Если все зашифровано: алгоритм действий, когда вирус уже в сети

Ниже — структурированный алгоритм действий в ситуации, когдавирус-шифровальщик уже в сети, а стандартный план реагирования оказался недостаточно продуманным.

Как ломают: актуальные сценарии проникновения

Перед тем как говорить о восстановлении, важно понять, через какие векторы злоумышленники чаще всего получают доступ.

«В 90% компаний, подвергшихся атакампрограммами-шифровальщиками, мы видим одни и те же критические проблемы: слабая защиты почты, отсутствие многофакторной аутентификации, уязвимый периметр и недостаточный контроль внешних подключений».

Владимир Гришанов,

руководитель BI.ZONE Compromise Assessment

1. Взлом удаленного доступа: RDP, слабые пароли, брутфорс

Протокол удаленного рабочего стола (Remote Desktop Protocol, RDP) остается одной из самых частых точек входа. При отсутствии ограничения по IP, двухфакторной аутентификации и политики сложных паролей, RDP становится удобной мишенью для атак методом перебора (brute force).

Типовой сценарий:

• перебор учетных данных;
• вход под легитимной учетной записью;
• закрепление в системе;
•  эскалация привилегий до доменного администратора.

2. Фишинг и социальная инженерия

Зараженные вложения в электронных письмах, ссылки на поддельные порталы, эксплуатация доверия сотрудников — классика, которая продолжает работать. Во многих расследованных инцидентах именно электронная почта становится первоначальной точкой входа.

По данным расследований BI.ZONE, недостаточно защищенная почтовая инфраструктура остается одной из самых распространенных точек входа. Если почтовые шлюзы не используют современные механизмы фильтрации вложений и ссылок, фишинговые письма легко обходят защиту и становятся стартовой точкой атаки.

После запуска вредоносного кода злоумышленники:

• получают первичный доступ;
• разворачивают инструменты удаленного администрирования;
• начинают разведку сети.

3. Уязвимости в публичных сервисах

Особенно часто используются:

• VPN-шлюзы;
• почтовые серверы;
• веб-приложения.

Отдельную роль играет скорость эксплуатации уязвимостей. Например, среднее время от публичного раскрытия уязвимости до начала ее массовой эксплуатации сегодня составляет всего несколько дней. В резонансных случаях сканирование инфраструктуры начинается уже в первые часы после появления в открытом доступе proof-of-concept (PoC) — кода, демонстрирующего возможность эксплуатации.

Невыполненные обновления, известные уязвимости, ошибки конфигурации позволяют обойти аутентификацию и получить прямой доступ во внутренний контур.

«По данным экспертов по цифровой криминалистике и реагированию на инциденты (DFIR) BI.ZONE за 2025 год, среднее время нахождения злоумышленника в инфраструктуре до запуска шифрования составляет 42 дня. При этом минимальный период от проникновения до начала шифрования может составлять всего 12,5 минуты, а максимальный — до 181 дня».

Владимир Гришанов,

руководитель BI.ZONE Compromise Assessment

Это означает, что атака редко происходит сразу после проникновения. Чаще злоумышленники используют это время для разведки инфраструктуры, повышения привилегий, компрометации резервных копий и подготовки инфраструктуры к массовому шифрованию.

По оценке специалистов по реагированию «Лаборатории Касперского», продолжительность атаки может существенно варьироваться в зависимости от целей злоумышленников. В финансово мотивированных операциях атакующие часто действуют стремительнее — от нескольких дней до нескольких недель. Обычно они стараются быстро получить доступ, подготовить инфраструктуру и запустить шифрование. Однако в отдельных случаях присутствие в инфраструктуре может длиться месяцами: киберпреступники выжидают удобного момента для запуска шифрования или публикации украденных данных.

В то же время хактивистские группы могут намеренно откладывать финальную фазу атаки, чтобы приурочить ее к значимой дате или использовать инцидент как негативный информационный повод.

4. Компрометация подрядчиков и цепочек поставок

Атаки через доверенных поставщиков получают все большую распространенность. Если у подрядчика есть удаленный доступ, он автоматически становится частью периметра. При этом сам подрядчик может быть скомпрометирован задолго до инцидента у заказчика.

В расследованиях BI.ZONE подобные сценарии встречаются все чаще. Если подрядчик обладает постоянным удаленным доступом к инфраструктуре, например через VPN или системы удаленного администрирования, его компрометация фактически превращается в готовый канал проникновения в инфраструктуру заказчика. При этом атака может оставаться незамеченной до момента активной фазы шифрования.

Когда все зашифровано: первые часы и стабилизация ситуации

Первые часы после обнаружения шифрования определяют масштаб дальнейших потерь. В этот момент компания фактически оказывается в режиме операционного кризиса, где любое неверное действие способно усугубить ситуацию. Главная задача на этом этапе — не восстановление, а стабилизация. Попытки «быстро починить» инфраструктуру, перезагрузить серверы или срочно запустить антивирусное сканирование чаще всего приводят к утрате цифровых следов и затрудняют последующее расследование.

«Одной из наиболее распространенных ошибок на этом этапе становится попытка немедленно восстановить работоспособность инфраструктуры, не разобравшись в деталях атаки. Если начать переустановку систем или восстановление данных до того, как определены начальный вектор проникновения и перечень скомпрометированных ресурсов, существует высокая вероятность повторной атаки — иногда с еще более серьезными последствиями».

Константин Сапронов,

руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского»

Изоляция

Критически важно сохранить текущее состояние систем. Если зараженные серверы немедленно выключить или перезагрузить, можно потерять данные оперативной памяти, в которых находятся ключевые артефакты атаки: процессы шифрования, инструменты удаленного администрирования, активные сетевые соединения. Именно поэтому в первые часы основное внимание необходимо уделять изоляции, а не выключению. Требуется отрезать от сети зараженные хосты, ограничить межсегментное взаимодействие, временно закрыть доступ к общим сетевым ресурсам и, при необходимости, отсоединить удаленные подключения.

«В первую очередь необходимо изолировать сетевую инфраструктуру от внешних соединений и убедиться, что резервные копии критичных данных доступны и надежно защищены. Параллельно нужно начать расследование инцидента — определить тип используемого шифровальщика, возможную точку входа и масштаб компрометации. Только после устранения начального вектора атаки можно переходить к восстановлению систем».

Константин Сапронов,

руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского»

Проверка инфраструктуры

Отдельного внимания требует проверка инфраструктуры каталогов. Если используется Microsoft Active Directory, необходимо оценить, не были ли изменены привилегированные группы, не появились ли новые администраторские учетные записи, не модифицированы ли политики безопасности. Как правило, злоумышленник уже получил повышенные привилегии до запуска шифрования и редко действует импульсивно.

Фиксация цифровых следов

Параллельно с изоляцией необходимо фиксировать состояние среды. Логи серверов, сетевого оборудования, систем виртуализации, журналы аутентификации и конфигурационные файлы должны быть выгружены и сохранены вне зараженного контура. Эти данные потребуются для анализа вектора атаки, оценки глубины компрометации и подготовки юридической позиции компании.

Управление кризисом: скорость решений важнее иерархии

Когда атака переходит в фазу массового шифрования, классическая модель согласований перестает работать. Если решение об отключении сервисов, остановке VPN или изоляции сегмента принимается через длинную управленческую цепочку, компания теряет драгоценное время. Поэтому в зрелой организации к этому моменту уже должен быть активирован механизм кризисного управления, в рамках которого распределены роли и полномочия.

Оценка масштаба: глубина компрометации и целостность резервных копий

После стабилизации и локализации распространения начинается наиболее сложный этап — оценка реального масштаба ущерба. Важно понять, что зашифрованные файлы — это лишь видимая часть проблемы. Ключевой вопрос заключается в том, насколько глубоко злоумышленник проник в инфраструктуру и какие компоненты были скомпрометированы до запуска шифрования.

Необходимо определить, затронуты ли контроллеры домена, скомпрометированы ли учетные данные администраторов, изменены ли политики безопасности и конфигурации сетевого оборудования. Если злоумышленник находился в сети продолжительное время, велика вероятность того, что он получил доступ к системе резервного копирования и попытался удалить или модифицировать копии.

Проверка целостности бэкапов становится отдельной задачей. В идеале процесс восстановления должен опираться на четкое понимание того, где хранится доверенная резервная копия — заранее проверенная и подтвержденная как безопасная еще до того, как она может понадобиться. Такой подход позволяет исключить риск скрытых «закладок» и предотвратить повторное возникновение инцидента. Важно убедиться, что резервные копии действительно изолированы от производственной среды и не содержат вредоносного кода. Если заражение произошло задолго до обнаружения, восстановление «чистой» версии может потребовать отката на более позднюю точку, чем предполагалось изначально. Это напрямую влияет на фактический объем потерянных данных.

Стратегия: перестроить или восстановить

Когда масштаб компрометации становится понятен, компания встает перед ключевым выбором: восстанавливать инфраструктуру из резервных копий или перестраивать ее с нуля. В теории восстановление из бэкапа выглядит более быстрым вариантом, однако на практике все зависит от уровня доверия к среде.

Если скомпрометированы учетные записи доменных администраторов и неясно, какие изменения были внесены в системные компоненты, частичное восстановление может оставить в инфраструктуре скрытые точки присутствия злоумышленника. В этом случае более рациональной стратегией становится полная переустановка ключевых компонентов с последующим восстановлением данных в очищенную среду.

При наличии офлайн-копий или неизменяемых хранилищ восстановление обычно проходит быстрее за счет изоляции контура резервного копирования от зараженной инфраструктуры. Однако такая изоляция не гарантирует чистоты бэкапов: при длительном присутствии злоумышленника в сети в них могли попасть уже скомпрометированные системы. Если же резервное копирование интегрировано в общий домен без изоляции, риск его компрометации существенно возрастает.

Приоритизация восстановления должна опираться на заранее проведенный анализ воздействия на бизнес. В первую очередь поднимаются те сервисы, без которых невозможна базовая операционная деятельность: учет заказов, логистика, финансовые операции или клиентский сервис, а также поддерживающие их ИТ-сервисы. Все остальные системы восстанавливаются по мере стабилизации среды.

Внешние эксперты и правовые аспекты

В большинстве серьезных инцидентов компания не может ограничиться внутренними ресурсами. Подключение специалистов по цифровой криминалистике и реагированию на инциденты Digital Forensics & Incident Response позволяет определить точку входа, зафиксировать цифровые доказательства и оценить возможность дешифрования без выплаты выкупа. Это особенно важно в случаях, когда существует риск утечки персональных или коммерческих данных.

Юридическая оценка необходима для определения обязательств перед регуляторами и контрагентами. В зависимости от отрасли и характера утечки, компании может потребоваться уведомить надзорные органы, клиентов и партнеров. Крайне важно параллельно выстраивать внешнюю коммуникацию: неконтролируемые комментарии сотрудников способны нанести репутационный ущерб, сопоставимый с техническими потерями.

Если киберриски компании застрахованы, условия полиса обычно предусматривают обязательное уведомление страховщика в установленный срок. Несоблюдение процедур может привести к отказу в компенсации.

После восстановления: пересборка архитектуры безопасности

Завершение технического восстановления не означает завершения кризиса. На этом этапе начинается архитектурная переоценка всей модели защиты. Практика показывает, что компании, пережившие атаку вирусом-шифровальщиком, пересматривают принципы сегментации, усиливают контроль привилегий и внедряют модель Zero Trust.

«Организации начинают системно внедрять сетевую сегментацию, пересматривать модель доступа к критическим системам и усиливать контроль привилегированных учетных записей. Без этих изменений риск повторной атаки остается высоким».

Владимир Гришанов,

руководитель BI.ZONE Compromise Assessment

Изоляция системы резервного копирования становится обязательным требованием. Контур бэкапов должен быть логически и физически отделен от производственной среды, а также предусматривать использование неизменяемых хранилищ и офлайн-копий. Одновременно необходимо усиливать мониторинг: внедрять EDR-решения, выполнять централизованный сбор логов, контролировать аномальную активность учетных записей.

Кроме того, следует уделить внимание регулярным учениям. Тестовые восстановления, сценарные Tabletop-сессии и моделирование атак позволяют не только проверить техническую готовность, но и оценить скорость принятия управленческих решений. Именно в этом проявляется реальная зрелость процессов.

Важно помнить, что не существует одного инструмента или технологии, способных полностью защитить инфраструктуру от атак шифровальщиками. Эффективная защита строится как комплекс мер: установка антивирусной защиты на всех узлах сети, внедрение системы мониторинга и реагирования, разработка надежной стратегии резервного копирования, использование многофакторной аутентификации, регулярное обновление программного обеспечения и управление уязвимостями. Только сочетание этих практик позволит снизить риск реализации катастрофического сценария.