KWALIFIKACJA INF2 - STYCZEŃ 2023 (test 3)

Q: Co to jest ransomware i jak działa?

Ransomware to malware, które szyfruje pliki lub blokuje dostęp do danych/systemu, a następnie żąda okupu za przywrócenie dostępu. Typowym objawem są niedostępne pliki i komunikat z instrukcją płatności. Często celem jest szybki zysk, nie kradzież haseł.

Q: Czym różni się ransomware od keyloggera?

Ransomware ma cel wymuszeniowy: blokuje lub szyfruje dane, by wyłudzić okup. Keylogger ma cel szpiegowski: rejestruje naciskane klawisze, żeby przechwycić loginy i hasła. Keylogger zwykle działa "po cichu", a ransomware często ujawnia się natychmiast po zablokowaniu danych.

Q: Jak odpowiadać na pytania o rodzaje malware na egzaminie INF.2?

Najpierw dopasuj cel działania: okup → ransomware, klawisze → keylogger, spam/rozsyłanie → botnet, ukrywanie procesów → rootkit. Czytaj czasowniki (szyfruje, rejestruje, rozsyła, ukrywa), bo zwykle wskazują klasę zagrożenia. Unikaj wybierania odpowiedzi tylko na podstawie "groźnego brzmienia".

PYTANIE NR 40.

Ransomware to typ złośliwego oprogramowania które

A.	ukrywa pliki lub procesy pomagające w utrzymaniu kontroli nad zainfekowanym komputerem.
B.	rejestruje sekwencje klawiszy naciskanych przez użytkownika.
C.	wykorzystuje zainfekowany komputer do rozsyłania spamu.
D.	szyfruje lub blokuje dane celem wyłudzenia okupu.
	Zostaw bez odpowiedzi

Wyjaśnienie poprawnej odpowiedzi:
Ransomware to złośliwe oprogramowanie, którego celem jest wymuszenie zapłaty: najczęściej szyfruje pliki albo blokuje dostęp do danych/systemu i żąda okupu za odszyfrowanie lub odblokowanie. Pozostałe odpowiedzi opisują inne typy zagrożeń: keylogger, spam/botnet oraz rootkit.

Pełne wyjaśnienie:

Ransomware to klasa złośliwego oprogramowania nastawiona na wymuszenie okupu. Realizuje to zwykle przez:
szyfrowanie danych (użytkownik traci dostęp do własnych plików),
blokowanie dostępu do systemu lub danych (np. przez ekran blokady lub ograniczenie pracy usług),
następnie przekazanie instrukcji zapłaty i obietnicę odzyskania dostępu po uiszczeniu opłaty.
Dlatego poprawna jest odpowiedź: "szyfruje lub blokuje dane celem wyłudzenia okupu."
Pozostałe odpowiedzi dotyczą innych mechanizmów działania malware:
"rejestruje sekwencje klawiszy naciskanych przez użytkownika." – to opis keyloggera, którego celem jest przechwytywanie wpisywanych danych (np. haseł), a nie wymuszenie okupu przez blokadę/szyfrowanie.
"wykorzystuje zainfekowany komputer do rozsyłania spamu." – to typowe zachowanie komputera włączonego do botnetu lub zainfekowanego malware rozsyłającym spam. Jest to nadużycie zasobów i kanałów komunikacji, nie zaś bezpośrednie blokowanie danych dla okupu.
"ukrywa pliki lub procesy pomagające w utrzymaniu kontroli nad zainfekowanym komputerem." – to charakterystyka rootkita, czyli narzędzi ukrywających obecność atakującego i ułatwiających trwałe utrzymanie dostępu. Rootkit może współwystępować z ransomware, ale sam opis nie definiuje ransomware.
Wskazówka egzaminacyjna: gdy w opisie pojawiają się słowa "okup", "zaszyfrowane pliki", "odblokowanie po zapłacie" – niemal zawsze chodzi o ransomware. Gdy jest mowa o "klawiszach" – keylogger; o "spamie" – botnet/spamware; o "ukrywaniu procesów" – rootkit.

Dodatkowe pytania

Dodatkowe pytania (FAQ):

Co to jest ransomware i jak działa?

Ransomware to malware, które szyfruje pliki lub blokuje dostęp do danych/systemu, a następnie żąda okupu za przywrócenie dostępu. Typowym objawem są niedostępne pliki i komunikat z instrukcją płatności. Często celem jest szybki zysk, nie kradzież haseł.

Dlaczego ransomware żąda okupu zamiast kraść dane?

Wymuszenie okupu jest dla atakujących prostą monetyzacją: użytkownik widzi natychmiastowy problem (brak dostępu do danych) i może działać pod presją czasu. Kradzież danych wymaga zwykle dalszego "zarabiania" (sprzedaż, szantaż), co bywa trudniejsze i bardziej ryzykowne.

Jakie są typowe objawy infekcji ransomware na komputerze?

Najczęstsze objawy to: nagła utrata dostępu do plików, zmienione rozszerzenia, komunikat o okupie, błędy otwierania dokumentów oraz gwałtowna aktywność dysku/procesora podczas szyfrowania. W środowisku firmowym mogą też przestać działać udziały sieciowe, jeśli zaszyfrowano zasoby na serwerze.

Czym różni się ransomware od keyloggera?

Ransomware ma cel wymuszeniowy: blokuje lub szyfruje dane, by wyłudzić okup. Keylogger ma cel szpiegowski: rejestruje naciskane klawisze, żeby przechwycić loginy i hasła. Keylogger zwykle działa "po cichu", a ransomware często ujawnia się natychmiast po zablokowaniu danych.

Czy komputer wysyłający spam ma zawsze ransomware?

Nie. Rozsyłanie spamu jest typowe dla infekcji, która włącza komputer do botnetu lub instaluje moduł spamerski. Ransomware koncentruje się na szyfrowaniu/blokowaniu i żądaniu okupu. Oczywiście możliwe są infekcje mieszane, ale sam spam nie jest definicją ransomware.

Co to jest rootkit i dlaczego bywa mylony z ransomware?

Rootkit to zestaw narzędzi ukrywających pliki/procesy i ułatwiających atakującemu utrzymanie kontroli nad systemem. Bywa mylony z ransomware, bo oba są groźne, ale pełnią inne funkcje: rootkit maskuje obecność, a ransomware wymusza okup przez blokadę/szyfrowanie. Rootkit może być elementem większej infekcji.

Jakie kopie zapasowe najlepiej chronią przed ransomware?

Najbardziej pomocne są kopie, których ransomware nie może zaszyfrować: kopie offline (odłączone nośniki) oraz kopie w repozytoriach z wersjonowaniem i ochroną przed modyfikacją. Ważne jest też testowanie odtwarzania. Sama kopia na stale podłączonym dysku może zostać zaszyfrowana razem z danymi.

Czy płacenie okupu po ataku ransomware jest dobrym rozwiązaniem?

Z perspektywy bezpieczeństwa to ryzykowne: nie ma gwarancji odzyskania danych, a płatność może zachęcać do dalszych ataków. W praktyce priorytetem jest izolacja zainfekowanych urządzeń, analiza incydentu i odtwarzanie z kopii. Decyzje biznesowe wymagają procedur, konsultacji i oceny ryzyka.

Jak ograniczyć ryzyko ransomware w sieci lokalnej w firmie?

Kluczowe działania to: aktualizacje systemów i aplikacji, zasada najmniejszych uprawnień, segmentacja sieci, ograniczenie dostępu do udziałów, filtrowanie poczty i załączników, MFA do usług zdalnych oraz dobre kopie zapasowe. Warto też monitorować nietypową aktywność (masowe zmiany plików, skoki obciążenia).

Jak odpowiadać na pytania o rodzaje malware na egzaminie INF.2?

Najpierw dopasuj cel działania: okup → ransomware, klawisze → keylogger, spam/rozsyłanie → botnet, ukrywanie procesów → rootkit. Czytaj czasowniki (szyfruje, rejestruje, rozsyła, ukrywa), bo zwykle wskazują klasę zagrożenia. Unikaj wybierania odpowiedzi tylko na podstawie "groźnego brzmienia".

info

To pytanie poprawnie rozwiązuje 58% zdających egzamin. średnie

Eksperci podkreślają: "Ransomware to złośliwe oprogramowanie, którego celem jest wymuszenie zapłaty: najczęściej szyfruje pliki albo blokuje dostęp do danych/systemu i żąda okupu za odszyfrowanie lub odblokowanie."

Źródła:

ENISA (European Union Agency for Cybersecurity), "Ransomware" (Threat Landscape / glossary page) – https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/ransomware (dostęp: 2026-03-02)
NIST, "Ransomware" (NIST Computer Security Resource Center – glossary) – https://csrc.nist.gov/glossary/term/ransomware (dostęp: 2026-03-02)
Microsoft, "Ransomware" (Microsoft Security / definition) – https://www.microsoft.com/en-us/security/business/security-101/what-is-ransomware (dostęp: 2026-03-02)

Materiały:

Materiały producentów zabezpieczeń (glosariusze i opisy zagrożeń) dotyczące ransomware, keyloggerów i rootkitów
Podstawy administracji systemami: kopie zapasowe, przywracanie, zasady aktualizacji i uprawnień
Ćwiczenia laboratoryjne: rozpoznawanie symptomów infekcji na podstawie opisów (bez uruchamiania malware)

Aktualizacja pytania: 31.03.2026

LOGOWANIE

KWALIFIKACJA INF2 - STYCZEŃ 2023 (test 3)

Dodatkowe pytania

Dodatkowe pytania (FAQ):

Zobacz też: