Шифровальщик внутри или сервер упал: что делать в первые 24 часа, чтобы не потерять бизнес

Мне позвонили в семь утра. «У нас всё зашифровано» — голос бухгалтера дрожал, и я уже понимал: это не «завис 1С». За восемь лет работы в IT-обслуживании малого бизнеса я видел такое раз двадцать, не меньше. И каждый раз первые двадцать четыре часа решали — потеряет компания неделю работы или несколько месяцев.

Экран с требованием выкупа или тишина вместо сервера

Есть два сценария, с которых начинается этот разговор. Первый — на мониторе появляется сообщение на ломаном русском или английском: «Your files are encrypted, pay 0.5 BTC to address...». Второй — сервер просто не отвечает. Ничего. Тишина. Оба одинаково неприятны, но требуют немного разных действий в первые минуты, и важно не перепутать их между собой в состоянии паники.

Шифровальщик — это программа, которая тихо работает в вашей сети иногда несколько дней, прежде чем зашифрует файлы. Пока вы пили кофе, она уже прошлась по общим сетевым папкам, добралась до базы 1С, до договоров в PDF, до архива входящей и исходящей почты. Момент, когда вы это замечаете — это не начало атаки. Это её финал. Сама атака уже давно произошла.

Сбой сервера другой природы: может быть аппаратная поломка диска, перегрев, может быть криворукое обновление Windows Server, которое прилетело ночью автоматически и сломало что-то в загрузчике. Был у меня клиент — небольшая юридическая фирма, восемь юристов в офисе на Профсоюзной — у которых в позапрошлом году отвалился RAID-массив. Не взлом. Просто сдохли два диска из четырёх почти одновременно, что статистически случается редко, но случается. Эффект тот же: работа стоит, все в панике, телефон разрывается.

Первые пятнадцать минут: главное — не навредить

Самое важное, что я могу сказать: не перезагружайте сервер. Прямо сейчас, крупными буквами — не надо. Это инстинктивное движение — выключим и включим, авось заработает — в случае шифровальщика уничтожает криминалистические данные и может добить то, что ещё живо. В случае аппаратного сбоя с умирающим диском перезагрузка вообще может быть последним, что вы сделаете перед полной потерей данных.

Что делать вместо этого: физически отключить поражённые машины от сети. Не программно отключить — физически выдернуть сетевой кабель. Отключить Wi-Fi адаптеры на ноутбуках. Если у вас есть управляемый коммутатор — заблокировать порты с подозрительных машин. Цель одна — остановить распространение шифровальщика по сети. Он идёт по всем доступным сетевым ресурсам, пока у него есть доступ. Отрежьте его от сети немедленно. Даже если это означает, что половина офиса временно не работает — это абсолютно правильное решение, и объяснить его сотрудникам несложно.

Параллельно сделайте одно простое действие, которое потом окупится: сфотографируйте экран с сообщением о выкупе на телефон. Запишите точное время, когда вы обнаружили проблему. Запишите, кто первый заметил, что именно он делал в этот момент и что конкретно происходило на экране. Эта информация понадобится для разбора инцидента, для обращения в полицию, для страховщиков если у вас есть киберстрахование. Звучит занудно, когда всё горит. Но потом скажете спасибо.

Первый час: разделить роли и не мешать друг другу

Паника заразна. Это не метафора — когда директор носится по офису и кричит «ну сделайте же что-нибудь», системный администратор делает ошибки. Торопится, пропускает шаги, восстанавливает в грязную среду. Задача руководителя в первый час — организовать людей и буквально не путаться под ногами у технаря, которому нужна тишина и время.

Что делает директор: собирает ключевых людей, вводит режим информационной тишины (никто не говорит клиентам и партнёрам ничего без согласования), связывается с IT-поддержкой если своего специалиста нет или его не хватает. Параллельно думает, какие бизнес-процессы критичны прямо сейчас. Бухгалтерия закрывает квартал? Сегодня плановая отгрузка товара? Есть судебное заседание завтра утром, а все процессуальные документы лежат на сервере? Это определяет приоритеты восстановления, и эту информацию нужно передать IT-специалисту сразу.

Что делает системный администратор или приглашённый IT-специалист: оценивает масштаб поражения — сколько машин затронуто, какие данные зашифрованы, какие файлы ещё живы — смотрит доступные логи Windows и сетевого оборудования, пытается определить точку входа атаки. Это не быстро. Нормальная первичная оценка занимает 30-60 минут. Не требуйте от него «поднять всё за час» — именно такое давление приводит к торопливым решениям и повторным инцидентам через несколько дней.

Резервные копии: момент истины для каждой компании

Всё хорошее или плохое, что произойдёт дальше, зависит от одного-единственного вопроса: когда последний раз делали резервную копию, где она физически хранится и проверялось ли когда-нибудь восстановление из неё? Это тот болезненный момент, когда выясняется, что бэкапы «вроде настроены» — но никто их не проверял полгода. Или что они пишутся на ту же сетевую папку, которую шифровальщик любезно прошёл вместе со всем остальным.

Хорошая новость для тех, кто делал всё правильно: если у вас есть изолированный бэкап — на ленте, на отдельном NAS без постоянного сетевого подключения, в облачном хранилище типа Яндекс Object Storage или любом S3-совместимом сервисе — восстановление займёт часы, а не дни. Мы у клиентов настраиваем Veeam Backup & Replication с репликой на второй площадке или в облаке. Это стоит примерно 30-60 тысяч рублей в год для средней компании на 20-30 машин. Восстановление из такой резервной копии — два-четыре часа против недели простоя. Разница в деньгах несопоставима.

Плохая новость для всех остальных: если бэкапов нет или они тоже зашифрованы — начинается другая, намного более дорогая история. Восстановление данных у специализированных компаний стоит от 50 до 300 тысяч рублей, не гарантирует результат и занимает время. Иногда часть файлов можно извлечь из теневых копий Windows — Volume Shadow Copies — но только если шифровальщик не успел их удалить, а многие современные версии делают это в первую очередь. Поэтому так важно не перезагружать систему и не запускать на ней ничего лишнего раньше времени.

Что и кому говорить — коммуникация в кризис

Первое правило кризисной коммуникации: не молчать внутри и не болтать снаружи раньше времени. Сотрудники должны знать, что происходит — иначе слухи разойдутся значительно хуже реальности и начнётся ненужная паника. Достаточно честного короткого сообщения: «У нас технический сбой, работаем над восстановлением, подробности через час-два». Всё. Не нужно объяснять технические детали и тем более слово «шифровальщик» в общем чате.

С клиентами и партнёрами — аккуратнее и позже. Если сбой влияет на ваши обязательства перед ними — сроки, поставки, подписание документов — нужно уведомить, но только когда у вас есть хотя бы примерные сроки восстановления. Сообщение «мы не знаем, когда это закончится» вызывает больше паники и недоверия, чем «технический инцидент, восстановление займёт до 24 часов, держим вас в курсе». Второй вариант управляет ожиданиями, первый — разрушает их.

Есть и юридический аспект, о котором многие не думают в горячке первых часов. Если у вас хранятся персональные данные клиентов — а они есть у всех без исключения: медицинские клиники, юридические фирмы, торговые компании с физлицами — при подтверждённой утечке вы обязаны уведомить Роскомнадзор в течение 24 часов с момента обнаружения согласно 152-ФЗ с поправками. И ещё раз в течение 72 часов — с деталями инцидента. Штрафы за нарушение этих сроков уже реально назначают: от 60 до 500 тысяч рублей. Это не теоретическая страшилка — это практика последних двух лет.

Восстановление: порядок важнее скорости

Самая распространённая ошибка, которую я вижу снова и снова — торопливое восстановление в грязную среду. Вот как это выглядит на практике: бэкап есть, поднимаем сервер, заливаем данные, «ура, работаем». Через три дня всё снова зашифровано, потому что точка входа так и не была закрыта. Шифровальщик всё это время тихо сидел на одном из рабочих компьютеров в сети и ждал. Я видел такое трижды за свою практику. Каждый раз очень больно — и физически, и финансово.

Правильный порядок один: сначала чистая среда, потом данные. Что значит «чистая среда»: все рабочие станции проверены антивирусом и EDR-решением или переустановлены с нуля, точка входа атаки выявлена и закрыта (будь то фишинговое письмо, открытый в интернет RDP-порт или скомпрометированный пароль учётной записи), все пароли в компании сменены — особенно административные. На это уходит день, иногда два. Зато восстановление делается один раз, а не три.

Восстанавливайте в порядке реальной бизнес-критичности. Сначала то, без чего бизнес физически не работает: для большинства компаний это 1С или CRM-система, корпоративная почта, базовый доступ в интернет. Потом общие сетевые папки с текущими рабочими документами. Потом всё остальное: архивы, старые проекты, вторичные системы. У одного нашего клиента — небольшая торговая компания в Подмосковье — было чёткое правило на такой случай: первым делом поднимаем 1С и базу клиентов. Правило помогло: через шесть часов после инцидента они уже принимали заказы, пусть и без доступа к архивным документам за прошлые годы.

После первых суток: что должно измениться навсегда

Когда острая фаза позади — не дайте компании вернуться ровно к тому, что было до. Это, к сожалению, самый частый сценарий: пережили, выдохнули, успокоились — и через полгода то же самое, потому что корневые причины так и не были устранены. Сделайте честный разбор: как именно вошли, почему бэкап не помог или помог, что реально потеряли в деньгах, в рабочих часах и в нервах. Зафиксируйте письменно.

Минимальный чек-лист на ближайший месяц выглядит так: сменить все пароли во всех системах, включить двухфакторную аутентификацию для RDP-доступа и корпоративной почты, закрыть порт 3389 от всего интернета — оставить только через VPN или по белому списку конкретных IP-адресов, настроить резервное копирование с тестовой проверкой восстановления раз в месяц, установить EDR-решение на все рабочие станции. Это не космос и не миллионные бюджеты. Среднему офису на 20 машин всё перечисленное обойдётся в 80-150 тысяч рублей единовременно плюс небольшие годовые лицензии.

И последнее, что многие недооценивают — обучение обычных сотрудников. Абсолютное большинство атак начинается с фишинга: кто-то открыл вложение из письма «от контрагента», ввёл корпоративный пароль на поддельной странице входа в почту, скачал «обновление для 1С» по ссылке из письма. Пятнадцать минут инструктажа раз в квартал реально и измеримо снижают этот риск. Один наш клиент — медицинская клиника, тридцать человек — сделал простой тест: разослал сотрудникам фишинговое письмо, имитирующее письмо от партнёра. Открыли ссылку и ввели данные 11 человек из 30. После разбора и короткого инструктажа, через три месяца повторили тест — попались двое. Этот метод работает лучше любого антивируса, потому что воздействует на главную уязвимость в любой системе безопасности.

Частые вопросы

Стоит ли платить выкуп шифровальщику?
Мой ответ — нет, и вот конкретные причины. Примерно в 30% случаев деньги уходят, а рабочий ключ расшифровки так и не приходит. Кроме того, платёж фактически помечает вас как «платящего» — и через какое-то время возможна повторная атака или продажа информации о вашей готовности платить другим группировкам. В редких случаях, когда под угрозой уникальные данные без которых бизнес буквально закрывается, это индивидуальное решение — но только после консультации с юристом и специалистом по информационной безопасности, не в панике.

Нужно ли обращаться в полицию после кибератаки?
Стоит, хотя реальная раскрываемость таких дел невысокая — честно скажу. Заявление в отдел «К» МВД создаёт официальную фиксацию факта атаки, что может потребоваться для страховщиков, для объяснений перед налоговой если потеряны первичные документы, или в судебных спорах с контрагентами по срокам. Для подачи заявления нужны скриншоты, время обнаружения и описание произошедшего — ничего сложного. Долго ждать не нужно, просто зафиксируйте факт как можно раньше.

Как понять, что система чистая и можно полноценно работать?
Стопроцентной гарантии не даст никто — говорю это честно, а не чтобы напугать. Рабочий минимум для уверенности: полная проверка всех машин антивирусом и EDR-решением без обнаружений, выявленная и закрытая точка входа атаки, сменённые все пароли, мониторинг сетевого трафика без аномалий в течение 48-72 часов после восстановления. Профессиональные ИБ-компании могут провести форензик-анализ и выдать письменное заключение — это стоит от 80 тысяч рублей, но для компаний с чувствительными данными или жёсткими требованиями регуляторов эти деньги абсолютно оправданы.

Мы маленькая компания — кому нужно нас взламывать?
Это самое распространённое заблуждение, которое я слышу регулярно. Шифровальщики не выбирают жертву вручную — они распространяются автоматически через массовые фишинговые рассылки и сканирование уязвимых портов. Если ваш RDP-порт открыт в интернет, вас найдут роботы, которые непрерывно сканируют весь диапазон IP-адресов — это происходит каждые несколько часов без остановки. Среди наших клиентов, попавших под атаку, были бухгалтерские фирмы на пять человек, стоматологические клиники, небольшие оптовые склады. Размер компании вас не защищает совсем.