Кибер Авангард
Безопасность 12 мин чтения

Шифровальщики (ransomware): как защитить бизнес и что делать при атаке

Утром бухгалтер открывает 1С, а вместо базы — список файлов с непонятным расширением и текстовый файл с требованием выкупа в криптовалюте. Это шифровальщик. Дальше всё зависит от одного: есть ли у компании изолированная резервная копия и кто-то, кто знает, что делать в первые тридцать минут. Разбираем, как не доводить до этого утра и что делать, если оно уже наступило.

Шифровальщик (по-английски ransomware, от ransom — выкуп) — это вредоносная программа, которая шифрует файлы на заражённых компьютерах и серверах, а затем требует деньги за ключ расшифровки. Для бизнеса это не «вирус на одном ноутбуке», а сценарий, при котором за несколько часов встаёт вся работа: 1С, файловый сервер, почта, иногда даже резервные копии. И в отличие от сбоя оборудования, здесь по ту сторону сидит человек, которому выгодно, чтобы вам было больно.

Эта статья — практический разбор без запугивания цифрами. Мы сознательно не приводим «процент компаний, которые закрылись после атаки» или «средний размер выкупа» — такие цифры гуляют по интернету в десятках противоречивых версий, и подставлять их как факт некорректно. Важнее другое: механика атаки и защиты предсказуема, и ею можно управлять.

Что такое ransomware и как он попадает в сеть

Современный шифровальщик работает не как вирус из 2000-х, который сам прыгает с флешки на флешку. Чаще это часть целевой атаки: злоумышленник получает доступ в сеть, осматривается, находит ценные данные и резервные копии, отключает или портит защиту — и только потом запускает шифрование сразу по максимуму машин. Поэтому к моменту, когда вы увидели записку с выкупом, атакующий обычно уже несколько дней или недель внутри.

Три основных пути проникновения, которые встречаются чаще всего:

  • Фишинг. Сотрудник получает письмо «акт сверки», «счёт на оплату», «резюме на вакансию» с вложением (документ с макросом, архив, ярлык) или ссылкой на поддельную страницу входа. Один клик — и на машине закрепляется первичный загрузчик.
  • Открытый RDP (Remote Desktop Protocol — протокол удалённого рабочего стола). Очень частая причина в среднем бизнесе. Кто-то «временно» выставил RDP-порт в интернет, чтобы работать из дома, поставил простой пароль — и его подобрали перебором. Дальше у атакующего легитимный вход в сеть.
  • Эксплуатация уязвимостей. Непропатченный сервер, старая версия VPN-шлюза, сетевое оборудование с прошивкой трёхлетней давности. Известная уязвимость с публичным эксплойтом — открытая дверь.

Реже встречаются заражённые USB-носители и компрометация через подрядчика, у которого есть доступ в вашу сеть. Но костяк — это фишинг, RDP и непропатченные дыры. Хорошая новость: все три закрываются организационно и технически, без магии.

Почему платить выкуп — плохая идея

Когда база зашифрована, а сроки горят, соблазн «просто заплатить и вернуться к работе» огромен. На практике это плохое решение по нескольким причинам.

Нет гарантии возврата данных. Вы переводите деньги тем, кто только что вас обманул и атаковал. Бывает, что ключ не выдают вовсе; бывает, выдают нерабочий или расшифровывающий лишь часть данных. Инструмент расшифровки от самих вымогателей нередко работает медленно и с ошибками.

Вы становитесь «проверенной» жертвой. Заплатив один раз, компания попадает в список тех, кто платит. Велик риск повторной атаки — теми же или другими группировками, которым перепродают информацию о вас.

Оплата финансирует следующие атаки. Каждый выкуп делает этот «бизнес» рентабельнее и оплачивает атаку на следующую компанию — возможно, вашего же партнёра.

Это могут быть санкционные риски и вопросы к легальности платежа. Перевод средств криминальной группе — отдельная юридическая зона, и расплачиваться придётся не только деньгами выкупа. Это вопрос к юристу в каждом конкретном случае.

Оплата рассматривается только как крайняя мера, когда рабочего бэкапа нет, а данные критичны для выживания компании, — и только после консультации с профильными специалистами и юристом. Если же у вас есть изолированная, проверенная резервная копия, вопрос выкупа просто не стоит: вы восстанавливаетесь и не разговариваете с вымогателями.

Профилактика: 7 слоёв защиты

Защита от шифровальщиков — это не один продукт, а слоёная оборона. Пробив один слой, атака должна упереться в следующий. Вот семь слоёв, которые в связке закрывают подавляющее большинство сценариев.

1. Резервное копирование по схеме 3-2-1. Это главный слой и последний рубеж. Три копии данных, на двух разных типах носителей, одна — вне основной площадки и недоступная из сети (офлайн или иммутабельная). Шифровальщик специально охотится за бэкапами; спасает только тот, до которого он не может дотянуться. Подробно механику разбираем в материале про схему резервного копирования 3-2-1, а целевые показатели восстановления — в заметке про RPO и RTO.

2. Сегментация сети. Плоская сеть, где все машины видят друг друга, — мечта шифровальщика: заразив одну, он доберётся до всех. Разделение на сегменты (VLAN, межсетевые экраны между зонами) ограничивает распространение: бухгалтерия, серверы, гостевой Wi-Fi и видеонаблюдение не должны лежать в одной плоской сети.

3. Своевременные обновления. Регулярная установка обновлений ОС, прикладного ПО, прошивок сетевого оборудования и VPN-шлюзов закрывает известные уязвимости — те самые двери, через которые заходят без всякого фишинга. Управление обновлениями должно быть процессом, а не «когда руки дойдут».

4. Многофакторная аутентификация (MFA). MFA (вход не только по паролю, но и по второму фактору — коду из приложения, ключу) обесценивает украденный или подобранный пароль. Это обязательный слой для VPN, удалённого доступа, почты и админских учёток.

5. Корпоративный антивирус с поведенческим анализом. Не «бесплатный антивирус на каждой машине сам по себе», а централизованно управляемое решение с единой консолью, поведенческим анализом и реакцией на аномалии (класс EDR — Endpoint Detection and Response). Что отличает корпоративную защиту от домашней, разбираем в заметке про корпоративный антивирус.

6. Обучение сотрудников. Самый дешёвый и при этом один из самых эффективных слоёв. Сотрудник, который умеет распознать фишинг и знает, что подозрительное письмо надо переслать в IT, а не открывать, закрывает главный вектор заражения. Регулярные короткие тренинги и учебные фишинговые рассылки работают лучше, чем разовый инструктаж под роспись.

7. Ограничение и защита RDP. RDP не должен торчать в интернет напрямую — никогда. Удалённый доступ только через VPN с MFA, со сложными паролями, блокировкой по числу неудачных попыток и, по возможности, ограничением по списку разрешённых адресов. Это закрывает один из самых частых входов шифровальщика в средний бизнес.

Ни один слой по отдельности не даёт стопроцентной гарантии. Но вместе они превращают вашу сеть из лёгкой добычи в цель, на которую атакующему невыгодно тратить время.

Что делать ПРИ атаке: пошагово

Если шифрование уже идёт или обнаружена записка вымогателей, действовать нужно быстро и по порядку. Паника и хаотичные действия (выключить всё, удалить «вирус», заплатить) обычно делают хуже.

  1. Изолировать. Немедленно отключите заражённые и подозрительные машины от сети — вытащите сетевой кабель, отключите Wi-Fi. Цель — остановить распространение. Не выключайте машины сразу, если есть кому снять образ оперативной памяти для последующего расследования (там могут быть ключи и следы атакующего). Если такого специалиста нет — изоляция от сети важнее.
  2. Отрезать бэкапы. Сразу же отключите доступ к резервным копиям, пока шифровальщик до них не добрался. Если копия офлайн или иммутабельная — она уже защищена; если онлайн — изолируйте её физически.
  3. Не платить сразу и не паниковать. Не переводите выкуп в первые часы под давлением таймера в записке. Таймер — инструмент давления, а не реальный дедлайн.
  4. Найти и проверить бэкап. Определите, какая резервная копия не затронута и на какой момент. От этого зависит, сколько данных придётся восстанавливать вручную (это и есть ваш фактический RPO — объём потерянных данных).
  5. Зафиксировать инцидент. Запишите время обнаружения, какие машины затронуты, текст записки, расширение зашифрованных файлов, сделайте фотографии экранов. Это понадобится для расследования, для страховой (если есть киберстраховка) и для возможного обращения в органы.
  6. Оценить регуляторные обязанности. Если могли пострадать персональные данные, возникают обязанности по 152-ФЗ, включая уведомление Роскомнадзора в установленные сроки. Конкретику — с юристом. Эту тему мы подробно разбираем в материале про штрафы за утечку персональных данных по 152-ФЗ в 2026 году.
  7. Восстанавливаться и закрывать вход. Восстановление из чистого бэкапа имеет смысл только после того, как найдена и закрыта точка входа атакующего и убраны его закрепления, — иначе зашифруют повторно. Поэтому восстановление и расследование идут параллельно.

Ключевой момент: всё это нужно делать одновременно и под управлением того, кто это уже делал. Когда у компании нет своей сильной IT-службы, именно здесь бесценен IT-аутсорсер с дежурной сменой, которую можно поднять ночью.

Роль IT-аутсорсера и NOC 24/7

Большинство мер из раздела про профилактику — это не «купить и забыть», а постоянная работа: следить за бэкапами и проверять их восстанавливаемость, накатывать обновления, контролировать, что RDP не вылез в интернет после очередного «временного» исключения, реагировать на аномалии в сети. В среднем бизнесе на это редко хватает одного штатного админа.

Здесь работает модель управляемых IT-услуг. Кибер Авангард — это IT-аутсорсер с собственным NOC (Network Operations Center — центр мониторинга и управления сетью), который работает 24/7. Что это даёт против шифровальщиков на практике:

  • Мониторинг в режиме 24/7. Аномалии — всплеск шифрования файлов, странная сетевая активность ночью, попытки перебора RDP — фиксируются и разбираются до того, как атака охватит всю сеть. Цена потерянного часа простоя — отдельная большая тема, её мы разбираем в статье про NOC 24/7 и стоимость простоя бизнеса.
  • Настройка и обслуживание всех защитных слоёв. Бэкап 3-2-1, сегментация, обновления, MFA, корпоративный антивирус, защита RDP — внедряются и поддерживаются как часть услуги, а не как разовый проект «настроили и ушли».
  • Проверка восстанавливаемости бэкапа. Регулярные тестовые восстановления — чтобы в день атаки выяснилось, что бэкап рабочий, а не что он полгода писался на полный диск.
  • Быстрая реакция при инциденте. Готовая процедура реагирования, дежурная смена и опыт восстановления — то, что превращает катастрофу в управляемый инцидент с понятным сроком возврата к работе.

Важно: мы не продаём «лицензию на защиту от шифровальщиков» отдельной коробкой. Информационная безопасность и резервное копирование у нас — встроенная часть IT-обслуживания. Вы не собираете оборону из десяти разрозненных продуктов от разных подрядчиков, а получаете её как единый управляемый сервис.

FAQ

Стоит ли платить выкуп вымогателям?

По умолчанию — нет. Оплата не даёт гарантии, что данные вернут: вы платите тем, кто только что вас обманул. Часто ключ не выдают, выдают нерабочий или после первой оплаты требуют ещё. Оплата финансирует следующие атаки и помечает вас как готовую платить жертву — велик риск повторного удара. Решение об оплате принимается только на крайний случай, когда нет рабочего бэкапа, а данные критичны для жизни компании, и только после консультации с юристом и профильными специалистами.

Антивирус защитит от шифровальщика?

Антивирус — необходимый, но не достаточный слой. Современный корпоративный антивирус с поведенческим анализом (EDR) ловит значительную часть угроз, но новые штаммы и атаки через украденные легитимные учётки он может пропустить. Защита от ransomware — это не один продукт, а совокупность мер: антивирус плюс резервное копирование по схеме 3-2-1, сегментация сети, обновления, MFA и ограничение RDP.

Как шифровальщик попадает в сеть компании?

Три самых частых пути: фишинговое письмо с вложением или ссылкой, которое открыл сотрудник; открытый в интернет порт RDP (удалённого рабочего стола) со слабым или подобранным паролем; эксплуатация неустранённой уязвимости в незакрытом обновлениями ПО или сетевом оборудовании. Реже — заражённый USB-носитель или компрометация через подрядчика с доступом в сеть.

Что делать в первые минуты после обнаружения атаки шифровальщика?

Первое — изолировать: отключить заражённые машины от сети (вытащить кабель, отключить Wi-Fi), но не выключать их сразу, если есть кому снять образ памяти для расследования. Второе — не платить и не удалять следы в панике. Третье — отрезать доступ к резервным копиям, чтобы шифровальщик не добрался до них. Четвёртое — зафиксировать инцидент: время, какие машины, текст записки вымогателей. Пятое — поднять процедуру восстановления из бэкапа.

Поможет ли резервная копия, если она лежит на том же сервере?

Нет. Шифровальщики специально ищут и шифруют доступные сетевые папки и резервные копии. Бэкап спасает только если хотя бы одна копия изолирована от сети — офлайн (на отключаемом носителе) или иммутабельная (защищённая от изменения и удаления). Это и есть смысл правила 3-2-1: три копии, на двух типах носителей, одна вне основной площадки и недоступная шифровальщику.

Нужно ли сообщать об атаке в государственные органы?

Если в результате атаки могли пострадать персональные данные, у компании возникают обязанности по 152-ФЗ, включая уведомление Роскомнадзора в установленные сроки. Для объектов критической информационной инфраструктуры есть отдельные требования по взаимодействию с ГосСОПКА. Конкретный перечень обязанностей зависит от того, какие данные обрабатывает компания и под какое регулирование она подпадает — это вопрос к юристу. Уточнить по вашей ситуации.

Может ли IT-аутсорсер снизить риск шифровальщика?

Да, в этом и смысл управляемых IT-услуг. Аутсорсер с NOC 24/7 настраивает и обслуживает все защитные слои разом: следит за бэкапами и проверяет их восстанавливаемость, закрывает обновления, убирает RDP из открытого доступа, сегментирует сеть, разворачивает корпоративный антивирус с централизованной консолью и круглосуточно мониторит сеть, чтобы среагировать на аномалию до того, как шифрование охватит всю инфраструктуру.

Вывод

Шифровальщик — это не стихия, а предсказуемый риск, которым можно управлять. Атака почти всегда идёт по одному из трёх известных путей (фишинг, открытый RDP, непропатченная уязвимость), а защита собирается из понятных слоёв, главный из которых — изолированная и проверенная резервная копия. Если она есть, разговор с вымогателями просто не состоится: вы восстановитесь сами.

Платить выкуп — плохая идея почти во всех случаях: нет гарантий возврата, есть риск повторной атаки и финансирование следующих жертв. А лучшая стратегия — не доводить до записки на экране: выстроить семь слоёв защиты и поддерживать их в рабочем состоянии постоянно.

Кибер Авангард внедряет и обслуживает эту оборону как часть IT-аутсорсинга с NOC 24/7: бэкап 3-2-1 с проверкой восстановления, сегментация, обновления, MFA, корпоративный антивирус, защита RDP и круглосуточный мониторинг. Не десять продуктов от разных подрядчиков, а один управляемый сервис. Хотите понять, насколько ваша инфраструктура устойчива к шифровальщику, — напишите нам, проведём аудит и дадим письменный отчёт с приоритетами.

/ Готовы проверить защиту?

Получите аудит защищённости от шифровальщиков

Проверим бэкапы, доступ по RDP, обновления и сегментацию. Письменный отчёт с приоритетами — за 1 рабочий день. Аудит ни к чему не обязывает.

Калькулятор стоимости Связаться с нами