.PNG)
Средний размер выкупа при атаке шифровальщика в России в 2025 году составил 2,8 млн рублей — но это только начало расходов. По данным Group-IB, 40% компаний, заплативших выкуп, не получают работающий ключ дешифрования. А 80% тех, кто заплатил, подвергаются повторной атаке в течение года — потому что атакующие знают: эта компания платит.
Решение «платить или не платить» принимается в условиях стресса, неполной информации и давления со стороны бизнеса. Эта статья поможет вам оценить риски, понять правовые последствия и найти альтернативы — до того, как инцидент произойдёт.
2,8М ₽
Средний выкуп
в России в 2025 году
40%
Не получают ключ
после оплаты выкупа
80%
Повторных атак
на заплативших компании
7-21
Дней простоя
даже после получения ключа
1Статистика: платят или нет?
Прежде чем принимать решение, посмотрим на факты. Данные за 2024-2025 годы от ведущих исследовательских центров показывают неоднозначную картину.
| Источник | Доля заплативших | Восстановили данные | Повторная атака |
|---|---|---|---|
| Kaspersky (Россия, 2025) | 28% компаний | 65% получили ключ | 73% атакованы повторно |
| Group-IB (СНГ, 2024) | 32% компаний | 60% получили ключ | 80% атакованы повторно |
| Sophos (глобально, 2025) | 46% компаний | 61% получили ключ | 68% атакованы повторно |
| Coveware (глобально, 2025) | 29% компаний (тренд на снижение) | 72% получили ключ | 78% атакованы повторно |
Тренд последних двух лет — доля компаний, платящих выкуп, снижается. Причины: улучшение бэкап-стратегий, появление бесплатных дешифраторов, усиление правового давления на плательщиков и рост осведомлённости о том, что оплата не гарантирует результат.
25 рисков оплаты выкупа
Риск 1. Вы не получите ключ дешифрования
По статистике 35-40% жертв не получают работающий дешифратор после оплаты. Причины: техническая ошибка в малвари (данные повреждены безвозвратно), группировка прекратила деятельность, оператор-аффилиат не передал ключ. Даже полученный ключ часто расшифровывает лишь часть файлов.
Риск 2. Повторная атака гарантирована
Заплатив один раз, вы попадаете в «список платёжеспособных жертв», который продаётся на даркнете. 80% компаний, заплативших выкуп, подвергаются новой атаке — часто той же группировкой. Бэкдоры, оставленные при первой атаке, позволяют вернуться без повторного проникновения.
Риск 3. Юридические последствия
Оплата выкупа может квалифицироваться как финансирование преступной деятельности (ст. 205.1 УК РФ) или легализация доходов, полученных преступным путём (ст. 174 УК РФ). Если группировка находится под международными санкциями (OFAC, EU) — компания рискует вторичными санкциями.
Риск 4. Данные уже утекли
Современные группировки ransomware используют тактику «двойного вымогательства» (double extortion): сначала выгружают данные, затем шифруют. Даже после получения ключа ваши данные остаются у атакующих — и могут быть проданы или опубликованы для дополнительного давления.
Риск 5. Репутационный ущерб
Факт оплаты выкупа может стать публичным — через утечку переписки с атакующими, расследования правоохранительных органов или публикации на ресурсах группировки. Для регулируемых отраслей (финансы, медицина, КИИ) это дополнительные репутационные и регуляторные риски.
Двойное вымогательство
3Что говорит закон
В России нет прямого запрета на оплату выкупа хакерам. Однако несколько норм создают серьёзные правовые риски для компаний, решивших платить.
| Нормативный акт | Правовой риск | Санкция |
|---|---|---|
| УК РФ, ст. 174 (Легализация) | Перевод средств криминальной структуре может квалифицироваться как легализация доходов, полученных преступным путём | Штраф до 1 млн ₽ или лишение свободы до 7 лет |
| УК РФ, ст. 205.1 (Финансирование терроризма) | Если группировка связана с террористическими организациями — оплата может квалифицироваться как финансирование | Лишение свободы от 5 до 15 лет |
| Федеральный закон № 115-ФЗ (Противодействие отмыванию) | Крупные переводы в криптовалюте могут попасть под обязательный контроль Росфинмониторинга | Блокировка операций, проверка организации |
| Рекомендации НКЦКИ | НКЦКИ официально рекомендует НЕ платить выкуп и обращаться в правоохранительные органы | Рекомендательный характер, но учитывается при оценке действий компании |
Позиция регуляторов
4Альтернативы оплате выкупа
Прежде чем рассматривать оплату, исчерпайте все альтернативы. В 60-70% случаев данные удаётся вернуть без единого рубля в карман атакующих.
Резервные копии (бэкапы)
Проверьте все источники: офлайн-бэкапы на ленточных носителях, облачные копии с версионированием (Yandex Object Storage, S3), снапшоты виртуальных машин на гипервизоре, реплики баз данных. Перед восстановлением убедитесь, что инфраструктура очищена от вредоносного ПО.
Бесплатные дешифраторы (No More Ransom)
Проект nomoreransom.org (Европол + Kaspersky + полиция Нидерландов и 190+ партнёров) содержит бесплатные утилиты для более чем 170 семейств ransomware. Загрузите образец зашифрованного файла и записку с требованием на id-ransomware.malwarehunterteam.com — сервис определит тип шифровальщика и покажет, есть ли дешифратор.
Форензика оперативной памяти
Если серверы НЕ были выключены — в RAM могут находиться ключи шифрования. Специалисты по форензике извлекают их с помощью дампов памяти. Этот метод работает в 15-25% случаев и требует привлечения квалифицированной IR-команды.
Теневые копии и снапшоты
Не все шифровальщики корректно удаляют Volume Shadow Copies в Windows. Проверьте: vssadmin list shadows. Также проверьте снапшоты на уровне гипервизора (VMware, Hyper-V) — они часто остаются нетронутыми.
Переговоры без оплаты
Профессиональные переговорщики могут: выиграть время для восстановления из бэкапов, получить «доказательство жизни» (расшифровку тестового файла) для анализа алгоритма, снизить сумму выкупа на 60-80% если альтернатив нет.
5Как восстановить данные без выкупа — пошаговый план
Шаг 1. Определите тип шифровальщика
Загрузите записку с требованием и образец зашифрованного файла на id-ransomware.malwarehunterteam.com. Зная семейство, вы определите: есть ли дешифратор, какова вероятность получения ключа при оплате, какие методы восстановления применимы.
Шаг 2. Проверьте все источники бэкапов
Офлайн-бэкапы, облачные копии с версионированием, реплики баз данных, теневые копии Windows, снапшоты виртуальных машин. Не забудьте про бэкапы 1С, почтового сервера и файлового хранилища — они часто хранятся отдельно.
Шаг 3. Привлеките IR-команду для форензики
Специалисты проведут дамп оперативной памяти (возможное извлечение ключей), анализ вредоносного ПО (возможны уязвимости в шифровании), полную ревизию затронутых систем. Стоимость форензики — от 300 000 ₽, что кратно дешевле выкупа.
Шаг 4. Проверьте No More Ransom и другие ресурсы
nomoreransom.org, GitHub-репозитории ИБ-исследователей, форумы BleepingComputer. Для старых семейств ransomware дешифраторы появляются через 3-6 месяцев после активности группировки.
Шаг 5. Восстановите из проверенных бэкапов
Разверните чистые образы ОС, восстановите данные из бэкапов. Перед вводом в эксплуатацию: смените все пароли, закройте вектор проникновения, установите EDR, подключите SOC-мониторинг. Без этих мер повторная атака — вопрос времени.
Практический совет
6Как не попасть под шифровальщик
Лучшая стратегия — не оказаться перед выбором «платить или не платить». Превентивные меры стоят на порядок дешевле последствий атаки.
| Мера защиты | Что предотвращает | Стоимость |
|---|---|---|
| Бэкапы по правилу 3-2-1 + иммутабельность | Потерю данных при шифровании | от 20 000 ₽/мес |
| SOC-мониторинг 24/7 | Обнаружение атаки за 3-14 дней до шифрования | от 50 000 ₽/мес |
| EDR на всех конечных точках | Запуск шифровальщика, боковое перемещение | от 200 ₽/устройство/мес |
| Обучение сотрудников (антифишинг) | Первичное проникновение через фишинг (67% атак) | от 30 000 ₽/год |
| Закрытие RDP и сегментация сети | Брутфорс и боковое перемещение внутри сети | разовая настройка от 100 000 ₽ |
| Регулярные пентесты (2 раза в год) | Неизвестные уязвимости в периметре и внутренней сети | от 200 000 ₽/тест |
SOC-мониторинг — ключевая мера. Шифровальщик не шифрует сразу после проникновения. От первичного доступа до запуска шифрования проходит 3-14 дней. За это время атакующий проводит разведку, повышает привилегии, отключает защиту и удаляет бэкапы. Все эти действия создают аномалии, которые SOC обнаруживает и останавливает до наступления ущерба.
Частые вопросы
Законно ли платить выкуп хакерам в России?▼
Прямого запрета нет, но есть существенные правовые риски. Оплата может квалифицироваться по ст. 174 УК РФ (легализация) или ст. 205.1 (финансирование преступной деятельности). НКЦКИ и ФСБ официально рекомендуют не платить. Перед принятием решения обязательно проконсультируйтесь с юристом, специализирующимся на киберправе.
Какая вероятность получить ключ дешифрования после оплаты?▼
По совокупности исследований — 60-65%. Но «получить ключ» не означает «восстановить все данные»: дешифратор часто работает с ошибками, часть файлов повреждается безвозвратно, процесс расшифровки может занимать дни. Полное восстановление после оплаты достигается менее чем в 50% случаев.
Можно ли торговаться с хакерами о снижении суммы?▼
Да, большинство группировок готовы к переговорам. Профессиональные переговорщики снижают сумму выкупа на 60-80% в среднем. Но вести переговоры самостоятельно не рекомендуется — можно спровоцировать публикацию данных «для давления». Привлекайте специалистов с опытом работы с конкретной группировкой.
Как быстро можно восстановить зашифрованную базу данных?▼
Из бэкапа — от нескольких часов до 2-3 дней в зависимости от размера базы. С помощью дешифратора (если есть ключ) — от 1 до 7 дней, зависит от объёма данных и производительности сервера. Без бэкапа и ключа — восстановление может быть невозможно или займёт месяцы (частичное восстановление из логов, реплик, фрагментов).
Покрывает ли киберстраховка оплату выкупа?▼
Зависит от полиса. Некоторые российские страховые компании включают покрытие расходов на выкуп (ransom payment coverage), но с рядом условий: обязательное привлечение аккредитованной IR-команды, уведомление правоохранительных органов, исчерпание всех альтернативных методов восстановления. Тренд рынка — страховщики ужесточают условия и повышают франшизу для покрытия выкупа.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Чекмарев
Специалист по информационной безопасности
С 2023 года консультирует государственные учреждения и предприятия ВПК. Внедряет сертифицированные ФСТЭК и ФСБ средства защиты. Специализация: анализ угроз, расследование инцидентов.