Стоит ли платить выкуп шифровальщику?

Нет. По данным ФБР и CISA, 20 % заплативших не получают рабочий ключ, 80 % подвергаются повторной атаке в течение года. Кроме того, финансирование преступников запрещено законодательством ряда стран. Лучше вкладывать деньги в восстановление и защиту.

Как защитить офис в Москве от ransomware?

Базовый минимум: убрать RDP из интернета и пускать админов только через VPN с MFA, использовать офлайн-копию бэкапа (3-2-1), включить EDR/антивирус с поведенческим анализом, обновлять Windows Server и 1С регулярно, обучить сотрудников распознавать фишинг.

Сколько стоит восстановление после шифровальщика?

Для офиса 25–35 рабочих мест с одним сервером 1С — от 280 000 до 850 000 руб. в зависимости от состояния бэкапов и масштаба шифрования. В нашем кейсе расходы на восстановление и hardening составили около 620 000 руб., тогда как выкуп просили 5 BTC (~12 млн руб. на тот момент).

Можно ли восстановить базу 1С после шифрования?

Только из бэкапа. Расшифровать сами файлы DT/CD без ключа атакующего практически невозможно — современные шифровальщики используют AES-256 или ChaCha20. Если бэкапа нет, остаются дорогие услуги лабораторий восстановления данных, и то с шансом 10–30 %.

Сколько занимает полное восстановление офиса после атаки?

Без подготовки — от 4 дней до двух недель. С готовым DR-планом и регулярно проверяемыми бэкапами — 4–8 часов. В нашем кейсе мы вернули критичные сервисы (1С и файловый) за 36 часов, остальное — за 4 дня.

Безопасность 17 апреля 2026 · 16 мин чтения

Атака шифровальщика на офис в Москве: реальный кейс восстановления

Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш и 15 лет занимаюсь IT-инфраструктурами малого и среднего бизнеса в Москве. За это время я несколько раз тушил пожары после атак шифровальщиков. Один из самых показательных случаев произошёл этой зимой в офисе торговой компании на 32 рабочих места — расскажу подробно: как пришёл ransomware, как мы локализовали инцидент, как восстанавливали 1С и файловый сервер, и что мы сделали, чтобы это не повторилось.

Звонок в субботу утром: что мы увидели

Звонок поступил в 9:42 субботы. Бухгалтер пришла отдать срочный отчёт и не смогла открыть базу 1С — на рабочем столе сервера лежал текстовый файл DECRYPT_README.txt с требованием 5 BTC за расшифровку. Все файлы получили расширение .locked2026. Через 40 минут я был на месте — компания арендует офис на Преображенке, ехать недолго.

Картина была классическая для атак на малый бизнес. Зашифрованы оказались:

Сервер 1С на Windows Server 2019 — база торговли (180 ГБ) и зарплаты (12 ГБ)
Файловый сервер на Windows Server 2016 — общие папки бухгалтерии, отдела продаж, юристов (общий объём 1.4 ТБ)
14 рабочих станций из 32 — те, что были включены в пятницу вечером и подключены к сетевым папкам
Бэкапы на NAS Synology — атакующие зашли по SMB-учётке и зашифровали последние 30 снапшотов

Не зашифровано осталось: облако «Яндекс 360» (там сидит почта), CRM в облаке, и — это ключевое — внешний USB-диск, который офис-менеджер раз в неделю по пятницам подключал и копировал на него критичные данные. К счастью, последняя копия датировалась 14 февраля, всего за 6 дней до атаки.

Хронология атаки: как они вошли

Прежде чем что-то восстанавливать, я всегда трачу несколько часов на форензику. Знание точки входа определяет, можно ли продолжать использовать существующую инфраструктуру или придётся переустанавливать всё с нуля. Журналы Windows Security на контроллере домена показали следующее:

Февраль, среда, 02:14 — успешный вход через RDP с IP-адреса в Нидерландах под учёткой admin с паролем Admin2024!. До этого — 3 870 неудачных попыток за месяц с разных IP.
02:18 — атакующий поднял RDP с сервера 1С на остальные серверы (та же связка admin/Admin2024! работала везде).
02:25 — выгрузка ntds.dit через теневую копию, унос на внешний сервер. Это значит, что хеши паролей всех доменных пользователей теперь у атакующих.
02:40 — четверг 23:50 — тишина. Видимо, изучали инфраструктуру и продавали доступ.
Пятница, 22:30 — заход уже под другой учёткой администратора, остановка служб 1С, удаление volume shadow copies через vssadmin delete shadows /all.
22:55 — запуск шифровальщика на серверах. Файлы шифровались около 4 часов.
03:10 субботы — заход на NAS Synology через SMB и шифрование снапшотов.

Главная причина инцидента — порт 3389 был проброшен напрямую в интернет на роутере MikroTik. До нас офис обслуживала «команда из двух человек по абонентке 18 000 руб./мес», которая поставила доступ «чтобы директор мог работать из дома». Никаких VPN, MFA, ограничений по IP, политики блокировки аккаунтов. Пароль Admin2024! попал в утечки давно — мы потом проверили через haveibeenpwned, он там есть с 2024 года.

Первые 4 часа: изоляция и сбор доказательств

В критичный инцидент главное — не сделать хуже. Я никогда не перезагружаю заражённые серверы до сбора форензики, потому что это уничтожит данные в RAM и часть журналов. Действовали мы так:

11:00 — физически отключили офисный роутер от интернет-провайдера. Если атакующие ещё внутри, они должны потерять связь.
11:15 — отсоединили зашифрованные рабочие станции от сети, не выключая.
11:30 — сделали посекторные образы дисков серверов 1С и файлового через FTK Imager на внешний SSD 4 ТБ. На случай, если что-то пойдёт не так с восстановлением — у нас будет точная копия для повторных попыток.
13:00 — собрали Windows Event Logs (Security, System, Application) с обоих серверов и контроллера домена в одну папку EVIDENCE_2026-02-20.
14:30 — позвонил клиенту и предложил план: не платить выкуп, восстанавливать из последней внешней копии + текущих данных в облаке + ручное добивание.

Бухгалтер плакала, директор молчал, я объяснял. Простой день фирмы — около 240 000 руб. упущенной выручки. Восстановление займёт 3–5 дней. Но платить выкуп — это во-первых не гарантия (атакующие часто исчезают с деньгами), во-вторых после оплаты вас почти наверняка взломают повторно, в-третьих 12 миллионов — это годовой бюджет на нормальное IT-обслуживание для них. Они согласились на восстановление.

Восстановление сервера 1С: первый приоритет

1С — кровь любой торговой компании. Без неё нельзя выписать счёт, отгрузить товар, провести оплату. С неё мы и начали в субботу вечером.

План был такой: поднять чистый Windows Server 2022 на свободной виртуалке нашего гипервизора Proxmox, развернуть туда чистую 1С 8.3 платформу, восстановить базу из внешней резервной копии от 14 февраля, дальше — ручное добивание операций за 6 дней.

Сб 18:00 — установили Windows Server 2022 + патчи, подключили в новый домен company.local (старый домен считаем скомпрометированным, поднимать его нельзя).
Сб 21:00 — установили платформу 1С 8.3.24 + сервер 1С + MS SQL Server 2022 Standard.
Сб 23:00 — восстановили базу торговли из .dt файла на USB-диске. Загрузка 180 ГБ заняла 6 часов.
Вс 06:00 — база поднялась, проверили целостность через Конфигуратор → Тестирование и исправление. Результат — OK.
Вс 09:00 — позвонил директору, договорились, что бухгалтерия с 11:00 садится восстанавливать операции 14–19 февраля по бумажным накладным и выпискам банка из «Сбер Бизнес».
Вс 11:00 — Пн 19:00 — три бухгалтера и оператор отдела продаж вручную внесли 1 247 документов реализации, 312 поступлений, 89 платёжек. Не идеально, но работа возобновилась.

База зарплаты восстановилась проще: расчёт за февраль ещё не закрывали, поэтому потеря 6 дней оказалась некритичной — данные в кадровой системе и табелях были на бумаге у HR.

Файловый сервер: компромисс между скоростью и полнотой

1.4 ТБ файлов — это договоры, фотографии товара, маркетинговые макеты, юридические документы за 8 лет. На внешнем USB-диске лежала копия от 14 февраля — но не вся (только папки бухгалтерии и юристов, маркетинг и фото товара бэкапить было «дорого по диску»).

Мы пошли двумя путями параллельно. Первое — подняли новый файловый сервер на Windows Server 2022 и развернули туда то, что было на USB. Это дало 60 % данных с давностью 6 дней.

Второе — попробовали восстановить из теневых копий на самом NAS Synology. Атакующий зашифровал основные данные и снапшоты, но штатная функция Synology BTRFS Snapshot Replication хранит снапшоты на отдельной квоте, до которой шифровальщик не добрался (он работал по SMB и просто не видел эти данные). Мы вытащили снапшот от 19 февраля 23:30 — за 30 минут до атаки. В нём оказалось 92 % всех файлов в актуальном состоянии. Это была большая удача и одновременно урок: NAS с правильно настроенными снапшотами на BTRFS — серьёзный рубеж защиты.

Восстановили полностью к среде, через 4 дня после инцидента. Потеря данных составила оценочно 0.3 % файлов — отдельные документы, созданные в пятницу 19 февраля и не успевшие попасть в снапшот.

Что заменили в инфраструктуре после восстановления

Когда сервисы вернулись, началась самая важная часть работы — hardening. Никто не хочет, чтобы это повторилось. Вот таблица «было — стало» по инфраструктуре офиса:

Узел	Было до атаки	Стало после
Удалённый доступ	RDP 3389 проброшен в интернет	WireGuard VPN на Mikrotik + RDP только из VPN
Аутентификация админов	Логин/пароль	VPN + MFA через Multifactor.ru (TOTP в приложении)
Пароли админов	Один `Admin2024!` везде	LAPS — у каждой машины уникальный 20-символьный пароль
Антивирус	Free версия Avast, не обновлялся 8 месяцев	Kaspersky Endpoint Security Cloud + поведенческий анализ
Бэкапы 1С	На тот же сервер раз в неделю	Veeam Agent на сервер NAS + ежедневная копия в Yandex Cloud Storage
Бэкапы файлов	Снапшоты NAS, доступные шифровальщику	Снапшоты Synology + еженедельный офлайн-диск через умную розетку
Журналирование	Только локальные Event Logs, ротация неделя	Wazuh SIEM на отдельной виртуалке, хранение 90 дней
Обучение сотрудников	Никогда не проводилось	Полугодовой тренинг по фишингу + симуляции через KnowBe4

Бэкап-стратегия 3-2-1 на практике для офиса 30 РМ

После этого инцидента я ещё раз убедился: бэкап, доступный из той же сети, что и боевые серверы, — это иллюзия бэкапа. Шифровальщик зашёл по SMB и спокойно убил снапшоты NAS. Поэтому правило 3-2-1 для офиса до 50 РМ я расшифровываю так:

3 копии данных: оригинал на сервере + копия на NAS + копия в облаке Yandex Cloud Storage / Selectel S3
2 разных типа носителей: SSD/HDD в офисе + объектное хранилище в облаке
1 копия офлайн: внешний HDD на 8 ТБ, который умная розетка Sonoff включает раз в неделю на 4 часа в воскресенье. Шифровальщик физически не может зашифровать диск, который выключен.

Для базы 1С я отдельно настраиваю Veeam Agent с ежедневным инкрементом и еженедельным фуллом. Каждый месяц — обязательный тест восстановления на отдельном стенде. Не «проверим, открывается ли файл», а полноценное поднятие базы и контрольный запрос: «сколько контрагентов?», «сколько проводок за прошлый месяц?». Если цифры сходятся — бэкап рабочий. Этот тест занимает у инженера 2 часа в месяц, и это лучшая страховка из существующих.

Сколько стоила компании эта история и сколько стоила бы профилактика

Давайте посчитаем по факту. Прямые потери торговой компании от инцидента:

4 дня частичного простоя — упущенная выручка ~860 000 руб.
Сверхурочные бухгалтерии (3 человека по 4 дня) — 95 000 руб.
Наша работа по восстановлению (320 часов команды из 4 инженеров) — 540 000 руб.
Закупка нового оборудования (внешний SSD, 2 диска для NAS, лицензия Kaspersky) — 78 000 руб.
Лицензии Veeam Agent + объектное хранилище в Yandex Cloud за год — 47 000 руб.
Репутационный ущерб у двух крупных клиентов, попросивших отчёт об инциденте, — оценить трудно

Итого только в денежном выражении — около 1.62 млн руб. без учёта репутации.

А сколько стоила бы профилактика, если бы офис изначально обслуживался нормально? Тариф «Стандарт» АйТи Фреш для офиса 32 РМ с одним сервером 1С и файловым — 96 000 руб./мес, или 1.15 млн в год. В эту сумму уже включены: VPN с MFA, антивирус Kaspersky, грамотные бэкапы по схеме 3-2-1, мониторинг, плановые обновления Windows и 1С, обучение сотрудников. То есть один год нормального аутсорсинга стоит дешевле, чем один инцидент с шифровальщиком.

Чек-лист: как понять, что ваш офис под угрозой ransomware

Если у вас офис в Москве и хотя бы один из пунктов ниже про вас — пора действовать, не дожидаясь субботнего звонка:

Порт 3389 RDP проброшен в интернет (даже если «на нестандартный порт» — это не защита)
У админов один пароль на все серверы, и пароль не менялся больше года
Бэкапы хранятся только на том же физическом сервере или NAS, доступном по SMB всем
Нет ни одной офлайн-копии (внешний диск, лента, выгрузка в облако)
Антивирус «бесплатный» или установлен «когда покупали ПК»
Никто не помнит, когда последний раз тестировали восстановление из бэкапа
Сотрудники не отличают фишинговое письмо от настоящего
Windows Server старше 2019 без последних обновлений
Сетевое оборудование (роутер, NAS) с прошивкой 2-летней давности

Бесплатный аудит безопасности перед атакой, а не после

Я лично выезжаю в офисы Москвы и в радиусе 50 км от МКАД. За 2–3 рабочих дня вы получите письменный отчёт со списком уязвимостей по периметру, оценкой бэкап-стратегии, проверкой паролей через утечки и сметой на устранение проблем. Без обязательств. После 15 лет в индустрии я могу с порога определить, насколько ваш офис устойчив к ransomware.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по ransomware

Стоит ли платить выкуп шифровальщику?: Нет. По данным ФБР и CISA, 20 % заплативших не получают рабочий ключ, 80 % подвергаются повторной атаке в течение года. Кроме того, финансирование преступников запрещено законодательством ряда стран. Лучше вкладывать деньги в восстановление и защиту.
Как защитить офис в Москве от ransomware?: Базовый минимум: убрать RDP из интернета и пускать админов только через VPN с MFA, использовать офлайн-копию бэкапа (3-2-1), включить EDR/антивирус с поведенческим анализом, обновлять Windows Server и 1С регулярно, обучить сотрудников распознавать фишинг.
Сколько стоит восстановление после шифровальщика?: Для офиса 25–35 рабочих мест с одним сервером 1С — от 280 000 до 850 000 руб. в зависимости от состояния бэкапов и масштаба шифрования. В нашем кейсе расходы на восстановление и hardening составили около 620 000 руб., тогда как выкуп просили 5 BTC (~12 млн руб. на тот момент).
Можно ли восстановить базу 1С после шифрования?: Только из бэкапа. Расшифровать сами файлы DT/CD без ключа атакующего практически невозможно — современные шифровальщики используют AES-256 или ChaCha20. Если бэкапа нет, остаются дорогие услуги лабораторий восстановления данных, и то с шансом 10–30 %.
Сколько занимает полное восстановление офиса после атаки?: Без подготовки — от 4 дней до двух недель. С готовым DR-планом и регулярно проверяемыми бэкапами — 4–8 часов. В нашем кейсе мы вернули критичные сервисы (1С и файловый) за 36 часов, остальное — за 4 дня.