· 13 мин чтения

Сервер компании взломали: что делать руководителю в первые часы

Сервер компании взломали: что делать руководителю в первые часы

Я, Семёнов Евгений Сергеевич, директор АйТи Фреш, хочу поделиться своим опытом. За 15 лет моей работы с московскими компаниями, мне пришлось разбираться с более чем 30 серьёзными взломами — от обычных файловых серверов оптовых баз до сложных корпоративных порталов клиник. Что меня поражает, так это то, что каждый раз, в первый же час после обнаружения, руководитель успевает наделать три-четыре одни и те же ошибки, и потом эти промахи обходятся бизнесу в сотни тысяч рублей. Эту статью я пишу специально для вас, собственника или директора компании в Москве и Подмосковье. Моя цель — донести информацию без всякого технического жаргона, чтобы в тот самый «момент Х» вы точно знали, что делать и какие вопросы задавать своему IT-подрядчику.

Как обычно узнают, что сервер взломан

Знаете, по моему опыту, до 70 % всех взломов компании обнаруживают вовсе не специалисты по безопасности, а совершенно случайно. Вот представьте: бухгалтер приходит утром на работу, пытается открыть базу 1С — а там внезапно сообщение: «Ваши файлы зашифрованы, для расшифровки переведите 12 биткоинов». Или менеджер вдруг замечает, что с его электронной почты идёт какая-то непонятная спам-рассылка. А может быть, системный администратор заходит на сервер по удалёнке и с ужасом понимает, что там уже вовсю хозяйничает кто-то чужой.

Вот вам пример из практики: в апреле 2025-го ко мне за помощью обратилась оптовая компания из Люберец, они торгуют автозапчастями. Утром сотрудник из отдела закупок просто не смог открыть прайс-листы поставщиков с общей сетевой папки. Представьте его шок: все файлы превратились в какую-то нечитаемую кашу, да ещё и с расширением .locked. Буквально через 20 минут стало ясно, что произошло: ночью кто-то проник на файловый сервер, установил программу-шифровальщик и, конечно же, оставил записку с требованием выкупа.

Сразу скажу, была и хорошая новость: у этой компании, к счастью, имелись бэкапы. Мы, кстати, раз в неделю поднимали их на отдельный жёсткий диск, и вот до этого бэкап-диска злоумышленник, слава богу, не добрался. Но была и плохая новость, очень плохая: это три дня полного простоя бизнеса, серьёзно испорченные отношения сразу с пятью поставщиками, которые не получили вовремя свои заявки, и, конечно, наш счёт на 240 000 руб. за все работы по восстановлению и аудиту.

Главное правило первого часа: ничего не выключать

Знаете, какой первый инстинкт у любого руководителя в такой ситуации? Правильно — «выдернуть провод»! Но я вас очень прошу, не делайте этого ни в коем случае. В момент, когда сервер просто выключают, вместе с работающим процессом безвозвратно стирается ценнейшая информация. Именно по ней мы можем понять, как именно злоумышленник смог проникнуть внутрь, что он успел там натворить и, самое главное, где он мог спрятать свои «закладки» для повторного входа. А без этих данных мы просто не сможем гарантировать, что после восстановления ваш сервер не взломают тем же самым способом снова.

Что нужно сделать в первые 15 минут:

Если же у вас пока нет постоянного IT-подрядчика, который мог бы помочь, не теряйте времени — сразу звоните в АйТи Фреш. У нас специально для таких нештатных ситуаций работает экстренная линия. Мы всегда готовы дать первичную консультацию по телефону абсолютно бесплатно.

Что нельзя делать ни при каких обстоятельствах

А вот список действий, которые только усугубляют последствия, — я каждый раз лично прошу их не делать:

Что мы делаем в первые 24 часа

Когда я приезжаю на инцидент или подключаюсь удалённо, порядок работы такой:

  1. Изоляция. Сервер физически отключаем от интернета, но оставляем во внутренней сети. Это блокирует управление со стороны атакующего, но позволяет нам работать.
  2. Снимок памяти. Мы делаем образ оперативной памяти и системного диска специальными инструментами. Это занимает 1–3 часа в зависимости от объёма, но без снимка дальнейшее расследование почти бессмысленно.
  3. Анализ логов. Смотрим журналы входов в систему, журналы веб-сервера, журналы антивируса. Восстанавливаем точное время и способ проникновения. В случае с автозапчастями оказалось — заброшенный публичный порт удалённого доступа, на который злоумышленник подобрал пароль за 4 часа brute-force атаки.
  4. Оценка ущерба. Определяем, к каким данным был доступ, что было скопировано вовне, какие файлы повреждены или зашифрованы.
  5. Решение по восстановлению. На основе анализа решаем — пересобирать сервер с нуля (в 9 случаях из 10 — да) или попытаться очистить (только если ущерб минимальный и точно понятна точка входа).

Сколько это стоит — реальные цифры

Я специально собрал и свёл статистику по 14 инцидентам, с которыми мы разбирались в Москве только за 2025 год. Эти цифры, которые я сейчас покажу, включают в себя всю нашу работу «под ключ»: и расследование, и восстановление, и аудит, и, конечно же, закрытие всех найденных уязвимостей.

Тип инцидентаРазмер компанииСтоимость работСрок
Шифровальщик на одном сервере10–20 РМ120 000–180 000 ₽2–3 дня
Шифровальщик с распространением по сети20–35 РМ240 000–380 000 ₽4–6 дней
Майнер на сервере 1С10–25 РМ85 000–140 000 ₽1–2 дня
Утечка базы клиентов20–50 РМ320 000–550 000 ₽5–8 дней
Полная компрометация домена AD30–50 РМ450 000–780 000 ₽7–14 дней

Но к этим прямым расходам на работы обязательно добавьте ещё и косвенные потери, а они порой бывают куда больше. Подумайте о простое бизнеса: для среднего московского офиса с 20 РМ это, между прочим, 80–150 тыс. руб. в день потерянной выручки! А если произойдёт утечка персональных данных, то готовьтесь к штрафам Роскомнадзора — от 60 тыс. до 18 млн руб. с 2024 года. Плюс к этому — потеря репутации и, конечно, юридические расходы. Именно поэтому я всегда говорю: профилактика обходится в десятки раз, да-да, в десятки раз дешевле, чем последующее восстановление.

Юридическая сторона: куда сообщать

И вот тут я часто вижу, как руководители пытаются, что называется, «замять» инцидент. Друзья мои, это огромная ошибка! Запомните: по закону вы просто обязаны действовать сразу в нескольких направлениях, и тут уж не до шуток.

Конечно, восстановление мы начинаем запускать параллельно, но вот юридическую часть откладывать нельзя ни в коем случае, никогда! Поверьте, за 24 часа вполне реально успеть и расследовать произошедшее, и подать все необходимые уведомления.

Через какие двери чаще всего заходят

За свои 15 лет в профессии я точно могу сказать: я выделил четыре главных канала, через которые чаще всего проникают в инфраструктуры малого и среднего бизнеса здесь, в Москве. Если вы закроете эти четыре лазейки, то, поверьте мне, вы уже будете на голову выше большинства других компаний.

Итак, Канал 1 — это открытый удалённый рабочий стол, или RDP, который работает на стандартном порту 3389. Это, поверьте мне, самая частая причина взломов, которую я только вижу. Сценарий обычный: бухгалтер просит «доступ к 1С из дома», админ без лишних раздумий открывает порт 3389 наружу — и что происходит? Буквально через 2–8 часов на сервер уже вовсю ломятся роботы, подбирая пароли. Достаточно утечь всего одному слабому паролю сотрудника — и злоумышленник получает полный административный доступ. Моё решение однозначно: никогда не публикуйте RDP напрямую в интернет! Используйте только VPN, да ещё и с обязательной двухфакторной аутентификацией.

Переходим к Каналу 2: это устаревший софт на серверах. Представьте себе Windows Server 2012 без единого обновления, старую-престарую версию 1С с открытым веб-сервисом или какой-нибудь древний Exchange, в котором уже давно нашли уязвимости. Это всё не просто дыры, это буквально настежь распахнутые двери для любого злоумышленника! Моё решение простое: нужен чёткий план обновлений раз в квартал, и обязательный, подчёркиваю, обязательный вывод из эксплуатации всех систем, у которых уже закончилась поддержка вендора.

Канал 3 — это фишинговое письмо, которое попадает к сотруднику. Знаете, классика жанра: «Вам пришёл документ от ФНС», а внутри, конечно же, вложенный эксель, где хитрый макрос незаметно подгружает шифровальщик. Бухгалтер, ничего не подозревая, открывает его на своём компьютере — и что? Уже через час этот самый шифровальщик вовсю орудует на всех сетевых дисках. Наше решение: обязательно нужна корпоративная защита почты, желательно с песочницей (мы, например, используем Kaspersky Security for Mail Server), и, конечно, регулярное обучение сотрудников, чтобы они умели распознавать фишинг.

И наконец, Канал 4: заражённая флешка или личное устройство сотрудника. Представьте: менеджер принёс флешку со своего домашнего компьютера, вставил её в рабочий — и вот вам, пожалуйста, заражение. Или другой вариант: подключил личный смартфон по USB, чтобы зарядить, а на смартфоне уже сидит троян. Моё решение тут такое: нужна строгая корпоративная политика, которая запрещает внешние носители. А если уж совсем запретить нельзя, то тогда — антивирус, который будет тщательно проверять каждое новое подключение.

Что должен сделать каждый руководитель прямо сейчас, не дожидаясь взлома

Профилактика всегда дешевле лечения. Вот четыре действия, которые я советую сделать прямо сегодня, если ещё не сделали:

  1. Проверить, есть ли реальные бэкапы. Не просто настроена ли резервная копия, а попросить инженера прямо при вас восстановить любой файл из бэкапа недельной давности. Если он не может — у вас нет бэкапов, у вас есть иллюзия бэкапов.
  2. Проверить, что бэкапы лежат отдельно от основной инфраструктуры. Шифровальщик зашифрует и резервные копии тоже, если они на той же сети. Минимум — отдельный сервер с другим паролем, в идеале — копия в облако или на физически отключаемый диск.
  3. Заказать внешний аудит безопасности. 1–2 рабочих дня работы инженера, 12–25 тыс. руб. для офиса до 30 РМ. На выходе — список открытых дыр в порядке критичности и план их закрытия. Деньги, которые окупаются с первого предотвращённого инцидента.
  4. Подписать с IT-подрядчиком соглашение об экстренном реагировании. Обычная абонентка не покрывает форензику и инциденты. Должен быть отдельный SLA: реакция 1 час, выезд инженера в течение 4 часов, оплата по факту работ.

Кейс 2025 года: как мы спасли торговую компанию за 18 часов

Ещё один реальный кейс: Декабрь 2025-го. Оптовая фирма, продаёт стройматериалы, офис находится в Митино. У них 32 рабочих места и 3 сервера. В пятницу вечером, когда все уже собирались домой, финдиректор вдруг обнаружил, что на сервере 1С просто не открывается база. Шок! Все файлы оказались переименованы в «.cryptolocker». А на главном экране — записка с требованием выкупа: 8 биткоинов, что на тот момент было около 6 млн руб.

Мне позвонили в 19:14, это была пятница. Я, к счастью, находился в Москве и уже через 50 минут смог подключиться удалённо. А дальше всё пошло, как говорится, по часам:

В итоге счёт за нашу работу составил 285 000 руб. Какая была альтернатива? Заплатить выкуп в 8 биткоинов без каких-либо гарантий, а потом всё равно, скорее всего, пересобирать все серверы. А ведь профилактика, которая могла бы предотвратить этот инцидент — просто закрыть RDP наружу, поднять VPN с двухфакторкой, настроить лимит попыток входа, — обошлась бы заранее, единоразово, примерно в 35 000 руб. Вот вам и разница!

Когда нужен внешний специалист, а когда справится свой админ

Конечно, если у вас в штате работает действительно толковый системный администратор, он вполне справится с инцидентом малой сложности. Ну, например, один заражённый компьютер или какой-нибудь простой майнер на некритичном сервере — это ему по силам. Но когда речь идёт о серьёзном инциденте, я лично советую привлекать внешнюю экспертизу, и это касается даже тех компаний, у которых есть свой штатный IT-отдел. И вот почему, есть три веские причины:

Экстренная линия при подозрении на взлом

Слушайте, если вы прямо сейчас замечаете какие-то странности с сервером, видите подозрительные процессы, у вас вдруг пропали файлы или, не дай бог, вылезла та самая записка с требованием выкупа — немедленно звоните или пишите мне. Я всегда готов дать первичную консультацию по телефону, и она, конечно, бесплатна. А по Москве и в радиусе 50 км от МКАД я выезжаю лично, или же направляю своего инженера, и мы будем у вас в течение 4 часов.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — что чаще всего спрашивают руководители

Что делать в первые 15 минут после обнаружения взлома?
Не паниковать и ничего не выключать. Перезагрузка уничтожает следы и улики. Записать время обнаружения, сделать фото экрана с подозрительной активностью, отключить сервер от внешнего интернета на роутере (но не от внутренней сети) и сразу позвонить специалисту по информационной безопасности или вашему IT-аутсорсеру.
Сколько стоит восстановление компании после взлома?
По нашему опыту в Москве за 2025–2026 годы средний счёт за инцидент в офисе 20–50 рабочих мест составляет 180–450 тыс. руб. Сюда входит расследование (24–48 часов), пересборка пострадавших серверов, восстановление данных из бэкапа, аудит безопасности и закрытие уязвимостей. К этому добавляется простой бизнеса 2–5 рабочих дней.
Можно ли просто почистить сервер вместо переустановки?
Технически — да. На практике — нет. Профессиональный взлом всегда оставляет несколько закладок: подменённые системные программы, скрытые пользователи, бэкдоры на нестандартных портах. Найти все закладки невозможно, поэтому правильный подход — пересборка сервера с нуля и восстановление данных только из проверенных бэкапов.
Нужно ли заявлять в полицию о взломе сервера?
Если есть утечка персональных данных клиентов — обязательно уведомить Роскомнадзор в течение 24 часов и подать заявление в полицию по статье 272 УК РФ. Если ущерб только внутренний (зашифрованы файлы, простой), формально заявлять не обязательно, но мы рекомендуем — это нужно для страховой и для защиты от претензий контрагентов.
Как понять, что в компании уже есть взлом, о котором никто не знает?
Косвенные признаки: внезапное замедление сервера 1С без увеличения нагрузки, странные процессы в диспетчере задач, антивирус «отключился сам», в логах есть успешные входы по RDP в нерабочее время с незнакомых IP, исходящий трафик в страны, с которыми компания не работает. При любом из этих признаков заказывайте аудит — пара часов работы инженера за 8–12 тыс. руб. сэкономит вам сотни тысяч на восстановление.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.