Защита от программ-вымогателей 2026: как не потерять бизнес

Что такое программа-вымогатель и почему это про вас

Программа-вымогатель, или шифровальщик, — это вредоносное ПО, которое проникает в вашу систему, шифрует файлы и базы данных, а затем требует выкуп за ключ расшифровки. Часто к этому добавляется второй рычаг: перед шифрованием данные выгружают и угрожают опубликовать, если не заплатите. Это называется двойным вымогательством, и оно превращает техническую проблему в репутационную и юридическую.

Многие предприниматели уверены, что это проблема больших корпораций. Это опасное заблуждение. Малый и средний бизнес атакуют чаще именно потому, что у него слабее защита, нет выделенного безопасника, реже делаются бэкапы — и при этом есть деньги и данные. Для злоумышленника небольшая компания — это лёгкая добыча с предсказуемым результатом.

Я видел, как это выглядит изнутри. Утром бухгалтер включает компьютер, а вместо привычного рабочего стола — текстовый файл с требованием перевести криптовалюту. 1С не открывается, документы превратились в набор зашифрованного мусора, сетевые папки недоступны. Бизнес встал. И в этот момент выясняется, что последний бэкап делали полгода назад, лежит он на той же сетевой шара, которую тоже зашифровали, а айтишник «на аутсорсе» не берёт трубку. Вот этот сценарий мы и будем разбирать, как его не допустить.

Ещё одно опасное заблуждение — «у нас всё в облаке, нас это не касается». Касается. Облачные диски синхронизируются с компьютерами: зашифрованный на рабочей машине файл аккуратно загружается в облако поверх чистой версии, и облако послушно хранит уже испорченную копию. Если у облачного хранилища не настроено версионирование с достаточной глубиной, вы потеряете и его. Облако — это удобство и часть стратегии, но само по себе оно не равно защищённому бэкапу.

И ещё про деньги вперёд: средний инцидент с шифровальщиком для небольшой компании — это не только возможный выкуп, но прежде всего дни простоя, потерянные данные, аврал на восстановление и нервы всей команды. Я видел компании, которые после атаки месяц возвращались к нормальной работе, и видел те, кто за день поднялся из чистого бэкапа и почти не заметил удара. Разница между ними была не в удаче и не в размере бюджета на безопасность, а в том, что вторые заранее сделали скучные базовые вещи. Вся эта статья — про эти скучные базовые вещи, которые отделяют неприятный день от катастрофы.

Как шифровальщик попадает в компанию

Чтобы защищаться осмысленно, надо понимать пути проникновения. Их немного, и почти все атаки идут через одни и те же двери.

Дверь первая — фишинг. Сотруднику приходит письмо: «акт сверки», «счёт на оплату», «résumé на вакансию», «штраф». Внутри вложение или ссылка. Один клик — и запускается загрузчик, который тянет шифровальщика. Это самый массовый вектор, потому что эксплуатирует не технику, а человека.

Дверь вторая — удалённый доступ. Открытый в интернет RDP (удалённый рабочий стол) или плохо защищённый VPN со слабым паролем без второго фактора. Злоумышленники автоматически сканируют интернет в поисках таких точек, подбирают пароли или покупают уже украденные учётки на чёрном рынке, заходят как легальный пользователь и разворачивают атаку вручную.

Дверь третья — уязвимости. Непропатченный сервер, старая версия системы, дырявое сетевое оборудование на периметре. Известную уязвимость эксплуатируют автоматически, без всякого участия ваших сотрудников.

Дверь четвёртая — цепочка поставок и носители. Заражённое обновление стороннего софта, взломанный подрядчик с доступом в вашу сеть, флешка из непонятного источника. Реже, но случается.

Важная деталь: попав внутрь, современный шифровальщик не шифрует сразу. Он сначала тихо распространяется по сети, повышает привилегии, находит и удаляет бэкапы, выгружает данные — и только потом, выбрав момент (часто ночь с пятницы на выходные), запускает шифрование везде одновременно. Поэтому защита — это не одна стена, а несколько рубежей.

Бэкапы по правилу 3-2-1: фундамент защиты

Если вы запомните из этой статьи только одну вещь — пусть это будет правило 3-2-1. Это фундамент, на котором стоит всё остальное. Расшифрую.

Три копии данных. Оригинал плюс минимум две резервные копии. Одна копия — это не бэкап, это просто файл.

Два разных типа носителя. Например, копия на NAS и копия в облаке. Чтобы выход из строя одного типа хранилища не уносил сразу всё.

Одна копия офлайн или неизменяемая. Это самый важный пункт против шифровальщика. Копия, физически отключённая от сети, или хранилище с включённой неизменяемостью (immutable / WORM), до которого вирус не может дотянуться и которое не может перезаписать. Именно эта копия спасает, когда всё остальное зашифровано.

Почему это критично: современные шифровальщики специально охотятся за бэкапами. Если ваша резервная копия лежит на постоянно подключённой сетевой папке или на том же сервере — её зашифруют вместе с боевыми данными, и вы останетесь ни с чем. Бэкап, до которого дотягивается атакующий, бэкапом не является.

И ещё два правила, без которых 3-2-1 не работает. Первое — регулярность и автоматизация: бэкап должен делаться сам, по расписанию, без надежды на то, что кто-то вспомнит. Второе — проверка восстановления: бэкап, который ни разу не разворачивали, имеет неизвестную ценность. Раз в период берёте копию и реально восстанавливаете из неё тестовую систему. Половина «бэкапов», на которые надеются, на деле битые или неполные — и узнают об этом в худший момент.

Закрыть три главные двери

Бэкап спасает после атаки. Но лучше до неё не доводить. 80% атак входят через фишинг, удалённый доступ и уязвимости — закроем эти три двери.

Против фишинга. Обучение сотрудников распознавать подозрительные письма (об этом ниже отдельно), фильтрация почты, запрет автозапуска макросов в офисных документах, блокировка опасных типов вложений. И техническая страховка: даже если человек кликнул, антивирус с поведенческим анализом должен остановить запуск.

Против атак на удалённый доступ. Никогда не выставляйте RDP напрямую в интернет. Доступ только через VPN, а на VPN и на всех учётках администраторов — обязательная многофакторная аутентификация (МФА). Один второй фактор обесценивает украденный пароль. Слабые и переиспользуемые пароли заменяются на длинные уникальные через менеджер паролей.

Против уязвимостей. Регулярное обновление систем, серверов и сетевого оборудования. То, что смотрит в интернет, патчится в первую очередь и быстро. Если какой-то старый софт нельзя обновить — его изолируют от остальной сети.

Сегментация и минимальные права

Эти две меры превращают катастрофу в неприятность. Их суть — ограничить радиус поражения.

Сегментация сети. Плоская сеть, где все компьютеры видят всех и все сетевые папки открыты всем, — это рай для шифровальщика: попал на один компьютер, дотянулся до всего. Сегментация делит сеть на изолированные зоны: бухгалтерия отдельно, склад отдельно, серверы отдельно, гостевой Wi-Fi отдельно. Заражение одного сегмента не растекается на остальные.

Принцип минимальных прав. У каждого сотрудника и каждой программы — ровно те права, что нужны для работы, и ни одним больше. Обычный пользователь не работает под администратором. Бухгалтер не имеет доступа к серверным папкам разработки. Чем меньше прав у скомпрометированной учётки, тем меньше вреда успеет нанести атакующий.

Отдельно — административные учётки. Они самая лакомая цель. Минимум администраторов, у каждого — МФА, отдельные учётки для повседневной работы и для администрирования, мониторинг подозрительных входов.

Люди — главный рубеж обороны

Любая техника бессильна, если сотрудник своими руками запускает вложение из письма «Ваша посылка задержана». Поэтому обучение персонала — это не softskills-формальность, а реальная мера безопасности с измеримым эффектом.

Что должны уметь сотрудники. Распознавать признаки фишинга: неожиданное письмо, давление и срочность, незнакомый отправитель под знакомым именем, странный адрес, требование «срочно открыть/оплатить/ввести пароль». Понимать простое правило: сомневаешься — не кликай, а проверь по другому каналу (позвони отправителю). Знать, куда сообщить о подозрительном письме внутри компании.

Что работает на практике. Короткие регулярные тренинги вместо одной скучной лекции в год. Учебные фишинговые рассылки, которые имитируют атаку и показывают, кто попался — без наказания, а как тренировка. Простые понятные правила, развешанные там, где люди работают. Культура, в которой не стыдно сообщить «кажется, я кликнул на что-то не то» — потому что быстрый сигнал спасает, а сокрытие из страха губит.

Я отдельно разбираю гигиену сотрудников и обучение в рамках корпоративных программ — это самая дешёвая мера безопасности с самым высоким возвратом, потому что закрывает самый массовый вектор атаки.

План реагирования: что делать при атаке

Инцидент случается тогда, когда вы к нему не готовы. Поэтому план пишется заранее, в спокойное время, и лежит в доступном даже без рабочих компьютеров месте (на бумаге, в телефоне). Вот его костяк.

Шаг 1. Изолировать. Немедленно отключить заражённые машины от сети — выдернуть кабель, выключить Wi-Fi. Цель — остановить распространение. Не выключайте машину сразу полностью, если планируете расследование: часть следов в оперативной памяти. Но если выбор между «изолировать» и «сохранить улики» — изолируйте.

Шаг 2. Оценить масштаб. Что зашифровано, докуда дотянулись, целы ли бэкапы, какие данные могли утечь.

Шаг 3. Не платить и звать специалистов. Выкуп не платим (почему — ниже). Привлекаем тех, кто умеет реагировать на инциденты, — внутреннего безопасника или внешнего подрядчика.

Шаг 4. Восстановиться из чистого бэкапа. Поднимаем системы из той самой офлайн/неизменяемой копии, предварительно убедившись, что среда очищена и атакующего в сети больше нет — иначе зашифруют повторно.

Шаг 5. Уведомить, кого положено. Если утекли персональные данные, в России действует требование уведомить Роскомнадзор в установленный короткий срок. Это часть 152-ФЗ, и игнорирование добавляет к ущербу ещё и штрафы. Заранее знайте свои обязанности по уведомлению.

Шаг 6. Разобрать инцидент. После восстановления — найти, как вошли, и закрыть эту дверь, чтобы не повторилось.

Почему нельзя платить выкуп

Соблазн заплатить и «вернуть всё как было» понятен, особенно когда бизнес стоит. Но платить — плохая стратегия, и вот почему.

Нет гарантии. Вы имеете дело с преступниками. Заплатив, вы можете не получить ключ вовсе, получить нерабочий ключ или расшифровать только часть. Восстановление после оплаты часто оказывается медленным и неполным.

Вы финансируете и поощряете. Каждый выкуп делает атаки выгоднее и финансирует следующие — в том числе против вас же.

Вы становитесь меткой. Заплативших отмечают как готовых платить и атакуют повторно — иногда те же группировки, иногда те, кому продали информацию о «сговорчивой» жертве.

Данные всё равно могут всплыть. При двойном вымогательстве оплата не гарантирует, что выгруженные данные удалят, — копия остаётся у злоумышленников.

Единственная надёжная альтернатива выкупу — восстановление из бэкапа. Именно поэтому правило 3-2-1 стоит в начале статьи: оно и есть ваша переговорная позиция «нам нечего у вас покупать».

Какие инструменты реально нужны

Когда базовая дисциплина выстроена, встаёт вопрос инструментов. Не для того, чтобы потратить бюджет, а чтобы автоматизировать защиту и не держать всё на ручном контроле. Пройдусь по категориям без привязки к конкретным брендам — выбор зависит от вашего масштаба.

Защита конечных точек. Обычного сигнатурного антивируса сегодня мало. Нужны решения класса EDR — они следят за поведением программ и ловят шифровальщик не по «известному вирусу», а по подозрительным действиям: массовое переименование файлов, попытки удалить теневые копии, аномальная сетевая активность. Поведенческий анализ останавливает даже новый, ранее неизвестный вариант.

Резервное копирование. Здесь важна не «программа для бэкапа» сама по себе, а её способность делать неизменяемые (immutable) копии и хранить их отдельно от основной сети. Решение должно уметь автоматически проверять целостность копий и быстро восстанавливать — потому что в инциденте важна скорость возврата к работе.

Многофакторная аутентификация. Отдельный слой, который обесценивает украденные пароли. Ставится на VPN, на удалённый доступ, на админские учётки, на критичные сервисы. Это одна из самых дешёвых и самых эффективных мер вообще.

Менеджер паролей. Чтобы длинные уникальные пароли были не мучением, а нормой. Один и тот же пароль на десяти сервисах — это подарок атакующему: утёк один, скомпрометированы все.

Фильтрация почты и веба. Большая часть атак входит через письма, поэтому почтовый фильтр, который отсекает фишинг и опасные вложения до того, как они дойдут до сотрудника, окупается сразу.

Мониторинг и журналы. Чтобы заметить аномалию до того, как она превратится в шифрование: странные входы среди ночи, всплеск активности, попытки доступа к бэкапам. Даже базовый сбор и просмотр журналов лучше, чем полная слепота.

Не обязательно внедрять всё сразу и дорого. Для малого бизнеса разумный минимум — нормальный EDR, автоматический бэкап с immutable-копией, МФА и почтовый фильтр. Этого достаточно, чтобы перевести вероятность катастрофы из «высокой» в «низкую».

Сколько стоит простой и почему защита дешевле

Руководители часто откладывают защиту со словами «дорого» — пока не посчитают стоимость отсутствия защиты. Давайте посчитаем, потому что эта арифметика обычно закрывает спор.

Сначала прямой ущерб от простоя. Если шифровальщик останавливает бизнес, вы не работаете: не отгружаете, не продаёте, не оказываете услуги. Умножьте вашу среднюю дневную выручку на число дней восстановления — а восстановление без готового плана и чистых бэкапов легко растягивается на дни и недели. Для многих компаний даже несколько дней простоя — это сумма, на которую можно было годами оплачивать всю защиту.

Дальше — потеря данных. Если бэкапов нет или они зашифрованы вместе со всем, часть данных теряется безвозвратно: история клиентов, бухгалтерия, наработки. Это не только деньги, но и отношения с клиентами и иногда юридические последствия.

Затем — репутация и клиенты. Новость «у компании утекли данные» бьёт по доверию. При двойном вымогательстве украденные данные могут опубликовать, и тогда к простою добавляется публичный скандал и отток клиентов.

И отдельно — штрафы. Если утекли персональные данные, в России наступает ответственность за нарушение требований по их защите и уведомлению. То есть к ущербу от самой атаки добавляется ещё и государственный штраф.

Теперь сравните это с расходами на защиту: настройка бэкапов, МФА, EDR, разовый аудит и обучение. В подавляющем большинстве случаев годовая стоимость нормальной защиты меньше, чем ущерб от одного серьёзного инцидента. Защита — это не статья расходов, а страховка с предсказуемой и небольшой ценой против непредсказуемого и большого убытка. Именно так её и стоит подавать тому, кто держит бюджет.

FAQ

Мы маленькая компания, нас точно не тронут? Тронут с большей вероятностью, чем крупных. Малый бизнес атакуют массово и автоматически именно потому, что у него слабее защита. Размер не спасает — спасают бэкапы и закрытые двери.

У нас есть антивирус, этого достаточно? Нет. Антивирус — один рубеж, и современные шифровальщики умеют его обходить. Защита работает только слоями: антивирус плюс бэкапы 3-2-1, МФА, сегментация, обновления и обученные люди.

Что такое immutable-бэкап? Это резервная копия, которую нельзя изменить или удалить в течение заданного срока — даже администратору, даже вирусу. Такое хранилище шифровальщик не может перезаписать, поэтому копия гарантированно остаётся чистой.

Можно ли расшифровать файлы без выкупа? Иногда да — для части старых или ошибочно написанных шифровальщиков существуют бесплатные дешифраторы. Но рассчитывать на это нельзя: для большинства современных вариантов расшифровки без ключа не существует. Поэтому ставка на бэкап, а не на удачу.

Как часто делать бэкапы? Зависит от того, сколько данных вы готовы потерять. Для активной бухгалтерии и баз — ежедневно, а критичное — чаще. Главное, чтобы это было автоматически и регулярно проверялось восстановлением.

RDP за паролем — это нормально? Нет. RDP не должен смотреть в интернет напрямую ни под каким паролем. Только через VPN и только с многофакторной аутентификацией. Открытый RDP — один из самых частых входов для шифровальщиков.

Надо ли уведомлять государство об атаке? Если в результате утекли персональные данные — да, в России нужно уведомить Роскомнадзор в установленный короткий срок. Это требование 152-ФЗ, и его невыполнение добавляет штрафы поверх ущерба от атаки.

С чего начать, если бюджет ограничен? С бесплатного и самого эффективного: настроить регулярные бэкапы по правилу 3-2-1, включить МФА на всех удалённых доступах и админах, обновить то, что смотрит в интернет, и провести короткий инструктаж по фишингу. Это закрывает большую часть риска почти без затрат.

У нас всё в облаке — мы защищены от шифровальщика? Не автоматически. Облачные диски синхронизируются с компьютерами: зашифрованный файл загрузится в облако поверх чистой версии. Без версионирования с достаточной глубиной вы потеряете и облачную копию. Облако — часть стратегии, но не замена отдельному офлайн или неизменяемому бэкапу.

Что такое EDR и зачем он, если есть антивирус? EDR следит за поведением программ, а не только за известными сигнатурами. Он ловит шифровальщик по подозрительным действиям — массовому переименованию файлов, попыткам удалить теневые копии — и останавливает даже новый, ранее неизвестный вариант, который обычный антивирус пропустит.

Сколько времени занимает восстановление после атаки? С готовым планом и чистым бэкапом — часы или день. Без них — дни и недели, а иногда данные теряются безвозвратно. Именно подготовка заранее определяет, будет это неприятный день или остановка бизнеса.

План защиты на одну страницу

Программа-вымогатель — это не вопрос «если», а вопрос «когда» вас попробуют. Хорошая новость: защита от неё на 90% состоит из дисциплины, а не из дорогих продуктов. Компания с нормальными бэкапами и закрытыми базовыми дверями переживает атаку как неприятный день, а не как конец бизнеса.

Чек-лист, который стоит внедрить в ближайшие недели:

Шаг 1. Настройте автоматические бэкапы по правилу 3-2-1, обязательно с одной офлайн или неизменяемой копией.

Шаг 2. Проверьте восстановление из бэкапа на деле — разверните тестовую копию.

Шаг 3. Уберите RDP из интернета, включите МФА на VPN и всех админских учётках.

Шаг 4. Обновите всё, что смотрит наружу, и настройте регулярный патчинг.

Шаг 5. Сегментируйте сеть и раздайте минимальные права.

Шаг 6. Проведите короткий тренинг по фишингу и сделайте его регулярным.

Шаг 7. Напишите план реагирования и положите его туда, где он доступен без рабочих компьютеров.

Если хотите, чтобы кто-то прошёл по этому списку вместе с вами, выстроил защиту и проверил, что бэкапы реально спасут, — я провожу аудит кибербезопасности и внедряю защиту от шифровальщиков под ваш масштаб. Напишите, и начнём с оценки текущих рисков.