Восстановление после шифровальщика: пошаговый план для малого бизнеса без штатного ИБ
Полтора года назад мне позвонил директор бухгалтерской фирмы в три часа ночи. Голос дрожал: «Женя, всё лежит, на всех компах текстовый файл с требованием денег в биткоинах». С тех пор таких звонков было ещё семь — торговая компания, юрфирма, две медклиники, производство мебели. Расскажу не про то, как делать бэкапы — это вы и так знаете. Расскажу, что делать в первые часы, когда бэкапы уже не спасли и часы буквально решают, выживет бизнес или нет.
Первый час: не дёргайте вилку из розетки
Инстинкт у всех один — выключить всё немедленно, как будто это пожар. Не надо. Резкое выключение сервера с работающей базой 1С может добить то, что шифровальщик ещё не успел добить. А ещё вы теряете содержимое оперативной памяти, где иногда лежит ключ шифрования или следы процесса-шифратора, которые потом помогут понять, чем вас накрыло.
У клиента-мебельщика бухгалтер в панике выдернула шнур питания из сервера 1С прямо во время формирования отчёта. База потом восстанавливалась три дня вместо одного — просто потому что файл базы данных оказался повреждён не шифровальщиком, а некорректным завершением работы. Правильно — завершить работу штатно, если система ещё откликается, либо перевести в спящий режим, если не откликается вообще.
И да, фотографируйте всё на телефон. Экран с требованием выкупа, список файлов с новым расширением, время атаки по системным часам. Это не паранойя — это то, с чем потом будет работать любой специалист по расследованию, включая полицию, если вы туда обратитесь.
Изоляция сети — отключайте всё, что можно отключить
Шифровальщик редко атакует один компьютер. Обычно он уже гуляет по сети через RDP, через общие папки, через тот самый сервер, к которому у всех есть доступ. Первая задача — не дать ему двигаться дальше. Физически выдёргивайте сетевые кабели из заражённых машин, выключайте wifi-адаптер, на роутере отключайте интернет целиком, если есть такая возможность одной кнопкой.
У юридической фирмы на Тверской в 2025 году шифровальщик зашёл через незапароленный RDP на сервере терминалов — сотрудник подключался из дома, порт 3389 висел открытым наружу два года. Пока директор пытался дозвониться до эникейщика, за сорок минут шифровальщик успел добраться до трёх из пяти рабочих станций и до сетевого хранилища с архивом договоров. Если бы сеть разорвали в первые десять минут, спасли бы половину.
Отдельно — не подключайте к заражённой сети флешки и внешние диски, на которых лежат бэкапы. Именно так теряют последнюю надежду: диск с копией втыкают в заражённый компьютер «просто проверить», и через двадцать минут копия тоже зашифрована. Бэкап-диск подключается только к заведомо чистой машине, физически отрезанной от остальной сети.
Считаем ущерб: что легло и что уцелело
Пока сеть разорвана, составляйте список — какие серверы и станции пострадали, какие папки зашифрованы, какое расширение файлов появилось (это важно для идентификации конкретного семейства вредоноса). Отдельно проверьте, добрался ли шифровальщик до сетевых хранилищ, до почтового сервера, до бухгалтерской базы, до CRM.
Проверка бэкапов — самый нервный момент. Подключаете последнюю резервную копию к изолированной машине без сети и смотрите: файлы читаются, база разворачивается, дата копии совпадает с ожидаемой. У клиники в Медведково был Veeam с ежедневным бэкапом — только вот бэкап писался на тот же сервер, что и рабочие данные. Шифровальщик зашифровал заодно и архив резервных копий. С тех пор всем клиентам говорю: копия должна физически лежать в другом месте, а лучше — в двух.
Если копии есть и они целые — вы в хорошей позиции, дальше просто вопрос времени на восстановление. Если копий нет или они тоже пострадали — переходите к варианту через переговоры или через инструменты расшифровки, но об этом дальше.
Кому звонить в первую очередь
Первый звонок — своему ИТ-подрядчику или штатному админу, если он есть. Не в панике, а с готовым списком: что зашифровано, что отключено, какие бэкапы проверены. Это экономит час разговора и час нервов.
Если атака затронула клиентскую базу с персональными данными — паспорта, медкарты, договоры с физлицами — по 152-ФЗ у вас есть обязанность уведомить Роскомнадзор в течение 24 часов о факте инцидента и в течение 72 часов о результатах расследования. Многие директора малого бизнеса об этом просто не знают, а штраф за несообщение отдельный от штрафа за саму утечку.
В полицию обращаться можно и нужно, если готовы к тому, что оборудование заберут на экспертизу — иногда на недели. Для банковских организаций и тех, кто с ними связан платежами, есть ФинЦЕРТ Центробанка — туда сообщают отдельно. Решение звонить или нет — ваше, но помните: чем больше атак зафиксировано официально, тем больше давления на законодателей ужесточать ответственность за такие вещи.
Платить ли выкуп
Здесь у меня твёрдое личное мнение, и оно не совпадает с тем, что иногда советуют «для скорости». Платить — плохая идея почти всегда. Статистика по компаниям, которые платили, показывает: в 20-30 процентах случаев ключ вообще не присылают или он не работает. А сумму просят немаленькую — я видел требования от 300 тысяч рублей за небольшую сеть до полутора миллионов за производственное предприятие с сотней компьютеров.
Есть и второй момент. Заплатив один раз, вы подтверждаете злоумышленникам, что ваша компания платит. Есть случаи, когда через полгода тот же злоумышленник или его коллеги возвращаются с повторной атакой, зная, что деньги в этой компании дают.
Единственная ситуация, где переговоры оправданы — когда данные критичны, бэкапов нет вообще, а бизнес физически не выживет без этих файлов. И даже тогда переговоры лучше вести через специалистов, которые знают, как торговаться и как проверить, что дешифратор реально рабочий, прежде чем переводить деньги.
Восстановление из бэкапа: пошагово
Первое правило — не восстанавливайте в заражённую сеть. Поднимаете чистый сервер, желательно на новом или полностью переустановленном железе, физически отделённом от старой сети. Устанавливаете Windows Server с нуля, ставите все обновления, антивирус, и только потом начинаете разворачивать данные из копии.
Второе — восстанавливаете не всё подряд, а по приоритету. Сначала то, без чего бизнес не работает физически: база 1С для отгрузок, база записи пациентов для клиники, сервер с договорами для юрфирмы. Почта и файловые архивы — во вторую очередь.
У торговой компании в Подольске мы восстанавливали сеть из 40 рабочих станций и сервера 1С за трое суток — именно потому что копия Veeam лежала на отдельном NAS, к сети не подключённом постоянно, а подключаемом только на время бэкапа по расписанию. Это правило «air gap» звучит банально, но именно оно спасло компанию от простоя на две недели. После восстановления обязательно меняете все пароли — вообще все, включая учётки сервисов и роутера, потому что если злоумышленник был в сети, он мог оставить себе запасной вход.
Если бэкапов нет вообще
Такое бывает чаще, чем хотелось бы. Первое, что стоит проверить — теневые копии Windows, VSS. Многие шифровальщики их удаляют специально, но не все и не всегда успешно, особенно если атака была прервана на середине.
Второе — сайт No More Ransom, совместный проект Европола и антивирусных компаний. Там собраны бесплатные дешифраторы для десятков семейств шифровальщиков, у которых уже нашли уязвимости в алгоритме. Шанс небольшой, но проверить нужно обязательно, прежде чем платить кому-либо хоть копейку.
Если ничего не помогло — придётся восстанавливать процессы с нуля. Это больно, долго и дорого, но это ещё один аргумент в пользу того, почему бэкап должен быть не один и не в одном месте. У клиники, которая потеряла базу пациентов полностью, восстановление заняло два месяца ручного ввода данных из бумажных карт — притом что бумажные карты, к счастью, ещё вели параллельно.
После восстановления: закрываем дыры, чтобы не повторилось
Атака почти никогда не происходит просто так. Открытый RDP наружу, старый пароль администратора, отсутствие многофакторной аутентификации, устаревшая версия сервера без обновлений — обычно виновата одна из этих причин, а часто несколько сразу.
После восстановления обязательно проведите разбор — как именно проникли, что позволило шифровальщику распространиться по сети, почему антивирус не среагировал. Закройте RDP наружу или переведите его за VPN, включите MFA хотя бы для администраторских учёток, сегментируйте сеть так, чтобы одна заражённая станция не могла достать до всей инфраструктуры.
И проверяйте бэкапы регулярно — не факт наличия копии, а факт того, что из неё реально можно восстановиться. Раз в квартал делайте тестовое восстановление на отдельной машине. Звучит как лишняя работа, но именно она отличает компанию, которая переживёт атаку за три дня, от той, что закроется на две недели или не откроется вообще.
Частые вопросы
Сколько стоит восстановление после шифровальщика для компании на 20-30 рабочих мест
Если есть рабочий бэкап — обычно от 80 до 250 тысяч рублей на работы специалистов плюс возможные затраты на новое железо. Если бэкапов нет и данные восстанавливаются вручную или частично теряются, счёт может уйти за миллион с учётом простоя бизнеса и потерянных заказов.
Можно ли расшифровать файлы бесплатно без оплаты выкупа
Иногда да. Загляните на сайт No More Ransom — там бесплатные дешифраторы для многих известных семейств шифровальщиков. Шанс зависит от того, какой конкретно вредонос вас атаковал и нашли ли в его алгоритме уязвимость. Проверить стоит всегда, это займёт час, а не деньги.
Нужно ли увольнять админа, если атака произошла по его недосмотру
Не спешите. Сначала разберитесь, была ли это его ошибка или системная проблема — отсутствие бюджета на нормальную защиту, никем не согласованные исключения в фаерволе, давление сверху «сделать быстрее и подешевле». Часто увольнение одного человека решает эмоциональный вопрос, но не решает техническую дыру.
Как быстро в идеале компания должна восстановиться после атаки
При нормально организованных бэкапах и заранее продуманном плане критичные системы поднимаются за 24-48 часов, полное восстановление всей инфраструктуры — за трое-пятеро суток. Без плана и без проверенных копий счёт идёт на недели, а иногда бизнес вообще не открывается заново.
Если хотите, чтобы за инфраструктурой следили постоянно, а не разбирались с последствиями постфактум, напишите нам — обсудим, как выстроить защиту под ваш бизнес.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
