Ransomware: как защититься

Тишина после щелчка: как начинается атака

Обычно это происходит в самый обычный день. Вы открываете вложение из «письма от коллеги» или обновляете, как вам кажется, программу. Щелчок мыши — и через несколько минут мир меняется. На экране вместо ваших документов возникает холодное сообщение на ломаном русском или английском с требованием выкупа в биткоинах. В этот момент уходит земля из-под ног. Паника, ощущение вторжения и полной беспомощности — это чувствуют все жертвы вымогателей.

• Файлы, фотографии, рабочие проекты — всё меняет расширение на .locked, .crypt или .zeppelin.
• На рабочем столе появляется текстовый файл или яркий баннер с инструкциями по оплате.
• Компьютер может работать, но доступ к данным полностью заблокирован.

История Анны, бухгалтера из небольшой фирмы, типична. Она заплатила 50 тысяч рублей, но ключ расшифровки так и не пришел. Месяцы работы по восстановлению документов с бумажных носителей стали для нее суровой реальностью. Эти эмоции — ваш главный мотиватор, чтобы действовать до того, как прозвучит роковой щелчок.

Фундамент защиты: что нельзя откладывать

Защита строится не на одной «волшебной» программе, а на слоях. Первый слой — базовый, но его игнорирует большинство. Начните с него сегодня, не откладывая на завтра. Установите правило: критичные обновления устанавливаются в течение 24 часов после их выхода. Именно через уязвимости в устаревшем ПО злоумышленники чаще всего проникают в систему.

Второй ключевой элемент — управление доступом. Ни один сотрудник, включая директора, не должен работать под учетной записью с правами администратора для повседневных задач. Создайте стандартную учетную запись для офисной работы, почты и интернета. Это резко ограничит возможности вируса, если он все-таки попадет на компьютер.

• Включите автоматическое обновление Windows, macOS и всего установленного софта.
• Используйте стандартные учетные записи пользователей без прав админа для рутинных задач.
• Примените политику сложных паролей и двухфакторную аутентицию (2FA) везде, где возможно.

Ваш цифровой иммунитет: выбор и настройка инструментов

Антивирус — это необходимая базовая гигиена, но не панацея. Современные ransomware-атаки часто используют легитимные инструменты системы (как PowerShell), которые антивирусы не блокируют. Поэтому нужен комплекс. Выберите решение класса EDR (Endpoint Detection and Response) или «антивирус следующего поколения», например, от «Лаборатории Касперского», Bitdefender, CrowdStrike. Они анализируют поведение программ, а не только сигнатуры.

Настройте брандмауэр на запрет всех входящих подключений, если они не нужны для конкретных рабочих задач. Отключите на роутере функцию UPnP (Universal Plug and Play), которая может открывать порты без вашего ведома. Установите браузерное расширение для блокировки рекламы и скриптов (uBlock Origin) — это пресечет множество угроз через зараженные сайты.

• Установите и настройте EDR-решение с функцией поведенческого анализа.
• Включите и настройте встроенный брандмауэр Windows Defender Firewall.
• Используйте DNS-серверы с фильтрацией угроз, например, Cloudflare (1.1.1.1) или Quad9 (9.9.9.9).

Стратегия спасения: резервные копии, которые не украсть

Это ваш главный козырь. Если у вас есть актуальная резервная копия, атака ransomware превращается из катастрофы в досадную неприятность. Правило 3-2-1 должно стать вашим манифестом. Иметь три копии данных, на двух разных типах носителей, одна из которых хранится физически отдельно (оффлайн). Современные шифровальщики умеют искать и шифровать подключенные сетевые диски и облачные папки (OneDrive, Dropbox), если они синхронизируются в реальном времени.

Поэтому одна из копий должна быть отключенной. Используйте внешний SSD или HDD, который подключается только на время создания бэкапа. Или настройте автоматическое резервное копирование на отдельный сетевой накопитель (NAS) с помощью программ типа Veeam Agent Free, а затем отключайте его от сети. Проверяйте целостность своих бэкапов раз в квартал, пробуя восстановить несколько файлов.

• Внедрите правило 3-2-1: три копии, два носителя, одна — оффлайн.
• Настройте ежедневное инкрементальное и еженедельное полное резервное копирование.
• Проводите тестовое восстановление данных из бэкапа не реже одного раза в 3 месяца.

Человеческий фактор: тренировка внимания до автоматизма

Самое слабое звено — между монитором и стулом. Фишинг остается главным вектором атаки. Тренируйте себя и коллег распознавать уловки. Обращайте внимание на адрес отправителя, а не только на имя. Наводите курсор на ссылку, чтобы увидеть настоящий URL в углу браузера. Любое письмо с требованием срочных действий, давлением или неожиданным вложением — потенциально опасно.

Внедрите в офисе культуру «параноидальной» проверки. Если пришло странное письмо от «начальника» с просьбой купить карты или перевести деньги — нужно позвонить и подтвердить голосом. Установите на корпоративную почту песочницу для вложений (например, с помощью решений от Proofpoint или Mimecast), которая будет открывать подозрительные файлы в изолированной среде. Проводите учебные фишинг-атаки для сотрудников раз в квартал.

Помните историю IT-отдела целого завода, где инженер открыл файл «технические требования.pdf.exe»? Атака была остановлена, потому что уборщица, проходившая тренинг, заметила странное поведение компьютера и мгновенно позвонила ответственному. Ваша бдительность — последний и самый важный рубеж обороны.

Чек-лист действий на случай атаки

Если беда уже случилась, главное — не поддаваться панике и не платить. Оплата не гарантирует возврат данных и финансирует преступный бизнес. Немедленно отключите зараженное устройство от сети (выдерните интернет-кабель и отключите Wi-Fi). Это может остановить распространение шифрования на другие компьютеры в сети и блокировку общих папок. Сообщите в отдел кибербезопасности вашей компании или обратитесь к независимым специалистам.

Не пытайтесь самостоятельно удалить вирус или использовать сомнительные дешифраторы из интернета — вы можете безвозвратно повредить файлы. Сфотографируйте сообщение с требованиями выкупа для сбора доказательств. Обратитесь на сайт No More Ransom (nomoreransom.org) — это инициатива правоохранительных органов и IT-компаний, где можно найти бесплатные дешифраторы для многих известных семейств ransomware и получить инструкции.

• Немедленно изолируйте устройство: отключите от интернета и локальной сети.
• Ни при каких обстоятельствах не платите выкуп.
• Сообщите о происшествии в органы правопорядка (МВД, ФСБ) и в CERT вашего региона.
• Проверьте наличие бесплатного дешифратора на портале No More Ransom.
• Восстановите систему из чистой резервной копии после полной очистки носителей.

Добавлено: 21.04.2026