Атака вируса‑шифровальщика (ransomware) — одна из самых стрессовых ситуации для бизнеса и частных пользователей: файлы внезапно становятся недоступны, на экране появляется требование выкупа. Важно действовать быстро, но обдуманно: ошибки могут усугубить последствия. Ниже — чёткий пошаговый план действий, который поможет ограничить ущерб и восстановить работу.
Важно: этот план даёт общие рекомендации. При атаке на корпоративную сеть свяжитесь с отделом информационной безопасности или внешними специалистами по реагированию на инциденты (IR) как можно скорее.
Шаг 1. Отключите пострадавшее устройство от сети и внешних накопителей
- Немедленно отключите компьютер от локальной сети (LAN) и от интернета. Это предотвращает распространение шифровальщика на другие устройства и доступ злоумышленников.
- Отключите все внешние диски, USB‑накопители и сетевые тома. Не перезагружайте устройство без крайней необходимости — некоторые шифровальщики запускают дополнительные процессы при перезагрузке.
- Если это сервер или важная инфраструктура, уведомите ИТ‑персонал.
Шаг 2. Зафиксируйте признаки атаки (сбор улик)
- Сделайте фото/скриншоты экрана с требованием выкупа и любых сообщений об ошибках.
- Запишите время обнаружения, имена зашифрованных файлов, расширения (например .locked, .crypt и т. п.).
- Зафиксируйте IP‑адреса и имена атакованных устройств (если возможно).
- Не удаляйте и не меняйте файлы журналов (logs) и возможные вредоносные исполняемые файлы — они нужны для расследования.
Шаг 3. Отключите учётные записи и привилегии (при атаке в сети)
- Изолируйте скомпрометированные учётные записи: временно заблокируйте или сбросьте пароли у подозреваемых пользователей и сервисных аккаунтов.
- Отдел безопасности должен проверить и отключить удалённый доступ (RDP, VPN), если он мог использоваться злоумышленниками.
- Убедитесь, что права администраторов не используются на обычных рабочих станциях.
Шаг 4. Оцените масштаб инцидента
- Определите, какие устройства и сети затронуты. Проверьте резервные копии: зашифрованы ли они? Когда сделан последний успешный бэкап?
- Проверьте, распространился ли шифровальщик через сетевые шарящие папки, Active Directory, почту или внешние накопители.
Шаг 5. Не платите выкуп — оцените варианты
- Оплата выкупа не гарантирует восстановление данных и поощряет преступников. Кроме того, вы можете стать повторной целью.
- Проконсультируйтесь со специалистами по кибербезопасности и, при необходимости, с правоохранительными органами. В ряде стран есть специальные подразделения, принимающие отчёты о кибератаках.
- Проверьте доступные инструменты расшифровки. Некоторые семьи ransomware уже взломаны и для них доступны бесплатные дешифраторы (например, на сайтах типа nomoreransom.org).
Шаг 6. Уведомьте заинтересованные стороны
- Сообщите руководству, ИТ‑отделу и юристам. При корпоративной атаке может потребоваться уведомление клиентов, партнёров и регуляторов (в зависимости от отрасли и законодательства о защите данных).
- Если есть риск утечки персональных данных, проконсультируйтесь с юридическим отделом о соблюдении требований уведомления.
Шаг 7. Запустите процесс восстановления
- Если у вас есть чистые резервные копии — восстановление из бэкапа обычно самый быстрый и безопасный путь. Перед восстановлением:
- Полностью очистите и отформатируйте затронутые устройства.
- Установите свежую ОС и патчи.
- Проверьте резервные копии на предмет заражения (убедитесь, что бэкап не содержит зашифрованных версий).
- Если бэкапов нет или они зашифрованы, обговорите с экспертами варианты восстановления.
Шаг 8. Проведите расследование и очистку
- Проанализируйте вектор проникновения (фишинг, уязвимость сервиса, украденные учетные данные и т.д.).
- Удалите вредоносное ПО, восстановите конфигурации и закройте уязвимости (patching, смена паролей, многофакторная аутентификация).
- Проверьте журнал событий и сетевой трафик на признаки дальнейшей активности злоумышленников. При необходимости привлеките специалистов по IR.
Шаг 9. Восстановите работу поэтапно и контролируемо
- Восстанавливайте самые критичные сервисы в первую очередь. Тестируйте восстановленные данные и систему в изолированной среде, прежде чем возвращать в продуктив.
- Мониторьте сеть и устройства на предмет повторной активности в ближайшие недели.
Шаг 10. Подготовьтесь к будущим атакам (профилактика)
- Наладьте регулярное резервное копирование: несколько копий, отдельное хранение (offline или immutable backups), регулярное тестирование восстановления.
- Внедрите многофакторную аутентификацию (MFA) для удалённого доступа и критичных сервисов.
- Ограничьте права доступа: принцип наименьших привилегий.
- Проводите обучение сотрудников по распознаванию фишинга и безопасному обращению с почтой и вложениями.
- Регулярно обновляйте ПО и патчи, используйте антивирус/EDR и средства обнаружения вторжений.
- Разработайте и отрепетируйте план реагирования на инциденты (IR‑plan).
