Привет, Хабр! На связи Саша Боярский, директор по развитию SOC в К2 Кибербезопасность, Дима Емельянов, руководитель направления технической поддержки системного ПО К2Тех, и Серёжа Верченов, руководитель практики технологического консалтинга К2Тех. Недавно мы опросили ИТ и ИБ-специалистов из 104 средних и крупных российских компаний разных отраслей о главных угрозах сетевой безопасности. Большинство — 64% респондентов — назвали вирусов-шифровальщиков (ransomware) самыми опасными для безопасности ИТ-инфраструктур. Это подтверждает и наша внутренняя статистика — с прошлого года количество запросов на защиту от шифровальщиков выросло в 2 раза, заявки в наш SOC поступают еженедельно.

Цель шифровальщиков — модифицировать (зашифровать) все файлы с чувствительной информацией компании, а далее требовать выкуп за ее расшифровку. При этом ущерб может быть непредсказуемым и из-за простоя рабочих процессов. Например, если вирус-шифровальщик попадает из корпоративной среды в производство, то оно просто встает. 

В этом материале мы собрали роадмап по восстановлению ИТ-инфраструктуры, если инцидент уже произошел: конкретные шаги, инструменты и подходы + пример кейса из нашей практики. Также мы составили профилактический чеклист — что можно (и нужно) сделать уже сейчас, чтобы предупредить проникновение шифровальщика и его негативные последствия для инфраструктуры и бизнеса в целом.

Шифровальщик зашел в инфру: план по восстановлению

Сначала отметим, что все инциденты уникальны и не существует универсального для всех плана по устранению их последствий. Но на основе наших проектов по восстановлению инфраструктур мы выделили порядок действий, который релевантен для каждого кейса.

Важно: Все работы по восстановлению должны идти в тесной связке ИТ- и ИБ-подразделений, чтобы учесть процессы каждой команды и особенности конкретной инфраструктуры и не упустить пораженные вирусом участки.

Этап 1. Аудит и локализация

Первый шаг — оценка последствий атаки для определения степени поражения: какие системы зашифрованы, есть ли признаки утечки, насколько глубоко вирус проник в сеть. Обязательно фиксируем «точку входа» (нулевой пациент): конкретный хост или уязвимость, через которую произошло заражение.

Для этого анализируем логи, трафик, копии зараженных файлов. Одновременно с этим изолируем зараженные узлы от сети, чтобы остановить распространение вируса.

Параллельно проводим технический аудит: состояние серверов, рабочих станций, сетевого оборудования, наличие и актуальность резервных копий, степень шифрования данных. По итогам составляем перечень мер по устранению уязвимостей: закрытие портов, смена паролей, обновление ПО и т.д.

Важно: именно на этом этапе закладываем фундамент как для восстановления, так и для апдейта нашей ИБ-стратегии и предотвращения повторного инцидента.

Этап 2. Восстановление данных и сервисов

Если резервное копирование велось корректно (в идеале — офлайн или на ленты), то восстановление начинается с анализа доступных бэкапов и выбора чистых копий. Однако не всегда все идет гладко: резервные копии тоже могут быть зашифрованными или устаревшими. Тогда на сцену выходит план аварийного восстановления (DRP — Disaster Recovery Plan), разработанный для подобных случаев. В нашей практике мы обычно разворачиваем временную инфраструктуру для критических сервисов: пока идет чистка основной сети мы разворачиваем виртуальные машины для переноса основных приложений в облако. Это позволяет запустить необходимые рабочие процессы еще до завершения расследования и минимизировать потери от простоя. 

Восстановление ИТ-инфраструктуры — это, по сути, кропотливый «ремонт»: расшифровать данные обычно невозможно без ключа, поэтому берем чистый резерв и разворачиваем заново. Параллельно настраиваем новые рабочие места: если пользовательские ПК пострадали, устанавливаем их заново, разворачиваем образы систем и подключаем к сети уже безопасными.

Этап 3. Усиление защиты и постоянный мониторинг

Главная задача после восстановления инфраструктуры — минимизировать вероятность повторного инцидента. На основе анализа уязвимостей выстраиваем обновленную архитектуру защиты. Внедряем решения класса EDR, разворачиваем фаерволы нового поколения (NGFW), проводим сегментацию сети. Но и этих мер недостаточно без постоянного мониторинга.

Самое эффективное решение — подключение SOC (Security Operations Center — Центр мониторинга кибербезопасности). Он получает события с узлов и сетевых устройств, обрабатывает их через SIEM и реагирует на аномалии в реальном времени. Это особенно необходимо в переходный период после атаки, когда повышены риски наличия закладок или повторной попытки проникновения.

Этап 4. Обучение персонала и организационные меры

Более 80% атак связаны с человеческим фактором. Поэтому после устранения инцидента обязательный этап — обучение сотрудников всех уровней и отделов политикам безопасности, в т.ч. на примере разбора произошедшего инцидента. До рядового персонала нужно донести базовые принципы: как распознать фишинговое письмо, что делать при первом подозрении на заражение, кому и в каком формате сообщать. 

Для ИБ-специалистов (или ИТ, если они выполняют функцию ИБ) необходимы практические киберучения, чтобы проверить «в бою» их реакцию и способность отразить имитационные атаки. Такие тренировки проверят и устойчивость ИТ- и ИБ-систем.

Обязательно должны быть внедрены (если еще нет) и пересмотрены организационные регламенты: автоматическое отключение доступов при увольнении, периодическая смена паролей, регулярное тестирование DRP-планов.

Пример из нашей практики: восстановление ИТ-инфраструктуры крупной розничной сети

Аудит ситуации. Атака прошла по классическому сценарию: злоумышленник использовал доступ бывшего сотрудника, чтобы удалить резервные копии с лент и развернуть шифровальщика. В результате — полная остановка ИТ-инфраструктуры, включая контроллер домена, почтовый сервер и рабочие станции. Бизнес встал: 1С недоступна, магазины не могут проводить операции, сотрудники не могут войти в корпоративные системы.

Восстановление. Первоочередной задачей было экстренно развернуть базовую инфраструктуру. За неделю была восстановлена доменная структура Active Directory, с нуля установлен и настроен Exchange Server, восстановлены VPN-каналы для удаленных филиалов. Следом начался этап реабилитации клиентских машин: проверка более 300 рабочих станций на наличие вредоносного кода, переустановка, подключение к новому домену. Для этой задачи привлекли отдельную команду техников, которая выезжала на места из-за отсутствия удаленного доступа.

Параллельно восстанавливали серверную часть: развертывали виртуальные машины на VMware, поднимали критические сервисы, организовывали централизованное резервное копирование.

Восстановление контроллеров домена и серверов 1С из резервных копий заняло несколько дней. Это позволило быстро возобновить продажи. Полное же восстановление инфраструктуры из ~1500 зашифрованных конечных точек заняло около трех недель — по мере того, как восстанавливались второстепенные сервисы и рабочие станции. 

Усиление защиты на разных уровнях. Расследование инцидента проводилось совместно с правоохранительными органами. Выяснилось, что отсутствовали базовые политики безопасности: пароли не менялись годами, доступы уволенных сотрудников не отзывались. Исправление этих организационных пробелов легло в основу обновленной ИБ-стратегии: были внедрены механизмы управления доступом, автоматизирован отзыв прав при увольнении и введен жесткий регламент резервного копирования. 

SOC-мониторинг. SOC был подключен еще на этапе развертывания чистой инфраструктуры, и сразу начал получать телеметрию с обновленных хостов. 

Через месяц после восстановления наш SOC зафиксировал повторную попытку вторжения в инфру заказчика через подозрительную сессию RDP, исходившую с внешнего IP-адреса. По сути, это была разведка перед возможной повторной атакой, и она была нейтрализована до начала выполнения вредоносных действий благодаря новым системам мониторинга. Этот эпизод стал наглядной демонстрацией: без централизованной защиты и автоматизированного реагирования инцидент мог бы повториться.

SOC продолжает обеспечивать постоянный мониторинг заказчика и закрывает инциденты еще на стадии аномального поведения: доступ к файлам в нерабочее время, попытки обхода прав доступа, аномалии в трафике. Благодаря такой модели компания не просто восстановила работу, а существенно повысила свою киберустойчивость.

Профилактический чеклист: как предотвратить заражение

Самый простой и наименее затратный способ справиться с шифровальщиком — не пропустить его в систему. На основе нашего опыта мы собрали чеклист практических шагов для снижения риска заражения вирусом:

  • Аудит киберустойчивости. Оцените текущую защиту ИТ-инфраструктуры: сети, серверы, рабочие станции, программное обеспечение, политики доступа. Самые частые проблемы: устаревший софт, открытые порты в периферийных сетях, недостаточно защищенные каналы удаленного доступа. Самая эффективная проверка — пентесты: и проверит команду «в бою», и наглядно выделит слабые места в системе и процессах.

  • Апдейт ИБ-стратегии. На основе аудита и других проверок актуализируйте вашу стратегию кибербезопасности и ее маршрутную карту. 

  • Актуализируйте резервные копии. Регулярно делайте бэкапы критических данных. Храните хотя бы одну копию изолированно (офлайн или в облаке с отдельной авторизацией). Обязательно тестируйте восстановление из резервной копии, чтобы быть уверенными, что даже при успешной атаке у бизнеса сохранится чистая копия данных.

  • Регулярно обновляйте ПО и патчи. Версии ИБ-решений, серверов, рабочих станций и сетевого оборудования должны быть актуальными. Уязвимости в ОС и программах — основные лазейки для проникновения вредоносов. Централизованно управляйте обновлениями, не допускайте длительного использования устаревших версий.

  • Подключите NGFW, антивирус и EDR. Используйте современное защитное ПО на всех узлах. Убедитесь, что включены проактивные функции (heuristic, behavior analysis) и расширенные модули защиты от шифрования. Периодически проверяйте журналы безопасности на подозрительные события.

  • Сегментация. Разделите сеть на сегменты (офисная, серверная, Wi-Fi для гостей и т.п.) с ограничением прав между ними, чтобы, даже если шифровальщик проникнет на один компьютер, ему было бы сложно распространиться по всей компании.

  • Ограничьте права пользователей и сервисных учетных записей до необходимого минимума — принцип наименьших привилегий. Это не даст вирусу разгуляться с правами администратора по всей системе.

  • Многофакторная аутентификация. Внедрите MFA везде, где можно, особенно для удаленного доступа и критических систем. Тогда зловреду будет недостаточно просто скомпрометировать пароль, для входа в систему будет нужен еще и второй фактор — смс, токен и т.д. Это простая мера, но она серьезно затрудняет работу злоумышленников.

  • Обучите сотрудников основным политикам кибербезопасности. Научите персонал распознавать фишинговые письма, не открывать подозрительные вложения, соблюдать правила работы с внешними носителями. Создайте культуру, в которой не страшно сообщить о потенциальном инциденте, т.к. в случае атаки на счету каждая минута.  

  • Разработайте план действия на случай инцидента: ответственные лица и их роли; какие системы отключить в первую очередь; как будет проходить коммуникация (вплоть до заготовленных шаблонов объявлений для персонала и, при необходимости, для клиентов/партнеров); кто и когда связывается с правоохранительными органами (если потребуется), кто —– с подрядчиками по ИБ.

Это только базовый список шагов, которые помогут создать серьезный барьер для проникновения шифровальщика. Его, конечно же, можно и нужно расширять с учетом специфики вашей организации, инфраструктуры, распределения команд, ресурсов и т.д.

Вместо заключения

В текущих реалиях атака вируса-шифровальщика — это скорее не вопрос «если», а вопрос «когда». Новости о крупных взломах появляются каждую неделю. Причем успешно ломают компании самых разных размеров, даже корпорации, у которых были подключены дорогие продукты для защиты. Простой установки решений «из коробки» уже давно недостаточно. Подходите к вопросу комплексно с учетом шагов, описанных в нашей статье.

Лучше инвестировать в киберустойчивость бизнеса сейчас, чем потерять в десятки/сотни раз больше при ущербе от простоя рабочих процессов и на восстановление ИТ-инфраструктуры и данных после атаки (не только шифровальщиков).

Комментарии (6)


  1. krids
    20.08.2025 07:56

    Восстановление контроллеров домена и серверов 1С из резервных копий заняло несколько дней.

    А с каких резервных копий восcтанавливали, если "злоумышленник использовал доступ бывшего сотрудника, чтобы удалить резервные копии с лент" ?


    1. theult
      20.08.2025 07:56

      Скорее всего было ещё оффлайновое хранилище, либо скомпрометировали только один из хостов хранения резервных копий. Тут, как говорится, резервных копий много не бывает :)


    1. in11w
      20.08.2025 07:56

      Ленты, насколько я помню, тем и удобны что их можно из библиотеки извлечь и хранить офлайн. Другое дело, что база лент и ПО работы с ними, скорее всего, было зашифровано вместе с серверами.


      1. trabl
        20.08.2025 07:56

        ПО можно легко установить на чистый сервер, достать из сейфа ленты, воткнуть в библиотеку и просканировать. Затем восстановить необходимые данные. По крайней мере с Symantec backup exec это так работало когда-то.


  1. in11w
    20.08.2025 07:56

    " Периодически проверяйте журналы безопасности на подозрительные события. " - я бы сказал - настройте автоматическое информирование.


  1. supercat1337
    20.08.2025 07:56

    Не увидел пункта плана в случае если вредоносное ПО будет модифицировать рабочие документы.