Чек-лист защиты от шифровальщиков для офиса до 50 ПК

За последние полтора года через нашу горячую линию прошли семь обращений от московских юрлиц с шифровальщиками в продуктивной сети. Шесть из них к нам никогда не обращались до атаки, а пятеро были уверены, что их «не взломают, потому что бизнес небольшой». Этот чек-лист — выжимка того, что я внедряю у клиентов ITfresh, чтобы их имя не попало в восьмой инцидент. Без идеализма, без покупки решений на миллионы — только то, что работает в офисе на 20-50 человек.

Почему ваш офис тоже в группе риска

В 2026 году ransomware-операторы работают по конвейеру. Initial Access Brokers (IAB) сканируют интернет на открытые RDP, VPN с CVE, забытые порты на роутерах. Найденный доступ продаётся в Telegram-каналах за 200-2000 долларов. Покупатели — affiliate-команды шифровальщиков, которым всё равно, кто вы: производство строительных материалов, бухгалтерская фирма или клиника красоты. Шифрование 25 ПК и сервера 1С парализует бизнес минимум на неделю.

По нашим оценкам средний ущерб для среднего и малого бизнеса в Москве за 2025 год — от 1.5 до 8 миллионов рублей с учётом простоя, восстановления, реконструкции данных и репутационных потерь. Профилактика стоит в десятки раз дешевле. Поехали по списку.

Раздел 1. Бэкап — единственное, что реально спасает

Если у вас правильный бэкап — шифровальщик это сутки простоя и неприятный отчёт. Если неправильный или его нет — это конец бизнеса. Я начинаю с бэкапа в любом проекте по защите от ransomware.

1.1. Правило 3-2-1-1-0. Три копии данных, на двух разных типах носителей, одна копия offsite (вне офиса), одна immutable (которую нельзя удалить даже учётке с правами админа), ноль ошибок при тестовом восстановлении.

1.2. Бэкап-сервер не в домене. Это критично. Шифровальщик с правами Domain Admin за 20 минут проходит по всем серверам, входящим в домен, и сначала шифрует именно бэкапы. Бэкап-сервер должен быть либо отдельной Windows-машиной с собственными локальными учётками, либо Linux-NAS (например QNAP или Synology) с собственной системой авторизации.

1.3. Учётка для записи в бэкап-хранилище — не используется нигде, кроме как агентом бэкапа. Длинный пароль, в Domain Admins нет, на рабочих станциях не логинится никогда.

1.4. Immutable-копия в облако. Минимум раз в неделю — копия в S3-совместимое хранилище (Yandex Object Storage, VK Cloud Storage) с включённым Object Lock на 30+ дней. Шифровальщик до этой копии не доберётся даже теоретически.

1.5. Софт. Для малого офиса — Veeam Backup & Replication (Community Edition бесплатно до 10 рабочих нагрузок) или Кибер Бэкап (импортозамещение). Не используйте встроенный Windows Server Backup как единственное решение — он не делает дедупликацию и не умеет в облачное хранение «из коробки».

1.6. Расписание. Боевые серверы (1С, файлы, AD) — ежесуточно полная копия + почасовые инкременты в рабочее время. Рабочие станции — образ системы раз в неделю + резервное копирование пользовательского профиля и Documents через Roaming Profiles или Folder Redirection на файловый сервер.

1.7. Тестовое восстановление. Раз в квартал — полное восстановление случайной VM в изолированной сети. Без этого вы не знаете, рабочий у вас бэкап или нет. У одного клиента мы на третьей итерации обнаружили, что бэкапы 1С восстанавливались, но без recovery_password от dt — невалидно.

1.8. Ретеншн. Минимум 30 дней инкрементов + 12 месячных полных копий. Шифровальщик иногда сидит в сети 2-4 недели до активации — нужна возможность откатиться на состояние ДО того, как он попал внутрь.

Раздел 2. Учётные записи и привилегии

2.1. Никаких локальных админов у пользователей. Бухгалтер не должен быть админом своего ПК. Если ей нужно установить обновление 1С — это делает ваш инженер за пять минут удалённо. Снимаем права через AD (удаление из локальной группы Administrators) GPO Group Policy Preferences либо PowerShell-скриптом.

2.2. Windows LAPS — обязательно. Уникальные пароли локального администратора на каждом ПК, хранятся в AD, ротируются автоматически. Развёртывается одной GPO. Закрывает атаку Pass-the-Hash, при которой злоумышленник с одного скомпрометированного ПК ходит по всему офису.

Update-LapsADSchema
Set-LapsADComputerSelfPermission `
  -Identity "OU=Workstations,DC=corp,DC=client,DC=ru"

2.3. Принцип наименьших привилегий для админов. В Domain Admins — две учётки максимум: рабочая (используется только с jump-сервера) и break-glass (пароль в сейфе, не используется в обычной работе). Остальные роли — через делегирование на конкретные OU.

2.4. MFA на всё, что смотрит в интернет. RDG, VPN, веб-почта, корпоративный портал — обязательно с многофакторной аутентификацией. Можно через Yandex 360, Microsoft Authenticator, Aladdin JaCarta, токены RuToken.

2.5. Запрет интерактивного логона для сервисных учёток. Через GPO User Rights Assignment → Deny log on locally / Deny log on through Remote Desktop Services. Сервисная учётка для 1С не должна иметь возможности залогиниться в Windows.

2.6. Group Managed Service Accounts (gMSA). Для сервисов, поддерживающих gMSA — переходим на них. Пароль ротируется автоматически каждые 30 дней силами AD, никто его никогда не видит.

Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
New-ADServiceAccount -Name "gmsa-1c-app01" `
  -DNSHostName "1c-app01.corp.client.ru" `
  -PrincipalsAllowedToRetrieveManagedPassword "1C-APP01$"

Раздел 3. Защита периметра и удалённого доступа

3.1. Никакого RDP в интернет. Прямо открытый порт 3389 — это самоубийство. Только через VPN с MFA или RDP Gateway с MFA на стороне шлюза. Если в ваших правилах файрвола есть allow tcp/3389 from any to any — закрываем сегодня же.

3.2. VPN с MFA. WireGuard или OpenVPN с двухфакторкой через Pritunl, Yandex Authenticator или TOTP. Не используем PPTP (давно сломан) и L2TP без сертификатов (брут).

3.3. Geo-IP блокировка. На NGFW (pfSense, Mikrotik с geoip-list, Sangfor, Ideco) блокируем входящие соединения из стран, откуда у вас сотрудники не работают. Это срезает 90% автоматических сканов.

3.4. Сегментация сети. VLAN для пользователей, VLAN для серверов, VLAN для гостевого Wi-Fi, VLAN для IP-камер и IoT, VLAN для админ-доступа. Между сегментами — только разрешённые порты. Шифровальщик в гостевом Wi-Fi не должен иметь возможность достучаться до сервера 1С.

3.5. Закрытие SMB и WMI на периметре. Порты 135, 137, 138, 139, 445, 3389 — никогда не должны быть открыты в интернет. На внутреннем периметре — только между нужными сегментами.

3.6. DNS-фильтрация. Yandex DNS Family, NextDNS, AdGuard DNS Business — блокируют известные C2-домены и фишинг на уровне резолвинга. Стоит копейки, эффект ощутимый.

Раздел 4. Контроль запуска приложений

4.1. AppLocker для рабочих станций бухгалтерии и руководства. Через GPO Computer Configuration → Windows Settings → Security Settings → Application Control Policies → AppLocker. Базовые правила:

• Executable Rules: Allow всё из C:\Program Files и C:\Windows + Deny запуск из %TEMP%, %APPDATA%, %LOCALAPPDATA%;
• Script Rules: Deny выполнение .ps1, .vbs, .bat, .js для пользователей не из IT;
• Packaged App Rules: Allow подписанные Microsoft.

Не забываем: служба Application Identity (AppIDSvc) должна быть в режиме Automatic — иначе AppLocker не работает.

4.2. SmartScreen в Windows Defender. Computer Configuration → Administrative Templates → Windows Components → Windows Defender SmartScreen. Block для unrecognised apps, Block для downloads.

4.3. Office Macros — блокировать. GPO для Office: Block macros from running in Office files from the Internet. Это закрывает огромный класс атак через xlsm и docm в почте.

# Через GPO либо реестр напрямую:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Word\Security" `
  -Name "BlockContentExecutionFromInternet" -Value 1 -Type DWord
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Excel\Security" `
  -Name "BlockContentExecutionFromInternet" -Value 1 -Type DWord

4.4. Attack Surface Reduction (ASR) в Microsoft Defender. Включаем правила, которые блокируют типичные техники ransomware:

Set-MpPreference -AttackSurfaceReductionRules_Ids `
  "BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550", `  # block executable content from email
  "D4F940AB-401B-4EFC-AADC-AD5F3C50688A", `  # block office child processes
  "3B576869-A4EC-4529-8536-B80A7769E899", `  # block office app extension creation
  "75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84", `  # block office injection
  "D3E037E1-3EB8-44C8-A917-57927947596D", `  # block JS/VBS launching downloaded executable
  "5BEB7EFE-FD9A-4556-801D-275E5FFC04CC", `  # block obfuscated scripts
  "C1DB55AB-C21A-4637-BB3F-A12568109D35"     # use advanced protection against ransomware
  -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled

4.5. Controlled Folder Access. Защита папок «Мои документы», рабочего стола и общих шар от изменения неавторизованными приложениями.

Set-MpPreference -EnableControlledFolderAccess Enabled
Add-MpPreference -ControlledFolderAccessProtectedFolders `
  "C:\Users\Public\Documents","\\fs01\share-buh"

Раздел 5. EDR и мониторинг

5.1. EDR обязателен. Антивирус по сигнатурам в 2026 году ловит 30-40% угроз. Современный шифровальщик упакован, обфусцирован и распознаётся только по поведению. EDR-кандидаты для российского клиента: Kaspersky EDR Optimum / Expert, MaxPatrol EDR, BI.ZONE EDR, R-Vision EDR. Цена — от 1500 рублей за хост в месяц.

5.2. SIEM или хотя бы централизованный лог-сервер. Wazuh — бесплатный open source с готовыми правилами под ransomware-индикаторы. Для офиса 50 ПК хватает одного сервера на 8 GB RAM и 500 GB SSD. Туда летят логи Windows, файрвола, EDR, VPN.

5.3. Алерты на критичные события. 4625 (failed logon) с порогом 20 за минуту, 4768/4769 с RC4 от современных клиентов (Kerberoasting), 4720/4724 (создание учётки/смена пароля Domain Admin вне рабочих часов), 4688 с подозрительной командной строкой (powershell -enc, certutil -urlcache).

5.4. Аудит файлового сервера. Включаем object access auditing на критичных шарах (бухгалтерия, юридический, договора). При шифровании 1000 файлов за минуту от одного пользователя — алерт за минуту до того, как доберутся до базы.

5.5. Honeypot-файлы. На общих шарах раскладываем файлы-приманки с именами, которые ransomware шифрует первыми (1AA_passwords.xlsx, accounts.docx). При изменении этих файлов — мгновенный алерт через FileSystemWatcher.

Раздел 6. Гигиена обновлений

6.1. WSUS или Microsoft Update for Business. Централизованное управление обновлениями. Скользящее окно: тестовая группа на 3 ПК → пилот через 5 дней → массовая раскатка через 10 дней. Критичные CVE с активным эксплойтом — немедленно.

6.2. Обновление third-party софта. Adobe Reader, браузеры, Java, 7-Zip — патч-менеджмент через PSADT, ManageEngine Patch Manager или Kaspersky Vulnerability and Patch Management.

6.3. Удаление EOL-софта. Никаких Windows 7 в сети. Никаких Server 2012/R2 (EOL октябрь 2023). Никаких неподдерживаемых версий 1С Платформы. Если железо не тянет Windows 11 — апгрейд железа или вынос в изолированный VLAN без интернета.

6.4. Прошивка сетевого оборудования. Mikrotik, Cisco, HPE/Aruba — обновляем минимум раз в квартал, критичные уязвимости — немедленно. Mikrotik с RouterOS < 6.49 — это решето, через которое влетает CVE-2018-14847.

6.5. Гипервизор. ESXi, Hyper-V, Proxmox — патчим по тому же расписанию. ESXi-серверы массово ловили шифровальщики (ESXiArgs) именно из-за неустановленных обновлений.

Раздел 7. Почта — главные ворота

7.1. SPF, DKIM, DMARC настроены и в режиме reject. Без этого ваш домен — золотой ключ для фишинга от вашего имени.

7.2. Sandbox для вложений. Mail.ru Threat Protection, Yandex Mail Pro с защитой от фишинга, Kaspersky Security for Mail Server, или внешний шлюз вроде CheckPoint Threat Emulation. Каждое вложение проходит динамический анализ в песочнице до доставки в почтовый ящик.

7.3. Блокировка опасных типов файлов. На уровне почтового шлюза запрещаем .exe, .ps1, .bat, .vbs, .js, .scr, .cmd, .hta, .iso, .img, .vhd. Для архивов — рекурсивная распаковка и сканирование внутри (включая .zip с паролем — содержимое сразу в спам).

7.4. Внешние письма с пометкой [EXTERNAL]. На уровне почтового сервера добавляем префикс к теме всех писем извне домена. Это снижает success rate фишинга от «коллег».

7.5. Защита от подмены отправителя. Anti-impersonation: правила, которые ловят письма от «директор @ конкурирующий-домен.ru» с именем реального директора в From.

Раздел 8. Защита AD и инфраструктуры

8.1. Двойной сброс krbtgt каждые 180 дней. Профилактика Golden Ticket. Используем штатный скрипт Microsoft New-KrbtgtKeys.ps1, два сброса с интервалом 10-24 часа.

8.2. Отключение SMBv1 и NTLMv1. Обязательно везде. Через GPO + проверка PowerShell-скриптом на всех хостах.

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Set-SmbServerConfiguration -RequireSecuritySignature $true `
  -EnableSecuritySignature $true -Force

8.3. Изоляция контроллеров домена. Отдельный VLAN, файрвол с whitelist портов, RDP только из административной подсети, никаких сторонних ролей (1С, файлы, антивирусная консоль).

8.4. Tier-модель администрирования. Tier 0 (DC, инфраструктура AD) администрируется только с выделенных PAW (Privileged Access Workstations). Учётка с правами Domain Admin никогда не логинится на рабочую станцию пользователя.

8.5. AD Recycle Bin включён. Восстановление случайно удалённых OU и пользователей за минуту.

8.6. Защита бэкапов VSS. Шифровальщики любят удалять Volume Shadow Copies. Через GPO запрещаем выполнение vssadmin для не-администраторов через AppLocker, мониторим Event ID 8224 (создание VSS) и 8194 (удаление).

Раздел 9. Обучение пользователей

9.1. Регулярные фишинговые симуляции. Раз в квартал через GoPhish (open source) или Kaspersky ASAP. Цель — не наказать, а измерить и обучить. Click-rate 30%+ — нужно усилить обучение.

9.2. Обязательный курс ИБ для новых сотрудников. Минимум 2 часа: распознавание фишинга, безопасные пароли, что делать при подозрении на инцидент. У нас в ITfresh клиенты используют для этого Kaspersky ASAP, Yandex Practicum или собственные видео-курсы.

9.3. Внутренний канал «Сообщить о подозрительном письме». Кнопка «Это фишинг» в почтовом клиенте, выделенный адрес security@company.ru, телеграм-бот для пересылки скриншотов. Чем проще пожаловаться — тем больше инцидентов вы поймаете на ранней стадии.

9.4. Психологическая безопасность. Сотрудник, который кликнул на фишинг, должен бояться шифровальщика, а не наказания от руководства. Иначе он будет молчать, а вы узнаете об инциденте, когда станет поздно.

9.5. Контроль USB. Через GPO — белый список разрешённых USB-устройств по VID/PID, либо полный запрет mass storage с разрешением только клавиатур и мышей.

Раздел 10. План реагирования на инциденты (IRP)

План должен лежать в распечатанном виде в сейфе и в облачном хранилище. На случай, если шифровальщик зацепит и почту, и Wiki.

10.1. Состав команды реагирования. Кто принимает решения (генеральный директор), кто координирует технику (CIO или внешний подрядчик), кто общается с прессой (PR), кто звонит юристам, кто общается с клиентами и партнёрами.

10.2. Протокол первых 30 минут. Изолировать заражённые ПК физически (выдернуть кабель, выключить Wi-Fi), но не выключать. Заблокировать заражённого пользователя в AD. Изолировать сегмент сети. Уведомить команду реагирования. Не платить выкуп, не общаться с атакующими без юриста.

# Быстрая блокировка пользователя в AD
Disable-ADAccount -Identity "ivanov"
Set-ADUser -Identity "ivanov" -Description "ATTACK $(Get-Date -Format 'yyyy-MM-dd')"

# Сброс сессий пользователя
quser /server:fs01 ivanov | Select-String "ivanov"
logoff  /server:fs01

# Получение списка процессов на подозрительном хосте
Get-Process -ComputerName "PC-BUH-05" | Where-Object {$_.CPU -gt 100}

10.3. Контакты подрядчиков и регуляторов. Список телефонов: ИБ-подрядчик 24/7, юрист, страховщик, региональный CERT (для России — ФинЦЕРТ Банка России для финсектора, Госсопка для значимых объектов), полиция (отдел «К»).

10.4. Сценарий восстановления. Документ, описывающий порядок: какие сервисы восстанавливать первыми, откуда брать бэкапы, кто проверяет целостность, кто принимает решение о возвращении в эксплуатацию. Без этого восстановление превращается в хаос.

10.5. Тренировка раз в полгода. Сценарий «понедельник, 9 утра, бухгалтерия не может открыть базу 1С, на экранах записка ransomware». Засекаем время от обнаружения до полного восстановления. Если уложились в 24 часа — вы готовы. Если за 48 часов не восстановились — ищем слабые звенья.

10.6. Юридическая часть. Если в зашифрованных данных есть персональные данные — уведомление в Роскомнадзор за 24 часа (с октября 2025 года требование стало строже). Если у клиента подписан DPA — уведомление контрагентам.

Краткий чек-лист «закрыть всё за две недели»

Если у вас офис 30-50 ПК и вы хотите быстро поднять защиту, — вот минимум, который мы внедряем за две рабочие недели:

1. Бэкап на отдельный сервер не в домене + копия в S3-облако с object lock — день 1-2.
2. Тестовое восстановление одной VM из бэкапа — день 3.
3. Снятие локальных админов у пользователей + Windows LAPS — день 4.
4. GPO с парольной политикой, отключением SMBv1 и NTLMv1, SmartScreen, ASR rules — день 5.
5. Закрытие RDP и SMB на периметре, перевод удалёнки на VPN с MFA — день 6-7.
6. EDR на все хосты, базовые алерты в SIEM — день 8-9.
7. AppLocker на рабочих станциях бухгалтерии и руководства — день 10.
8. Защита почты (DMARC reject, sandbox для вложений, блокировка опасных типов) — день 11.
9. Аудит файловых шар + honeypot-файлы — день 12.
10. План реагирования на инциденты + первая фишинговая симуляция — день 13-14.

Этот минимум закрывает 80-90% типовых атак. Дальше — постепенное доведение до соответствия CIS Benchmark Level 2, MITRE ATT&CK Coverage, регулярные пентесты.

FAQ

Сколько стоит восстановиться после атаки шифровальщика для офиса 30 человек?
По нашим данным за 2024-2025 годы — от 1.5 до 8 миллионов рублей: восстановление инфраструктуры с нуля, реконструкция данных, простой бизнеса 5-14 дней, репутационные потери. Платить выкуп — не вариант: половина случаев заканчивается тем, что данные не возвращают даже после оплаты, и компания попадает в базу платящих, после чего атака повторяется через полгода.

Если у нас уже есть антивирус, нужен ли ещё EDR?
Антивирус по сигнатурам в 2026 году ловит 30-40% угроз. Современные шифровальщики упакованы, обфусцированы, используют Living-off-the-Land (легитимные утилиты Windows вроде PowerShell и WMI). Только EDR с поведенческим анализом видит цепочку «word запустил powershell, который скачал с .ru-сайта exe и зашифровал документы». Антивируса недостаточно — это уже не дискуссионный вопрос.

Какое правило бэкапа считается достаточным в 2026 году?
Правило 3-2-1-1-0: три копии данных, на двух разных типах носителей, одна копия offsite, одна immutable (нельзя удалить), ноль ошибок при тестовом восстановлении. Минимум для офиса 30 человек: ежедневные бэкапы на NAS не в домене, еженедельные копии в S3-облако с object lock, ежеквартальное полное восстановление в изолированной среде. Без проверки восстановления бэкапа не существует.

Что делать в первые 30 минут после обнаружения шифровальщика?
Изолировать заражённые ПК физически (выдернуть кабель, выключить Wi-Fi), но не выключать — память важна для расследования. Заблокировать заражённого пользователя в AD (Disable-ADAccount). Изолировать сегмент сети на коммутаторе. Не платить выкуп, не общаться с атакующими без юриста. Связаться с подрядчиком по ИБ и (опционально) с правоохранительными органами. Параллельно — оценить целостность бэкапов, не подключая бэкап-сервер к заражённой сети.

Сколько стоит развернуть полную защиту от ransomware для офиса 50 ПК?
Базовый минимум (GPO hardening, AppLocker, бэкап 3-2-1, MFA на критичные сервисы) внедряется силами одного инженера за 2-3 недели — 40-60 часов работ ITfresh. EDR — от 1500 рублей за хост в месяц. Бэкап-софт Veeam Foundation — бесплатно для трёх VM, дальше от 90 тыс рублей за лицензии. Для офиса 50 ПК полный пакет защиты обходится в 25-50 тыс рублей в месяц текущих расходов плюс 200-400 тыс единоразово на внедрение.