.PNG)
1Что такое ransomware
Ransomware (программа-вымогатель, вирус шифровальщик) — это вредоносное ПО, которое шифрует файлы на компьютерах и серверах компании, а затем требует выкуп за ключ дешифрования. Средний размер выкупа для российских компаний в 2025 году — 2,8 млн рублей (по данным Group-IB). Время простоя бизнеса после атаки — от 7 до 21 дня.
Ransomware попадает в корпоративную сеть тремя основными путями:
- Фишинг — сотрудник открывает вложение или переходит по ссылке в поддельном письме. Это причина 67% успешных атак шифровальщиков.
- Уязвимости RDP — открытый порт 3389 с простым паролем. Брутфорс RDP остаётся вторым по популярности вектором проникновения ransomware.
- Эксплуатация уязвимостей — непропатченные серверы (Exchange, VPN-шлюзы, 1С-серверы) дают атакующим доступ без участия пользователя.
Как атакуют на практике
2Что делать в первые часы после шифрования
Если вирус шифровальщик уже зашифровал файлы — счёт идёт на часы. Правильные действия в первые 2-4 часа определяют, удастся ли восстановить данные и минимизировать ущерб. Вот пошаговый план:
Шаг 1: НЕ выключайте серверы
В оперативной памяти могут находиться ключи шифрования. Выключение сервера уничтожит их безвозвратно. Оставьте серверы включёнными, но изолируйте их от сети.
Шаг 2: Изолируйте заражённые сегменты сети
Отключите коммутаторы, отсоедините кабели, заблокируйте VLAN. Цель — не дать шифровальщику распространиться на уцелевшие серверы и бэкапы.
Шаг 3: НЕ платите выкуп сразу
Поспешная оплата не гарантирует расшифровку. По данным Sophos и Group-IB, 35-40% жертв, заплативших выкуп, не получают рабочий ключ. Сначала оцените масштаб и альтернативы.
Шаг 4: Зафиксируйте улики
Сфотографируйте экраны с требованием выкупа, сохраните записку ransomware (ransom note). Запишите точное время обнаружения и какие системы затронуты.
Шаг 5: Вызовите IR-команду
Команда реагирования на инциденты (Incident Response) проведёт форензику, определит вектор атаки и оценит возможности восстановления. Не пытайтесь расследовать самостоятельно — вы можете уничтожить улики.
Шаг 6: Проверьте состояние бэкапов
Убедитесь, что резервные копии не зашифрованы. Проверьте офлайн-бэкапы, ленточные хранилища, облачные копии с версионированием. НЕ подключайте бэкапы к заражённой сети.
Шаг 7: Уведомите руководство и юристов
Если затронуты персональные данные — у вас 24 часа на первичное уведомление Роскомнадзора и 72 часа на результаты расследования (152-ФЗ, ст. 21.1). Подготовьте юридическую позицию до публичных заявлений.
Шаг 8: Определите тип шифровальщика
Загрузите образец зашифрованного файла и записку на id-ransomware.malwarehunterteam.com — сервис определит семейство и покажет, существует ли бесплатный дешифратор.
3Платить ли выкуп хакерам
Вопрос «платить ли выкуп» — самый болезненный для руководителей. С одной стороны, бизнес стоит, данные зашифрованы, каждый день простоя — это убытки. С другой — оплата финансирует преступников и не гарантирует результат.
Платить или не платить: факты
Аргументы ЗА оплату:
- Быстрее вернуть данные, если бэкапов нет
- Крупные группировки заинтересованы в «репутации» — иначе жертвы перестанут платить
- Стоимость выкупа может быть ниже, чем ущерб от простоя
Аргументы ПРОТИВ:
- 35-40% жертв НЕ получают рабочий ключ дешифрования после оплаты (данные Sophos, Group-IB, Coveware за 2024-2025)
- 80% компаний, заплативших один раз, подвергаются повторной атаке
- Оплата может нарушать санкционное законодательство (группировки под санкциями OFAC)
- Вы финансируете преступность — деньги идут на атаки других компаний
Вывод: оплата выкупа — крайняя мера. Сначала проверьте все альтернативы: бэкапы, бесплатные дешифраторы, форензика RAM. Если других вариантов нет — привлекайте переговорщиков с опытом работы с конкретной группировкой.
4Как восстановить данные без оплаты выкупа
Восстановление после шифровальщика возможно без выкупа в большинстве случаев — если действовать грамотно. Вот основные методы:
Резервные копии
Если у вас есть актуальные офлайн-бэкапы или облачные копии с версионированием — это самый надёжный путь. Перед восстановлением убедитесь, что инфраструктура очищена от вредоносного ПО, иначе шифрование повторится.
Бесплатные дешифраторы
Проект No More Ransom (nomoreransom.org) — совместная инициатива Европола, Kaspersky и других компаний. На сайте доступны бесплатные утилиты дешифрования для более чем 170 семейств ransomware. Перед оплатой выкупа обязательно проверьте, не существует ли готовый дешифратор для вашего случая.
Форензика оперативной памяти
Если серверы не были выключены, специалисты по форензике могут извлечь ключи шифрования из RAM. Именно поэтому первый шаг в плане реагирования — НЕ выключать серверы. Этот метод работает не всегда, но в 15-20% случаев позволяет расшифровать данные.
Теневые копии и снапшоты
Продвинутые группировки удаляют Volume Shadow Copies, но не все ransomware это делают. Проверьте наличие теневых копий Windows (vssadmin list shadows) и снапшотов виртуальных машин на гипервизоре.
Совет
5Как защитить компанию от ransomware заранее
Предотвратить атаку вируса шифровальщика дешевле, чем устранять последствия. Средний ущерб от ransomware для СМБ-компании составляет 5-15 млн рублей (простой + восстановление + репутация). Вот ключевые меры защиты:
| Мера защиты | Стоимость | Что даёт |
|---|---|---|
| Бэкапы по правилу 3-2-1 | от 20 000 ₽/мес | 3 копии, 2 типа носителей, 1 офлайн. Гарантия восстановления без выкупа |
| EDR на конечных точках | от 200 ₽/устройство/мес | Обнаружение шифровальщика на стадии разведки, до начала шифрования |
| SOC-мониторинг 24/7 | от 50 000 ₽/мес | Круглосуточный контроль, обнаружение атаки за минуты, а не за дни |
| Обучение сотрудников | от 30 000 ₽/год | Снижение успешных фишинговых атак на 70-80% |
| Сегментация сети | разовая настройка от 100 000 ₽ | Ограничение распространения ransomware внутри сети, защита критичных серверов |
6SOC-мониторинг: обнаружение ransomware до шифрования
Главная задача SOC при защите от ransomware — обнаружить атаку на этапе разведки и бокового перемещения, за дни до запуска шифрования. Аналитики SOC выявляют характерные паттерны: массовое сканирование портов, аномальные обращения к контроллеру домена, отключение антивируса, удаление теневых копий.
3-14
Дней
от проникновения до шифрования
<1ч
Обнаружение
при SOC-мониторинге
3-14 дней
Окно
чтобы остановить атаку до шифрования
24/7
Мониторинг
круглосуточно без выходных
КРЕДО-С предоставляет услуги SOC-мониторинга и расследования инцидентов. Если ваша компания уже подверглась атаке ransomware — мы проведём форензику, поможем с восстановлением и выстроим защиту от повторных атак.
Экстренная помощь при шифровальщикеЧастые вопросы
Платить ли выкуп при атаке шифровальщика?▼
Оплата выкупа — крайняя мера. По статистике, 35-40% жертв не получают рабочий ключ дешифрования после оплаты, а 68-80% подвергаются повторной атаке. Сначала проверьте бэкапы, бесплатные дешифраторы на nomoreransom.org, возможность извлечения ключей из оперативной памяти. Если других вариантов нет — привлекайте профессиональных переговорщиков.
Сколько стоит восстановление после ransomware?▼
Средний ущерб для СМБ-компании составляет 5-15 млн рублей: простой бизнеса (от 7 дней), восстановление инфраструктуры, репутационные потери, штрафы за утечку персональных данных. Стоимость профессионального расследования и восстановления — от 300 000 до 2 млн рублей, что значительно дешевле суммы выкупа и совокупного ущерба.
Можно ли расшифровать файлы без ключа?▼
В ряде случаев — да. Для более чем 170 семейств ransomware существуют бесплатные дешифраторы (nomoreransom.org). Также возможно извлечение ключей из оперативной памяти серверов (если они не были выключены) и восстановление из теневых копий Windows. Точная оценка возможна только после форензики конкретного инцидента.
Как предотвратить атаку ransomware?▼
Ключевые меры: резервное копирование по правилу 3-2-1 (обязательно с офлайн-копией), EDR-защита на конечных точках, SOC-мониторинг 24/7, обучение сотрудников распознаванию фишинга, сегментация сети, своевременное обновление ПО и закрытие RDP-доступа из интернета. Комплексный подход снижает вероятность успешной атаки на 95%.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Чекмарев
Специалист по информационной безопасности
С 2023 года консультирует государственные учреждения и предприятия ВПК. Внедряет сертифицированные ФСТЭК и ФСБ средства защиты. Специализация: анализ угроз, расследование инцидентов.