce nu plătești și cum te aperi cu backup.

Redacția Sigur Online Actualizat la

Ce este ransomware-ul

Ransomware-ul este un tip de software malițios (malware) care criptează fișierele de pe dispozitivul infectat — documente, fotografii, baze de date, fișiere de sistem — și afișează un mesaj prin care cere o răscumpărare (de obicei în criptomonede) în schimbul cheii de decriptare.

Victima se trezește brusc cu toate fișierele inaccesibile și un cronometru care numără invers până la „distrugerea permanentă a datelor” dacă suma nu este plătită.

Cum funcționează un atac ransomware

Faza 1 — Infiltrarea

Malware-ul ajunge pe sistem printr-o vulnerabilitate exploatată sau printr-o acțiune a utilizatorului: deschiderea unui atașament malițios, accesarea unui link compromis, instalarea unui program piratat sau conectarea unui dispozitiv USB infectat.

Faza 2 — Explorarea și răspândirea

Odată intrat, malware-ul nu acționează imediat. Se „culcă” pe sistem câteva zile sau săptămâni, explorând rețeaua locală, identificând sisteme conectate și urcând privilegii pentru a accesa cât mai multe date. Această fază face backup-urile recente inutile dacă sunt stocate pe aceeași rețea.

Faza 3 — Criptarea

La un moment ales de atacatori, ransomware-ul activează criptarea — de obicei noaptea sau în weekend, când nimeni nu monitorizează sistemele. Fișierele sunt criptate rapid cu algoritmi puternici (RSA + AES), iar extensiile lor sunt modificate.

Faza 4 — Cererea de răscumpărare

Apare un mesaj cu instrucțiuni de plată, de obicei în Bitcoin sau Monero, și un termen limită. Unele grupuri oferă „asistență tehnică” și negociere — o demonstrare înfiorătoare că ransomware-ul a devenit o industrie organizată.

Atacuri ransomware în România

⚠️ Atenție: România a fost ținta unor atacuri ransomware semnificative în ultimii ani, afectând instituții publice și private.

Sectorul sanitar

Spitale din România au fost afectate de atacuri ransomware care au perturbat activitatea clinică — sisteme de programări blocate, dosare electronice ale pacienților inaccesibile, echipamente medicale deconectate de la rețea. Aceste atacuri pot pune vieți în pericol.

IMM-uri și companii mici

Micile afaceri sunt ținte frecvente tocmai pentru că au sisteme de securitate mai slabe. Un atac ransomware poate bloca complet activitatea unei firme mici zile sau săptămâni.

Instituții publice

Primării, școli și alte instituții publice au raportat incidente. Lipsa bugetelor pentru securitate cibernetică și sisteme vechi, neactualizate, le fac vulnerabile.

DNSC (Directoratul Național de Securitate Cibernetică) publică alerte și rapoarte despre amenințările active pe dnsc.ro și oferă suport tehnic organizațiilor afectate.

Ce faci dacă ești infectat

  1. Deconectează imediat dispozitivul afectat de la rețea (cablu și WiFi) pentru a opri răspândirea
  2. Nu plăti răscumpărarea — nu garantează recuperarea datelor și îi finanțezi pe atacatori
  3. Nu reporni calculatorul — în unele cazuri, aceasta poate complica recuperarea
  4. Fotografiază mesajul de răscumpărare — conține informații utile pentru investigare
  5. Contactează DNSC la alerts@dnsc.ro dacă ești o organizație
  6. Caută decriptoare gratuite pe site-ul No More Ransom (nomoreransom.org) — organizație susținută de Europol care oferă chei de decriptare gratuite pentru unele variante de ransomware
  7. Restaurează din backup dacă ai unul curat, anterior infecției

Cum te aperi de ransomware

Backup-uri regulate — apărarea numărul unu

Regula 3-2-1: 3 copii ale datelor importante, pe 2 tipuri de suporturi diferite, cu 1 copie offline (disc extern deconectat sau cloud cu versioning). Un backup offline pe care ransomware-ul nu îl poate atinge este singura garanție că vei recupera datele fără să plătești.

Actualizări de sistem

Multe atacuri ransomware exploatează vulnerabilități în sisteme neactualizate. Actualizările automate pentru Windows, macOS și aplicații elimină aceste breșe rapid.

Antivirus cu protecție comportamentală

Un antivirus modern detectează ransomware-ul nu doar prin semnături (liste de malware cunoscut), ci și prin comportament — identifică când un program încearcă să cripteze rapid fișiere și îl blochează înainte de pagube majore. Consultă comparația celor mai bune antivirusuri pentru opțiuni testate.

Privilegii minime

Nu folosi calculatorul cu cont de administrator pentru activitățile zilnice. Dacă malware-ul preia controlul unui cont limitat, poate face mai puțin rău decât dacă preia un cont de administrator.

Filtre de e-mail și vigilență

Nu deschide atașamente neașteptate, chiar dacă par de la persoane cunoscute. Adresa expeditorului poate fi falsificată.

Pe scurt — ransomware și protecția ta

Ransomware-ul este una dintre cele mai devastatoare amenințări cibernetice — poate distruge în ore de muncă acumulată în ani. Dar și una dintre cele mai prevenibile: backup-uri regulate offline, sistem actualizat și un antivirus bun reduc drastic probabilitatea unui incident grav.

Dacă vrei o protecție suplimentară, ghidul nostru despre dacă ai nevoie de antivirus explică cum funcționează protecția modernă împotriva malware-ului, inclusiv ransomware.

Nu te lăsa păcălit online

Ghiduri practice, teste independente și comparații clare — în limba ta, fără jargon de marketing.

Citește ghidurile Încearcă instrumentele