Сервер компании взломали: что делать руководителю в первые часы

Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет работы с московскими компаниями я разбирал больше 30 серьёзных инцидентов взлома — от файловых серверов оптовых баз до корпоративных порталов клиник. Каждый раз в первый час руководитель совершает три-четыре одинаковые ошибки, которые потом обходятся в сотни тысяч рублей. Эту статью я пишу для собственника или директора компании в Москве и Подмосковье — без технического жаргона, чтобы вы понимали, что делать в момент Х и какие вопросы задавать своему IT-подрядчику.

Как обычно узнают, что сервер взломан

Из моей практики, до 70 % взломов компании обнаруживают не специалисты по безопасности, а случайно. Бухгалтер пришёл утром в офис, попытался открыть базу 1С — а там сообщение «Ваши файлы зашифрованы, для расшифровки переведите 12 биткоинов». Менеджер заметил, что почта рассылает спам с его адреса. Системный администратор зашёл на сервер по удалённому подключению и увидел, что там уже работает кто-то посторонний.

В апреле 2025 года ко мне обратилась оптовая компания по торговле автозапчастями из Люберец. У них сотрудник отдела закупок утром не смог открыть прайс-листы поставщиков с общей сетевой папки — все файлы превратились в нечитаемый набор символов с расширением .locked. Через 20 минут было ясно: ночью кто-то получил доступ к файловому серверу, установил программу-шифровальщик и оставил записку с требованием выкупа.

Хорошая новость — у этой компании были бэкапы, которые мы поднимали раз в неделю на отдельный жёсткий диск, и злоумышленник до бэкап-диска не добрался. Плохая — три дня простоя, испорченные отношения с пятью поставщиками, которые не получили вовремя заявки, и счёт от нас на 240 000 руб. за восстановление и аудит.

Главное правило первого часа: ничего не выключать

Первый инстинкт любого руководителя — «выдернуть провод». Не делайте этого. Когда сервер выключают, вместе с включённым процессом стирается информация, по которой можно понять, как именно злоумышленник попал внутрь, что он успел сделать и где спрятал «закладки» для повторного входа. Без этой информации мы не сможем гарантировать, что после восстановления сервер снова не будет взломан тем же способом.

Что нужно сделать в первые 15 минут:

• Записать точное время, когда инцидент обнаружили, и кто первый его увидел.
• Сфотографировать на телефон экран с любыми подозрительными сообщениями, окнами, требованиями выкупа.
• Не закрывать активные сессии и окна на сервере — они могут содержать улики.
• Отключить сервер только от внешнего интернета (выдернуть провод от провайдера на роутере), но оставить включённой внутреннюю сеть, чтобы технический специалист мог удалённо подключиться по VPN.
• Позвонить вашему IT-аутсорсеру или специалисту по безопасности и описать ситуацию.

Если у вас нет постоянного IT-подрядчика, звоните в АйТи Фреш — у нас работает экстренная линия для нештатных ситуаций. Первичную консультацию по телефону мы даём бесплатно.

Что нельзя делать ни при каких обстоятельствах

Список действий, которые усугубляют последствия и я лично каждый раз прошу не делать:

• Платить выкуп. В половине случаев ключ расшифровки не работает или присылают не тот, что нужен. Кроме того, вы попадаете в базу «платящих» — через 3–6 месяцев придут снова.
• Перезагружать сервер. Уничтожает информацию о текущих процессах злоумышленника.
• Самостоятельно удалять подозрительные файлы. Это уничтожает улики, по которым вычисляют точку входа.
• Запускать антивирусную проверку. Антивирус начнёт удалять заражённые файлы, и вместо чистого следа атаки мы получим путаницу.
• Менять пароли с того же скомпрометированного сервера. Если в системе сидит кейлоггер, новые пароли тут же утекают к злоумышленнику.
• Молчать перед сотрудниками. Лучше сказать «временный технический сбой, работаем по запасной схеме», чем дать слухам разойтись неконтролируемо.

Что мы делаем в первые 24 часа

Когда я приезжаю на инцидент или подключаюсь удалённо, последовательность работы такая:

1. Изоляция. Сервер физически отключаем от интернета, но оставляем во внутренней сети. Это блокирует управление со стороны атакующего, но позволяет нам работать.
2. Снимок памяти. Мы делаем образ оперативной памяти и системного диска специальными инструментами. Это занимает 1–3 часа в зависимости от объёма, но без снимка дальнейшее расследование почти бессмысленно.
3. Анализ логов. Смотрим журналы входов в систему, журналы веб-сервера, журналы антивируса. Восстанавливаем точное время и способ проникновения. В случае с автозапчастями оказалось — заброшенный публичный порт удалённого доступа, на который злоумышленник подобрал пароль за 4 часа brute-force атаки.
4. Оценка ущерба. Определяем, к каким данным был доступ, что было скопировано вовне, какие файлы повреждены или зашифрованы.
5. Решение по восстановлению. На основе анализа решаем — пересобирать сервер с нуля (в 9 случаях из 10 — да) или попытаться очистить (только если ущерб минимальный и точно понятна точка входа).

Сколько это стоит — реальные цифры

Я свёл статистику по 14 инцидентам, которые мы разбирали в Москве за 2025 год. Цифры включают всю работу под ключ — расследование, восстановление, аудит, закрытие уязвимостей.

К прямым расходам на работы добавьте косвенные: простой бизнеса (для среднего московского офиса 20 РМ — это 80–150 тыс. руб./день потерянной выручки), штрафы Роскомнадзора при утечке персональных данных (от 60 тыс. до 18 млн руб. с 2024 года), потерю репутации, юридические расходы. Поэтому профилактика всегда выходит в десятки раз дешевле, чем восстановление.

Юридическая сторона: куда сообщать

Здесь руководители часто пытаются «замять» инцидент, и это ошибка. По закону вы обязаны действовать в нескольких направлениях:

• Роскомнадзор. Если утекли персональные данные клиентов или сотрудников (даже один контакт) — уведомление в РКН в течение 24 часов с момента обнаружения. Форма уведомления есть на сайте РКН. Если не уведомили — отдельный штраф.
• Полиция. Заявление в УВД по месту регистрации компании с описанием инцидента. Возбуждение дела по статье 272 УК РФ. Скорее всего, никого не найдут, но справка о возбуждении дела пригодится для страховой и при защите от претензий клиентов.
• Контрагенты. Если вы хранили данные партнёров или их клиентов (особенно для аутсорсеров бухгалтерии, юристов, маркетологов) — обязаны уведомить контрагентов письмом в разумный срок, обычно 3–5 рабочих дней.
• ФинЦЕРТ Банка России. Только если компания финансовая или платёжный агент — уведомление о компьютерном инциденте.

Параллельно начинаем восстановление, но юридическую часть никогда не откладывайте — за 24 часа реально и расследовать, и подать уведомления.

Через какие двери чаще всего заходят

За 15 лет в этой профессии я выделил четыре главных канала проникновения в инфраструктуры малого и среднего бизнеса в Москве. Если у вас закрыты эти четыре, вы уже на голову выше большинства компаний.

Канал 1. Открытый удалённый рабочий стол (RDP) на стандартном порту 3389. Самая частая причина взлома, которую я вижу. Бухгалтер просит «доступ к 1С из дома», админ открывает 3389 наружу — и через 2–8 часов на сервер начинают подбирать пароль роботы. С утечкой одного слабого пароля сотрудника злоумышленник получает административный доступ. Решение — никогда не публиковать RDP в интернет, только через VPN с двухфакторной аутентификацией.

Канал 2. Устаревший софт на серверах. Windows Server 2012 без обновлений, старая версия 1С с открытым веб-сервисом, древний Exchange с уязвимостью — это всё двери для злоумышленника. Решение — план обновлений раз в квартал и обязательно вывод из эксплуатации систем, у которых закончилась поддержка вендора.

Канал 3. Фишинговое письмо сотруднику. Письмо «вам пришёл документ от ФНС» с вложенным экселем, в котором макрос загружает шифровальщик. Открыл бухгалтер на своём компьютере — через час шифровальщик добрался до сетевых дисков. Решение — корпоративная защита почты с песочницей (мы используем Kaspersky Security for Mail Server) и регулярное обучение сотрудников распознавать фишинг.

Канал 4. Заражённая флешка или личное устройство сотрудника. Менеджер принёс флешку с домашнего компьютера, воткнул в рабочий — заражение. Или подключил личный смартфон по USB, чтобы зарядить, — а на смартфоне был троян. Решение — корпоративная политика запрета внешних носителей, а если нельзя запретить — антивирус с проверкой каждого подключения.

Что должен сделать каждый руководитель прямо сейчас, не дожидаясь взлома

Профилактика всегда дешевле лечения. Вот четыре действия, которые я рекомендую сделать сегодня же, если ещё не сделали:

1. Проверить, есть ли реальные бэкапы. Не просто настроена ли резервная копия, а попросить инженера прямо при вас восстановить любой файл из бэкапа недельной давности. Если он не может — у вас нет бэкапов, у вас есть иллюзия бэкапов.
2. Проверить, что бэкапы лежат отдельно от основной инфраструктуры. Шифровальщик зашифрует и резервные копии тоже, если они на той же сети. Минимум — отдельный сервер с другим паролем, в идеале — копия в облако или на физически отключаемый диск.
3. Заказать внешний аудит безопасности. 1–2 рабочих дня работы инженера, 12–25 тыс. руб. для офиса до 30 РМ. На выходе — список открытых дыр в порядке критичности и план их закрытия. Деньги, которые окупаются с первого предотвращённого инцидента.
4. Подписать с IT-подрядчиком соглашение об экстренном реагировании. Обычная абонентка не покрывает форензику и инциденты. Должен быть отдельный SLA: реакция 1 час, выезд инженера в течение 4 часов, оплата по факту работ.

Кейс 2025 года: как мы спасли торговую компанию за 18 часов

Декабрь 2025 года, оптовая фирма по продаже стройматериалов, офис в Митино, 32 рабочих места, 3 сервера. В пятницу вечером финдиректор обнаружил, что на сервере 1С не открывается база — все файлы переименованы в «.cryptolocker». На главном экране записка с требованием 8 биткоинов (около 6 млн руб. на тот момент).

Звонок ко мне в 19:14 пятницы. Я был в Москве, через 50 минут подключился удалённо. Дальше по часам:

• 20:05 — изолирован сервер 1С, начат снимок памяти и диска.
• 22:30 — анализ логов показал точку входа: пользователь Marketolog с паролем «Marketolog2024», RDP открыт наружу, перебор паролей шёл 6 часов.
• 00:15 субботы — оценка ущерба: зашифрован сервер 1С и файловый сервер. Сервер с почтой и контроллер домена не пострадали — у них были другие учётные записи.
• 01:30 — найден последний рабочий бэкап от четверга на отдельном NAS, который не был доступен из основной сети. База 1С восстановлена.
• 04:00 субботы — оба пострадавших сервера отформатированы и переустановлены.
• 09:00 субботы — данные восстановлены, RDP закрыт, развёрнут VPN-доступ для удалённой работы, все пароли поменяны через отдельную чистую машину.
• 13:30 субботы — компания работает в обычном режиме, потеряны данные за пятницу (5–6 часов работы менеджеров).

Счёт за работу составил 285 000 руб. Альтернатива — оплатить выкуп без гарантий и всё равно потом пересобирать сервера. Профилактика, которая предотвратила бы инцидент: закрыть RDP наружу, поднять VPN с двухфакторкой, настроить лимит попыток входа. Стоила бы заранее около 35 000 руб. разово.

Когда нужен внешний специалист, а когда справится свой админ

Если у вас в штате есть толковый системный администратор — он может закрыть инцидент малой сложности (один заражённый рабочий компьютер, простой майнер на не-критичном сервере). Но при серьёзном инциденте я рекомендую внешнюю экспертизу даже компаниям со штатным IT, по трём причинам:

• Свой админ может сам быть точкой входа — например, если он заходил на скомпрометированный домашний компьютер. Внешний взгляд исключает конфликт интересов.
• Для расследования нужны специальные инструменты (forensic toolkit), которые есть у узких специалистов и редко — у штатного админа.
• Юридическая защита: акт независимой экспертизы пригодится при разговоре с РКН, страховой и контрагентами.

FAQ — что чаще всего спрашивают руководители

Что делать в первые 15 минут после обнаружения взлома?

Не паниковать и ничего не выключать. Перезагрузка уничтожает следы и улики. Записать время обнаружения, сделать фото экрана с подозрительной активностью, отключить сервер от внешнего интернета на роутере (но не от внутренней сети) и сразу позвонить специалисту по информационной безопасности или вашему IT-аутсорсеру.

Сколько стоит восстановление компании после взлома?

По нашему опыту в Москве за 2025–2026 годы средний счёт за инцидент в офисе 20–50 рабочих мест составляет 180–450 тыс. руб. Сюда входит расследование (24–48 часов), пересборка пострадавших серверов, восстановление данных из бэкапа, аудит безопасности и закрытие уязвимостей. К этому добавляется простой бизнеса 2–5 рабочих дней.

Можно ли просто почистить сервер вместо переустановки?

Технически — да. На практике — нет. Профессиональный взлом всегда оставляет несколько закладок: подменённые системные программы, скрытые пользователи, бэкдоры на нестандартных портах. Найти все закладки невозможно, поэтому правильный подход — пересборка сервера с нуля и восстановление данных только из проверенных бэкапов.

Нужно ли заявлять в полицию о взломе сервера?

Если есть утечка персональных данных клиентов — обязательно уведомить Роскомнадзор в течение 24 часов и подать заявление в полицию по статье 272 УК РФ. Если ущерб только внутренний (зашифрованы файлы, простой), формально заявлять не обязательно, но мы рекомендуем — это нужно для страховой и для защиты от претензий контрагентов.

Как понять, что в компании уже есть взлом, о котором никто не знает?

Косвенные признаки: внезапное замедление сервера 1С без увеличения нагрузки, странные процессы в диспетчере задач, антивирус «отключился сам», в логах есть успешные входы по RDP в нерабочее время с незнакомых IP, исходящий трафик в страны, с которыми компания не работает. При любом из этих признаков заказывайте аудит — пара часов работы инженера за 8–12 тыс. руб. сэкономит вам сотни тысяч на восстановление.