Top.Mail.Ru
prod@atomsoft.info
+7 343 226-02-31
Согласие на обработку данных
• оферта
Согласие на обработку данных • оферта
Контакты
Кейсы
Партнерам
Услуги
Цены
Продукты
Контакты
Кейсы
Партнерам
Услуги
Цены
Продукты
Продукты
Услуги
Разработка сайта
Переход между 1С
Маркетинг
Внедрение CRM
1С аутсорсинг
Внедрение 1С
Проектирование 1C
Партнерам
Предложения
Продвижение
Совместная разработка
Контакты
О компании
Руководитель
Info@artsoft.club
Отдел по сотрудничеству
Отдел продаж
Кейсы
prod@atomsoft.info
+7 343 226-02-31
Цены
Prod@atomsoft.info
prod@artsoft.club
+7 343 226-02-31
+7 343 226-02-31
Coop@artsoft.club
+7 902 401 8461
Coop@artsoft.club
+7 902 401 8461
Info@artsoft.club
Контакты
Кейсы
Партнерам
Услуги
Цены
Продукты
+7 343 226-02-31
prod@artsoft.club
Coop@artsoft.club
Info@artsoft.club
+7 902 401 8461
О компании
WhatsApp
Телеграм
ВК
Связаться с нами
Отдел продаж
Prod@atomsoft.info
+7 343 226-02-31
Отдел по сотрудничеству
Coop@artsoft.club
+7 902 401 8461
Руководитель
Info@artsoft.club
Связаться с нами
Система управления запасами ddmrp
DD FLOW
Информационно
технологическое сопровождение программ 1С
ИТС
kilbil
Система лояльности для конфигураций 1С
Продукты
Управление складом на основе УТ 11
WMS
Управление персоналом
Акции
Sber CRM
Связаться с нами
Индивидуальное внедрение конфигураций 1С
Разработка сайта
Маркетинг
Консалтинг
Внедрение 1C
Проектирование 1С
Индивидуальная
разработка программ
Услуги
Отдел программистов и руководитель
1С аутсорсинг
Настройка CRM
под ваши требования
Внедрение CRM
Акции
Связаться с нами
Поможем внедрить ваш продукт в эко-систему 1С
Совместная разработка
Продвижение
Рекомендуйте нас знакомым
и получайте вознаграждение
Партнерам
Мы всегда рады сотрудничеству
и готовы рассмотреть ваши идеи
Предложения
Текст скопирован в буфер обмена!
Текст скопирован в буфер обмена!
Текст скопирован в буфер обмена!
Текст скопирован в буфер обмена!
Текст скопирован в буфер обмена!
Атомсофт новости

Вирусы шифровальщики против 1С: как они атакуют и как защитить бизнес

Что за шифровальщики и как они проникают в систему?
Вирус-шифровальщик – это вредоносная программа, которая шифрует файлы и требует выкуп за их расшифровку. Проще говоря, она превращает ваши данные (документы, базы 1С и прочее) в нечитаемый «салат» символов и обещает вернуть всё обратно только после оплаты выкупа
Киберпреступники действуют как цифровые вымогатели: сначала крадут у вас доступ к собственной информации, а потом просят деньги, словно за заложника.

Самые распространённые сценарии проникновения

  • Фишинг (через почту). Вам приходит правдоподобное письмо – например, от «банка», «контрагента» или госслужбы – с сообщением вроде «У нас сменился БИК банка, срочно обновите реквизиты». К письму прикреплён файл (часто это внешняя обработка для 1С или документ Word). Стоит его открыть – и вирус запускается, проникает в компьютер и берётся за ваши данные. Антивирус нередко ничего не замечает, ведь вы сами дали «добро» на запуск программы. Известен случай, когда злоумышленники рассылали вирус, написанный на языке 1С, под видом обновления классификатора банков: пользователь видел окно с инструкцией и милыми котиками, а в фоновом режиме шло шифрование базы. Вирус также мог отправлять себя всем адресам из базы 1С, распространяя угрозу дальше.
  • Атака через открытый RDP. RDP – это протокол удалённого рабочего стола, которым многие пользуются для работы с сервером 1С из дома или филиалов. Если RDP-соединение открыто в Интернет и плохо защищено, хакеры легко находят такой сервер. Они перебирают пароли (атака brute force) и подбирают учётную запись администратора. Без VPN или других мер безопасности это всё равно что оставить дверь офиса открытой. Например, в одном случае злоумышленник получил доступ к серверу 1С через RDP, взломав слабый пароль администратора, и загрузил шифрующий вирус. В итоге база 1С компании была зашифрована, а на экране появилось требование выкупа.
  • Заражённые обновления и программы. Вредонос может проникнуть и через поддельные или скомпрометированные обновления. Если вы скачиваете обновления 1С или сопутствующих программ с неофициальных источников, есть риск получить вирус под видом полезного патча. Бывали случаи, когда в популярные программы или библиотеки внедряли вредоносный код (так называемая атака на цепочку поставок). Поэтому всегда проверяйте подлинность обновлений. Киберпреступники знают, что пользователи 1С регулярно обновляют конфигурации, и могут попытаться подсунуть вирус под видом обновления.
Таким образом, основные «ворота» для шифровальщика – невнимательность сотрудников (кликнули по ловкой подделке в почте) и открытые дыры в защите сети (открытый RDP, слабые пароли). Далее вирус действует быстро: шифрует базы, документы, может отключить антивирус и даже попытаться удалить резервные копии. А вам оставляет инструкцию, куда перевести деньги.
-2

Почему 1С – лакомый кусок для киберпреступников

Для многих российских компаний база 1С – это сердце бизнеса. В ней бухгалтерия, склад, клиенты, деньги – одним словом, ценно всё. Вот почему злоумышленники так обожают 1С:
  • Важность данных. Если 1С "лежит", компания буквально парализована: нельзя выписывать счета, оформлять продажи, считать налоги. Преступники знают, что за разблокировку таких критичных данных скорее заплатят, ведь простой грозит большими убытками.
  • Повсеместное использование. 1С используют почти все – от малого бизнеса до гигантов. Это как Windows в мире бухучёта. Значит, поле деятельности для вирусов широчайшее. Один и тот же вирус-шифровальщик, попав на десятки тысяч компьютеров, найдёт там и базы 1С, и документы, за которые можно требовать выкуп. В последнее время такие вирусы получили печальную популярность, очень часто объектами шифрования становятся именно файлы баз 1С.
  • Экономия на информационной безопасности. Многие фирмы, особенно небольшие, не уделяют должного внимания ИТ-безопасности. Кто-то экономит на специалистах, кто-то считает «у нас ничего ценного, нас не тронут». В итоге – слабые пароли, отсутствующие бэкапы, устаревшие серверы, открытый RDP без защиты. Для хакера это как дом без замка и сигнализации. Например, известен случай, когда администратор пять раз(!) терял данные из-за открытого RDP: каждый раз вирус заходил и шифровал все базы, на разных серверах. Вроде бы очевидная проблема, но ей не занялись – и преступники этим пользуются.
  • Продажа данных и шантаж. Помимо шифрования, преступники могут украсть ваши данные из 1С (контрагентов, финансовую информацию) и шантажировать утечкой. База 1С содержит конфиденциальное "золото"- и вы не хотите, чтобы оно всплыло в открытом доступе. Шифровальщики стараются вынести максимальную выгоду из полученных данных, это еще одна причина, почему 1С-программы в прицеле атак.
Иными словами, 1С для вымогателей – как большой кусок пирога: вкусный и часто без присмотра у открытого окна. Атака на 1С базу жертвы приносит двойную выгоду: и шифровка парализует бизнес, и данные можно слить на чёрный рынок.
-3

Реальные случаи атак на базы 1С (статистика 2023–2024)

В новостях не всегда афишируют атаки на конкретные компании – многие предпочитают замять инцидент, чтобы не пугать клиентов. Тем не менее, случаи регулярно происходят. Кое-какая статистика и примеры просачиваются:
  • Рост числа атак. По данным Positive Technologies, только за 2023 год количество атак программ-вымогателей выросло на 13% по сравнению с 22. А «Лаборатория Касперского» отмечает, что в 2024-м наблюдается ещё рост ~8% относительно 2023-го. Поэтому не удивительно, если и в этом году статистика покажет рост атак. Тенденция удручающая: вирусы-шифровальщики не сдают позиций, их становится больше.
  • Массовые атаки на бизнес. В первом полугодии 2023 года защитные решения «Касперского» зафиксировали в России почти 96 тысяч срабатываний вредоносных файлов на компьютерах сотрудников малого и среднего бизнеса. Не все из них – шифровальщики, но доля вымогателей весьма велика. Это значит, каждый день сотни компаний подвергаются попыткам заражения.
  • Пример – выкуп 0,2 биткоина за базу 1С. В 2022 году в Казахстане произошёл показательный случай: хакер проник на сервер компании через RDP (без VPN), зашифровал базу 1С и потребовал выкуп 0,2 BTC (тогда около $7900). Расследование показало отсутствие регулярных резервных копий – вернуть данные сразу было невозможно. К счастью, на помощь пришли специалисты, которым удалось расшифровать информацию без выплаты выкупа.
  • Пример – сеть магазинов в России. В 2020-м пострадала российская розничная компания с сетью магазинов (100+ точек). Вирус проник через удалённый доступ, зашифровал основную базу 1С и все резервные копии на другом сервере. Сначала преступники требовали выкуп ~1 биткоин, админы несколько дней пытались восстановиться сами, но не смогли. В итоге после переговоров компания заплатила вымогателям 0,2 BTC, и им прислали ключ для расшифровки. Позже выяснилось, что злоумышленник целую неделю "хозяйничал" в их сети: получил доступ через подбор пароля RDP, воспользовались уязвимостью для получения админ-прав, разведали где хранятся данные и бэкапы, а потом нанесли удар. Этот инцидент особенно поучителен тем, что даже резервный сервер не спас, если он в той же сети и под тем же админом.
  • Атаки групп вымогателей. В 2023–2024 гг. в России активизировались целые группировки рансомваре. Например, группа Werewolves маскировалась под юридические и бухгалтерские организации, рассылая вредоносные письма со вложением. Они применяли схему двойного вымогательства: шифровали данные, а при отказе платить – грозили публикацией украденной информации. Другие группы (Shadow, LockBit, и др.) также не брезгуют атаками на российский бизнес, в том числе на базы 1С, если видят слабую защиту. По данным экспертов, в 10% случаев целью таких атак становились именно финансовые и бухгалтерские данные компаний - то есть напрямую бьют по 1С-системам, где эти данные хранятся.
Эти примеры показывают: угроза не теоретическая. Пострадать может и маленькая фирма, и крупный холдинг. От выкупа в рублях или криптовалюте не застрахован никто, если система не подготовлена к атаке.
-4

Уязвимости, через которые бьют по 1С

Анализ инцидентов позволяет назвать типичные слабые места в защите, которыми пользуются злоумышленники в контексте 1С:
  • Открытый RDP и слабые пароли. Как мы уже упоминали, открытый в Интернет доступ по протоколу RDP без достаточной защиты – главная дыра. Стандартный порт 3389, отсутствие VPN, простые логины/пароли вроде Admin/123456 – всё это делает задачу взлома тривиальной. Бот-программы сканируют сеть и быстро находят такие лазейки. Один удачный подбор пароля – и злоумышленник внутри.
  • Необновлённое ПО и уязвимости. Сервер 1С, работающий на старой Windows, или рабочие станции с древними версиями ПО – благодатная почва для эксплуатации уязвимостей. Вирус может проникнуть без участия пользователя, используя известную дыру.
  • Отсутствие резервного копирования. "Бэкапы? Позже как-нибудь сделаем…" – губительная позиция. Многие жертвы шифровальщиков обнаруживали, что у них нет актуальной резервной копии 1С-базы. Либо копия лежала на том же сервере и тоже была зашифрована. В случае с казахстанской компанией, например, регулярные бэкапы не выполнялись вообще. Хакеры это тоже знают: некоторые вирусы специально ищут и шифруют или удаляют резервные копии на диске, теневые копии системы и т.п.
  • Неправильная настройка прав и сегментации. Бывает, что в локальной сети все компьютеры и серверы доступны друг другу без ограничений, и у многих пользователей права админа "на всякий случай". Это значит, что взлом одной учётной записи открывает злоумышленнику доступ ко всем данным сразу. Вирус, попав на один ПК, может по цепочке шифровать общие папки, сервер 1С, сервер с бэкапами – всё, куда дотянется. Такое происходит, если не разграничены права доступа и нет сегментации сети (например, бухгалтерский отдел в общей сети с отделом продаж и с сервером 1С без всяких ограничений).
  • Отсутствие мониторинга и реакции. Многие компании не узнают о вторжении, пока не станет слишком поздно. В идеале, система безопасности должна поднимать тревогу при подозрительных действиях – например, кто-то ночью зашёл по RDP, скачал кучу данных или начал шифровать файлы. Но у малого бизнеса редко есть SOC или хотя бы настроенные уведомления (например, в телеге). Злоумышленник может незаметно недели сидеть в сети (как в примере выше), изучая инфраструктуру. Без должного контроля это легко пропустить.
  • Человеческий фактор. Нельзя не упомянуть и самих сотрудников. Низкая киберграмотность – тоже уязвимость. Открыть файл из странного письма, согласиться выполнить макрос «для обновления базы», вставить незнакомую флешку – всё это риски. Хакеры активно используют методы социальной инженерии: шлют бухгалтеру письмо с вирусом под видом налоговой проверки, или сообщение в мессенджере директору «срочно оплатить счёт» с заражённым вложением. Если персонал не обучен, шансов «клюнуть» гораздо больше.
Зная свои слабые места, бизнес может заранее укрепить оборону. Расскажем, что делать для профилактики, по ключевым направлениям.
-5

Что делать для профилактики атак

Проще предотвратить беду, чем разгребать её последствия. Вот ключевые меры защиты:
  • Регулярные резервные копии. Бэкапы – ваш спасательный круг. Настройте резервное копирование базы 1С и других важных данных как можно чаще. Оптимальная частота зависит от интенсивности работы: если база меняется ежедневно – делайте копию каждый день (или даже несколько раз в день). Храните копии вне пределов основного сервера: на съёмном диске, в облачном хранилище, на другом компьютере, который не в постоянной сети. И главное – проверяйте эти копии. Случаи, когда бэкап есть, но не читается, к сожалению, не редкость. Также периодически тестируйте восстановление из резервной копии, чтобы быть уверенным, что в критический момент всё получится. При хранении копий убедитесь, что вирус не может добраться до них: например, отключайте резервный диск, когда копирование завершено, или настройте доступ так, чтобы копии были только на чтение. Помните: резервная копия на том же сервере – это не резервная копия. Если шифровальщик доберётся до сервера, он зашифрует и её тоже.
  • Грамотная настройка прав доступа. Принцип минимально необходимого доступа – ваш ориентир. Каждый сотрудник в 1С должен иметь такие права, которые необходимы для его работы, не больше. Не давайте всем подряд права администратора ни в 1С, ни в операционной системе. Данные 1С (файлы баз, каталоги) должны быть недоступны для изменения обычным пользователям. Например, бухгалтерии не нужны права на изменение конфигурации сервера. Разделите сеть на сегменты: пусть бухгалтерские компьютеры находятся в отдельной подсети, сервер 1С – в выделенном сегменте, куда напрямую вообще никто не ходит, кроме нужных сервисов. Тогда даже если один ПК инфицирован, вирусу будет сложнее распространиться дальше. Разграничение прав и сегментация могут локализовать проблему, не дав улететь всей компании в тень.
  • Антивирус и защита сети. Используйте современное проверенное антивирусное ПО на всех машинах, особенно на сервере 1С. Бесплатные решения – это хорошо, но для бизнеса лучше приобрести коммерческий антивирусный пакет с проактивной защитой и технической поддержкой. Такие решения умеют не только ловить известные вирусы, но и анализировать подозрительное поведение программ. Обновления антивируса – ежедневно, это не обсуждается. Кроме антивируса, настройте фаервол (брендмауэр) на сервере и роутере: закройте все ненужные порты, особенно 3389 (RDP) извне. Если есть возможность, внедрите систему предотвращения вторжений (IPS/IDS) или хотя бы воспользуйтесь встроенными средствами безопасности ОС. Защита почты тоже важна: фильтрация спама и вложений на почтовом шлюзе способна отсеять часть опасных писем с вирусами.
  • Ограничение удалённого доступа. По возможности закройте RDP для прямого доступа из интернета. Если бухгалтеру или подрядчику нужен доступ к 1С из вне офиса – настройте VPN (виртуальную частную сеть) для удалённого подключения. VPN создаст шифрованный канал, и злоумышленнику будет непросто к нему подключиться. Даже внутри VPN не помешает двухфакторная аутентификация: например, ввод пароля + код из СМС/приложения. Если VPN – слишком сложно, хотя бы ограничьте по IP-адресам: разрешите вход по RDP только с известных адресов. И, конечно, сложные пароли для всех учеток – длиной не менее 12 символов, со случайными наборами букв и цифр. Администраторские пароли храните в тайне, меняйте регулярно. По статистике, именно простые пароли и открытый RDP – причина огромного числа успешных атак. Не оставляйте «ключ под ковриком» в виде пароля типа qwerty.
  • Сегментация и мониторинг. Чуть выше говорилось о сегментации – разделении сети на зоны. Реализуйте это с помощью настроек маршрутизатора или сетевых экранов: чтобы, скажем, офисные ПК не могли напрямую обращаться к серверу 1С, минуя контролируемые точки. Дополнительно внедрите хотя бы простой мониторинг: настройте журналы Windows Server, ставьте уведомления о событиях (например, о многократном неверном вводе пароля, о входе в нерабочие часы, о выключении антивируса и пр.). Сейчас существуют недорогие сервисы и даже бесплатные утилиты для мониторинга логов. Если бюджет позволяет, можно подключиться к аутсорсинговому центру мониторинга безопасности (SOC as a service) – некоторые компании предлагают услуги по отслеживанию угроз для малого бизнеса за умеренную плату. Важна любая возможность рано заметить неладное. Когда вирус только начал шифровать данные, у вас есть минуты, чтобы его остановить, и автоматическое оповещение может спасти ситуацию.
  • Обучение сотрудников и регламенты. Самая продвинутая защита рухнет, если бухгалтер Пётр Петрович запустит на сервере непонятно что «по просьбе знакомого». Обязательно повышайте киберграмотность персонала. Проводите инструктаж: как выглядят фишинговые письма, почему нельзя вставлять левые флешки, что делать, если пришло странное письмо от «налоговой» или «банка». Введите понятные правила (политики безопасности): что сотрудникам разрешено, а что строго запрещено (например, устанавливать ПО без разрешения, открывать вложения от внешних адресатов и т.д.). Донесите мысль, что информация – такой же актив фирмы, как товар на складе, и ее надо беречь.
  • Альтернативные сценарии: облако 1С. Если у вас нет собственного ИТ-специалиста и сложно обеспечить всё вышеперечисленное, подумайте об облачных решениях. Например, сервис 1С:Фреш (облачная 1С от самой фирмы 1С) или аренда 1С у официальных партнёров. В этом случае ваша база находится на защищённом дата-центре, где регулярно делают бэкапы, ставят обновления и следят за безопасностью. Многие провайдеры заявляют банковский уровень защиты данных на своих 1С-серверах. Да, за сервис придётся платить ежемесячно, но зачастую стоимость несопоставима с потенциальным ущербом от атаки. Как отмечают эксперты, мало какие малые компании могут обеспечить такой же уровень безопасности, как профессиональные дата-центры. Облако – не панацея, но вы, по крайней мере, переносите часть рисков на плечи тех, для кого защита данных – основная работа.

Что делать, если базу уже зашифровали: план действий

Допустим, худшее случилось – вы приходите утром, а база 1С не открывается. На рабочем столе файл с требованием перевести биток "для восстановления данных". Паника. Это нормальная реакция. Главное – не поддаваться ей и действовать хладнокровно. Вот примерный пошаговый алгоритм действий в такой ситуации:
  1. Не платите выкуп сразу! Первая мысль – скорее заплатить, лишь бы вернули всё как было. Но платить киберпреступникам – огромный риск. Нет никакой гарантии, что после оплаты вам пришлют ключ для расшифровки. Вы можете просто подарить деньги злоумышленникам и ничего не получить взамен. Более того, заплатив, вы мотивируете их атаковать вас снова (они знают, что вы платёжеспособны) или кого-то ещё. Поэтому стоп! – не спешите переводить деньги, как бы ни давило чувство безысходности.
  2. Оцените масштабы и изолируйте инфекцию. Посмотрите, сколько компьютеров поражено. Часто шифровальщик начинает с одного ПК и может распространяться по сети. Если заметили подозрительную активность (например, файлы внезапно стали переименовываться, странно тормозит система), – немедленно отключите компьютер от сети (выдерните кабель, отключите Wi-Fi). Пока вирус не добрался до всего, можно спасти остальное. Если заражение уже произошло, всё равно изолируйте пострадавшие машины – отключите от локальной сети и Интернета, чтобы вредонос не лазил дальше.
  3. Совет: если видите, что процесс шифрования ещё идёт, можно даже выключить компьютер полностью. Да, часть данных и следов атаки потеряется, зато оставшиеся незашифрованные файлы уцелеют. Например, вы заметили, что папки с документами начали превращаться в набор непонятных файлов с расширением .locked, – сразу рубите питание. Потом профессионалы попытаются вытащить уцелевшие данные.
  4. Если же всё уже зашифровано и на экране только требование выкупа, тут чуть иначе: держите компьютер включённым, но все соединения вырубите. Дело в том, что для анализа и возможного восстановления понадобится доступ к оперативной памяти и кэшам, а при перезагрузке эта информация потеряется. И, конечно, сообщите о случившемся ответственным за ИТ/ИБ в вашей компании (если такие есть).
  5. Привлеките специалистов. Не пытайтесь самолично стать хакером и взломать шифр – шансов практически нет. Вместо этого, свяжитесь с профессионалами. Если у вас есть договор с ИТ-фирмой или интегратором 1С – позвоните им, опишите ситуацию. Хорошо, если у компании есть свой безопасник. Также позвоните в службу поддержки антивирусной компании (той, чей продукт у вас установлен). У крупных вендоров безопасности бывают утилиты для расшифровки некоторых типов вирусов, и они могут бесплатно предоставить их клиентам. В любом случае, уведомление поставщика антивируса не повредит – по крайней мере, они помогут разобраться, как проник вирус и что за зараза вас поразила.
  6. Поискать незашифрованные копии файлов. Некоторые шифровальщики при работе сначала делают скрытую копию файла, шифруют оригинал, а копию удаляют. Есть маленький шанс вернуть данные, если такие «тени» остались. Попробуйте с помощью утилит для восстановления (Recuva, R-Studio или др.) просканировать диск на удалённые файлы – вдруг там найдутся фрагменты баз 1С или документов, не затронутые шифрованием. Это как поиск черновиков: иногда вирус недостаточно тщательно удаляет старые версии. Также посмотрите, не сохранились ли у вас где-то вручную сделанные выгрузки базы (файл .dt, например) на флешке, в почте и т.д. Любой уцелевший кусочек поможет.
  7. Использовать резервные копии. Если вы следовали советам из предыдущего раздела и делали бэкапы – сейчас их час! Проверьте, какие самые свежие копии данных у вас есть, и начните восстановление на чистой системе. Важно: перед восстановлением убедитесь, что вирус полностью удалён из системы, чтобы он не зашифровал ваши бэкапы снова. Лучше развернуть резервную копию на новом железе или в новой виртуальной машине, полностью отрезанной от внешнего мира. Обязательно проверьте восстановленные данные – все ли цело, корректно ли работает 1С. Замечание: если копия не самая актуальная, вы рискуете потерять часть недавних документов, но это лучше, чем потерять всё. Восстанавливайте и параллельно думайте, как восполнить пробелы (например, внести последние накладные вручную по бумажным экземплярам).
  8. Сообщите в компетентные органы. В России можно обратиться с заявлением о кибервзломе в полицию (отдел «К»). Правда, практическая польза зачастую невелика: таких дел много, раскрываемость низкая, а данные всё равно надо спасать самостоятельно. Но зафиксировать факт атаки стоит, хотя бы для отчётности. Если у вас крупный бизнес, стоит уведомить регуляторов (например, Центральный банк, если вы финансовая организация – в требованиях ФСТЭК и ФСБ такой пункт есть). Также можно сообщить о инциденте в ИБ-комьюнити – например, на профильных форумах или ресурсах (анонимно). Специалисты могут подсказать, как победить конкретный штамм вируса, если им уже сталкивались с ним.
  9. Восстановление системы и проверка. После того, как вы либо расшифровали данные, либо развернули бэкап, либо смирились с потерей и начали с нуля – не спешите возвращаться к работе как ни в чём не бывало. Проведите тщательную чистку системы: переустановите с нуля заражённые компьютеры, обновите все пароли, закройте доступы, которые могли послужить входом. Обновите все программы до актуальных версий (особенно систему, офис, браузеры). Желательно провести аудит: выяснить, как вирус попал, и устранить эту брешь. В этом могут помочь как внутренние ИТ, так и внешние аудиторы по безопасности.
  10. Извлечь уроки. Наконец, соберите команду и разберите инцидент: что сработало, а что нет. Сделайте выводы и усовершенствуйте свою систему защиты. Каждая атака – это повод стать сильнее. Возможно, стоит вложиться в ту самую защиту, о которой говорилось в предыдущем разделе: купить нормальный антивирус, настроить резервирование, провести обучение сотрудников. Как говорится, один раз – случайность, два – закономерность. Не дайте повториться ситуации.
  11. Контакт с вымогателями (с оговорками). Этот шаг спорный. Решать вам — но только в крайнем случае, когда нет резервных копий и восстановление невозможно. Советуем действовать так: перед тем как даже обсуждать оплату, сначала проверить, способны ли злоумышленники вообще расшифровать данные.
Обычно в "письме счастья" указывается способ связи - Telegram, e-mail, даркнет-чат. Можно коротко и без эмоций написать туда и потребовать доказательство: пусть расшифруют один файл бесплатно. Это может быть зашифрованная часть базы 1С или важный документ - не критичный, но показательный.
Если проигнорируют или не смогут - дальше обсуждать нечего. Иногда, да, идут навстречу и присылают расшифрованный файл, чтобы показать, что «они умеют». Но:
НИКАКОЙ оплаты без доказательств!
НИКАКОЙ лишней информации: не рассказывайте, что у вас есть копии, IT-страховка, сколько у вас сотрудников и какая вы компания.
Общение должно быть сухим, нейтральным. И главное — не доверяйте им всерьёз. Это преступники.
ОПЛАТА ВЫМОГАТЕЛЮ НЕ ГАРАНТИРУЕТ, ЧТО ВЫ ПОЛУЧИТЕ ДАННЫЕ ОБРАТНО.
Самое важное в кризисный момент – действовать методично и спокойно. Да, ситуация неприятная, но суета и паника могут только навредить (например, кто-то из страха начнёт удалять файлы или срочно переустанавливать систему и уничтожит потенциальные шансы на восстановление). Сохраняйте холодный разум и привлекайте помощников – вместе шансов справиться больше.
-6

Заключение

Подведём итог: комплексный подход – залог безопасности. Невозможно защититься одним чудо-средством. Нужна и техника (антивирусы, брандмауэры, бэкапы), и люди (обучение, дисциплина), и процессы (регулярное обновление, мониторинг). Малому бизнесу это по силам, если делать постепенно и разумно. Тем более сейчас масса решений «из коробки» и сервисов, которые облегчают жизнь.
В мире киберугроз нет 100% гарантии, но если вы выполните хотя бы базовые рекомендации, шансы, что шифровальщик обойдет ваш бизнес стороной, резко возрастут. Ваши данные – ваша ответственность, и лучше позаботиться о защите заранее, чем потом бегать с флешкой в поисках «мастера, который всё восстановит».
Сохраняйте статью и делитесь - чем раньше защититесь, тем меньше рискуете потерять бизнес из-за одной утечки или шифровки.
2025-07-17 14:21 Статьи Точно пригодится