Программы-вымогатели (ransomware) блокируют доступ к данным, шифруют файлы, нарушают работу ИТ-сервисов и требуют выкуп. Но современная атака почти всегда сложнее: злоумышленники заранее копируют конфиденциальную информацию и угрожают её публикацией или продажей. Это так называемое «множественное вымогательство» — теперь под угрозой не только доступность данных, но и их конфиденциальность.
Для руководителя это меняет сам расчёт рисков: даже идеальный бэкап не отменяет утечку. Поэтому защита строится не вокруг одного антивируса, а как система. Ниже — практический разбор.
Как обычно начинается атака
Большинство инцидентов начинается с одного из нескольких типовых векторов. CISA относит к основным категориям первичного доступа фишинг, скомпрометированные учётные данные, а также уязвимости и мисконфигурации внешне опубликованных сервисов.
- фишинговые письма со ссылками, вложениями или архивами;
- вложения с двойными расширениями —
document.pdf.exe,invoice.doc.js; - вредоносные скрипты, LNK-файлы, контейнеры ISO/VHD/IMG, HTML-файлы;
- документы Office с макросами или запуском внешних процессов;
- украденные учётные данные от VPN, RDP, почты или облака;
- уязвимости во внешне опубликованных сервисах;
- слабые пароли и отсутствие MFA;
- компрометация подрядчиков, MSP или администраторских учётных записей.
Что происходит после заражения
Получив доступ, атакующие действуют по предсказуемому сценарию — и чем дольше остаются незамеченными, тем тяжелее последствия:
- ЗакреплениеСоздают точки устойчивого присутствия в системе.
- Повышение привилегийПолучают права администратора домена.
- Отключение защитГасят антивирус, EDR, журналы и теневые копии.
- РаспространениеРасходятся на серверы, сетевые папки и бэкапы.
- Кража данныхВыгружают конфиденциальную информацию наружу.
- Шифрование и выкупШифруют файлы и оставляют записку с требованием.
Важно: наличие антивируса снижает риск, но не гарантирует защиту. Современная оборона — это многоуровневая система: endpoint protection, EDR/XDR, MFA, резервное копирование, сегментация сети, контроль привилегий, мониторинг и план реагирования.
Простые правила для пользователей
Большая часть атак останавливается на уровне сотрудника. Эти правила стоит донести до всей команды:
- Не открывайте вложения и ссылки из неожиданных писем, даже «деловых»: акт сверки, счёт, договор, уведомление от банка, суда, службы доставки или HR.
- Проверяйте реальный адрес отправителя, домен, стиль письма и вложения. При сомнении — переслать в ИТ/ИБ.
- Не запускайте файлы
.exe,.js,.vbs,.hta,.cmd,.bat,.ps1,.scr,.lnkиз почты или мессенджеров. - Не включайте макросы в Office-документах из непроверенного источника.
- Немедленно сообщайте в ИТ/ИБ при странных окнах, переименовании файлов, новых расширениях, записках о выкупе или резком замедлении работы.
- При подозрении на заражение — отключите устройство от сети (кабель / Wi-Fi), но не выключайте питание без указания ИБ, чтобы сохранить артефакты для расследования.
Меры защиты для организации
Технологический контур защиты от ransomware. CISA среди немедленных мер выделяет MFA, обновление ОС/ПО, обучение пользователей, защиту RDP и offline-бэкапы.
Резервное копирование 3-2-1
Минимум три копии данных, на двух типах носителей, одна — вне основной площадки. Критичны offline / immutable бэкапы и регулярные тесты восстановления: NCSC подчёркивает, что атакующие целенаправленно уничтожают резервные копии, поэтому отключённые копии незаменимы.
MFA для критичных сервисов
Включите многофакторную аутентификацию для VPN, RDP/RD Gateway, почты, облака, администраторских учётных записей и систем резервного копирования.
Ограничение прав и контроль запуска
Пользователи не работают с правами локального администратора; админ-аккаунты — отдельные и под MFA. Настройте App Control / WDAC / AppLocker / SRP, чтобы запретить запуск исполняемых файлов из %TEMP%, %APPDATA%, Downloads и архивов.
Microsoft Defender ASR и защита почты
Используйте Attack Surface Reduction rules — особенно правило «Block all Office applications from creating child processes». Дополните это антиспамом, sandboxing вложений, проверкой URL, DMARC/DKIM/SPF, web- и DNS-фильтрацией.
RDP, сегментация и мониторинг
Не публикуйте RDP напрямую в интернет — только через VPN/ZTNA/RD Gateway с MFA и allowlist. Разделяйте рабочие станции, серверы, backup-инфраструктуру и критичные системы. Настройте централизованный сбор событий (EDR, SIEM): входы, изменения групп администраторов, отключение защит, массовое переименование файлов, удаление теневых копий, подозрительные PowerShell-команды.
План реагирования и учения
Подготовьте ransomware-playbook заранее: кого уведомлять, как изолировать узлы и отключать учётные записи, как проверять бэкапы и восстанавливать сервисы. Проводите tabletop-учения и технические тесты восстановления — бэкап без проверенного восстановления полноценной защитой не является.
Если файлы уже зашифрованы
- ИзоляцияИзолируйте заражённые устройства от сети.
- Сохраните артефактыНе удаляйте файлы, записки вымогателей и артефакты без согласования с ИБ.
- Не платите без анализаНе платите выкуп без юридической, управленческой и ИБ-оценки. No More Ransom предупреждает: оплата не гарантирует получение ключа.
- Идентифицируйте семействоОпределите семейство ransomware безопасными инструментами (No More Ransom Crypto Sheriff).
- Проверка дешифратораПроверьте наличие публичного дешифратора.
- Восстановление из бэкапаВосстанавливайте данные только из проверенных чистых бэкапов.
- Устранение первопричиныУстраните первопричину до восстановления: учётные данные, уязвимость, открытый RDP, фишинг, лишние права.
Полезные ресурсы
- CISA StopRansomware Guide → Практики предотвращения и чек-листы реагирования
- NCSC: Mitigating malware and ransomware attacks → Снижение риска и восстановление
- No More Ransom → Проверка дешифраторов и Crypto Sheriff
- Microsoft Defender ASR rules reference → Правила снижения поверхности атаки
- NIST Ransomware Profile → Управление риском через prevention, response и recovery