Защита от шифровальщиков: меры для серверов и рабочих мест

Что шифровальщик делает на практике и почему это важно

Шифровальщик - вредоносная программа, которая быстро делает данные недоступными: файлы получают новые расширения, папки перестают открываться, а на экране появляется требование выкупа. Для бизнеса это почти всегда означает простой, срыв сроков и решения на нервах. Поэтому защита здесь - не «антивирус на всякий случай», а управляемый риск.

Обычно атака начинается с простых входов: фишинговое письмо с вложением, украденный пароль к удаленному доступу (например, RDP), эксплуатация уязвимости в публичном сервисе или зараженная флешка. Дальше злоумышленник закрепляется в сети, повышает права и идет к тому, что больнее всего.

Страдают и рабочие места, и серверы, потому что они связаны общими учетными записями, сетевыми дисками и административными правами. Зараженный ноутбук сотрудника может за минуты начать шифровать общий файловый ресурс, а затем затронуть серверы, где лежат базы, виртуальные диски или архивы.

Чаще всего под удар попадают общие папки и сетевые диски, базы (например, 1С и отраслевые системы), хранилища виртуальных машин, документы продаж, юристов и кадров. Отдельный риск - резервные копии, если они доступны по сети как обычная шара.

Готовьтесь к трем вещам: вынужденной остановке процессов, давлению через выкуп и долгому восстановлению. Даже если данные удастся вернуть, останутся вопросы доверия, отчетности и репутации. Чем раньше вы представляете этот сценарий, тем проще выбрать меры, которые реально ограничивают ущерб.

С чего начать: быстрый аудит и приоритеты на 2 недели

Чтобы меры дали эффект, начните не с покупки нового софта, а с понимания, что у вас есть и что критично для работы. Задача первых двух недель - убрать самые частые причины «массового шифрования» и закрепить базовые правила.

Соберите короткую инвентаризацию: серверы и рабочие места, их роли (файловый сервер, 1С, почта, контроллер домена, терминальный сервер), и что нужно компании «на следующий день», чтобы продолжать работу. Достаточно простого списка, но с владельцем системы и контактами.

Затем сделайте «карту данных»: где лежат важные файлы (общие папки, сетевые диски, облако, локальные каталоги), кто к ним обращается и каким способом. Часто выясняется, что один общий ресурс открыт «всем на запись». Именно он потом становится точкой максимального ущерба.

На ближайшие 2 недели держите фокус на понятных вещах:

• Единая политика обновлений ОС и ПО. Пользователи не ставят «что угодно».
• Минимальная сегментация: пользователи, серверы, админские рабочие места, бэкапы - разные доступы и по возможности разные сети.
• Учетные записи и права: убрать общие учетки и слишком широкие разрешения хотя бы на критичных ресурсах.
• Базовые журналы: входы, изменения прав, массовые операции с файлами.
• Ответственные: кто обновляет, кто смотрит логи, кто принимает решение об изоляции.

Пример из практики: бухгалтерия работает с общим диском, а ИТ-админ входит туда под «всемогущей» учеткой. Если ПК бухгалтера заражается, вредонос получает доступ к максимуму. Двух недель обычно хватает, чтобы закрыть этот класс риска: сузить права, развести админскую и пользовательскую работу, настроить обновления на всех устройствах, включая серверы и «готовые» рабочие места.

Hardening серверов: минимальный набор, который дает эффект

Серверы интересны шифровальщику не сами по себе, а как трамплин: через них удобно получить доступ к общим папкам, бэкапам, учетным данным и домену. Базовый принцип простой: оставить только то, что нужно для работы, и закрыть все остальное.

Начните с «убрать лишнее»: отключите ненужные службы и роли, закройте неиспользуемые порты на хосте и на межсетевом экране, уберите гостевые шары и анонимный доступ. Часто быстрый выигрыш дает отказ от старых протоколов (например, SMBv1) и запрет прямого доступа к админ-интерфейсам из пользовательских подсетей.

Дальше - обновления по расписанию. Не «потом как-нибудь», а закрепленные окна обновлений ОС и ключевого ПО (удаленный доступ, веб-сервисы, VPN, агенты управления). Шифровальщики регулярно используют давно закрытые уязвимости просто потому, что их не закрыли патчами.

Третья часть - защита средств защиты. Включите защиту от отключения (tamper protection) в антивирусе/EDR, ограничьте права на остановку служб безопасности и настройте уведомления о попытках их отключить.

Если нужны настройки, которые обычно дают эффект в первую очередь, держите такой минимум:

• Ограничить скрипты: строгие политики для PowerShell/WSH, запрет запуска из временных папок.
• Снизить риск макросов: запрет макросов из интернета, разрешение только подписанных там, где это действительно нужно.
• Усилить пароли и вход: требования к длине, блокировка после нескольких попыток.
• Защитить удаленный доступ: MFA для админов, ограничение RDP по адресам/группам, отдельные админ-учетки.
• Убрать «общие» права: сервисные аккаунты получают только нужные разрешения.

Пример: файловый сервер с общей папкой «Обмен». Если есть гостевой доступ и широкие права записи, один зараженный ПК зашифрует все очень быстро. Если гостевые шары убраны, права раздельные, а запуск скриптов ограничен, атака часто остается на уровне одной рабочей станции.

Hardening рабочих мест: что реально снижает риск заражения

Рабочее место часто становится точкой входа: письмо с вложением, «счет» в архиве, поддельная страница входа, случайная установка «кодека». На ПК важнее всего базовые ограничения, которые мешают вредоносному коду закрепиться и запуститься.

Первое правило: обычный пользователь не должен быть локальным администратором. Если сотрудник может ставить драйверы и менять системные настройки, те же права получает и шифровальщик. Для редких задач используйте отдельную админ-учетку или временное повышение прав по заявке.

Второй шаг - ограничить установку ПО. В большинстве компаний работает простой подход: разрешены стандартные приложения и подписанные обновления, все остальное - только после одобрения. Это резко снижает число «случайных» установок, через которые и приходит заражение.

Отдельно проверьте офис и почту. Самые частые ворота - макросы и вложения. Полезный минимум:

• Макросы по умолчанию выключены. Запуск - только для доверенных документов.
• Вложения из интернета открываются в защищенном режиме, архивы и исполняемые файлы блокируются правилами.
• Браузер и офисный пакет обновляются автоматически.
• На ноутбуках включено полное шифрование диска, а вход защищен сложным паролем и по возможности MFA.
• Учетные записи привязаны к политике блокировки при подозрительных входах и переборе пароля.

Простой пример: сотрудник открыл вложение, вредонос попытался поставить «службу» и развернуться. Без прав администратора и с запретом на запуск неизвестных файлов атака часто обрывается на его ПК, не успевая добраться до общих папок.

Раздельные права: как не дать шифровальщику разойтись

Шифровальщик почти всегда стартует с прав обычного пользователя, а затем пытается расширить доступ: украсть пароли, залезть в общие папки, дотянуться до серверов. Раздельные права - одна из самых сильных мер: вы не гарантируете отсутствие заражения, но резко уменьшаете масштаб ущерба.

Принцип простой: у каждого человека должен быть доступ только к тому, что нужно для работы каждый день. Если бухгалтеру раз в месяц нужен доступ к папке отчетов, это не повод давать ему полный доступ ко всему файловому ресурсу.

Отдельная тема - администраторы. Нужны две учетные записи: обычная (почта, браузер, документы) и админская (только администрирование). Админской учеткой нельзя входить на обычные ПК без реальной необходимости. Частая цепочка выглядит так: админ зашел на зараженный ПК, и дальше вредонос получил ключи ко всему домену.

С правами на файлы и общие папки стоит навести порядок: убрать Everyone и широкие группы, оставить понятные роли (чтение, изменение) и владельцев. Полезно заранее отметить критичные папки, где запись разрешена только узкому кругу.

Если делать по шагам, начните с такого набора:

• Введите отдельные админ-учетки и запретите их для повседневной работы.
• Закройте интерактивный вход админами на рабочие станции, где это не нужно.
• Пересмотрите права на общих папках и уберите «широкие» разрешения.
• Ограничьте локальные админ-права на ПК.
• Включите MFA там, где это возможно: VPN, почта, админ-панели.

Если у вас есть системный интегратор или внутренняя ИБ-команда, закрепите правила в коротком регламенте и проверьте их на пилотной группе перед раскаткой на всю компанию.

Сеть и удаленный доступ: простая изоляция без усложнений

Даже если шифровальщик попал на один ПК, ему еще нужно добраться до серверов, общих папок и бэкапов. Сеть и удаленный доступ часто дают ему самый короткий путь, поэтому базовая изоляция дает быстрый эффект.

Начните с минимального разделения: рабочие места и пользовательский Wi-Fi - в одной сети, серверы и админские сервисы - в другой. Между ними разрешайте только то, что действительно нужно (например, доступ к файловому серверу по конкретным портам), а не «все подряд».

Для администрирования сделайте один безопасный вход: jump-сервер или отдельный админский контур. Смысл в том, что админы не заходят на серверы напрямую с обычных рабочих станций. Тогда даже при заражении на пользовательском ПК у вредоноса нет прямой дороги к инфраструктуре.

Удаленный доступ часто ломают через RDP. Держите его под контролем:

• Разрешайте RDP только через VPN и только для нужных групп.
• Используйте белые списки по IP там, где это реально.
• Включите аудит входов и неуспешных попыток.
• Запретите доступ «с любого компьютера» к серверам управления.
• Отключите RDP там, где он не нужен.

Отдельно защитите бэкап-сеть: из пользовательской зоны к ней не должно быть маршрута. Сервер резервного копирования должен «забирать» данные сам, а не принимать подключения со всех сторон.

Если у вас, например, в серверной стоят стойки с S200 Series и рабочие места на L200, проверьте, что доступ к интерфейсам управления и хранилищам возможен только из админской сети. Это небольшая настройка, но она часто решает, превратится ли инцидент в катастрофу.

Изоляция бэкапов: как сделать так, чтобы было что восстанавливать

Шифровальщик почти всегда пытается добраться до резервных копий: удаляет их, шифрует или меняет политики хранения. Поэтому базовый принцип такой: бэкапы должны жить отдельно и быть недоступны тем же правам, что и обычные файлы.

Хорошая опора - правило 3-2-1. Смысл не в цифрах, а в том, чтобы атака на домен или файловый сервер не уничтожила все копии сразу:

• Минимум три копии данных: рабочая и две резервные.
• Разные типы хранения (например, диск плюс объектное хранилище или лента).
• Одна копия вне сети или хотя бы вне домена и недоступна по обычным учетным данным.

Сильно усиливает защиту иммутабельность: режим, когда бэкап нельзя удалить или переписать до окончания срока хранения. Это может быть WORM, immutable bucket, защищенные снапшоты с жесткой политикой retention. Даже если злоумышленник получит доступ к серверу, «почистить хвосты» станет намного сложнее.

Отдельно про учетные записи. У системы резервного копирования должен быть свой сервисный пользователь без прав доменного администратора, с MFA там, где это возможно. Админы не должны заходить в консоль бэкапов теми же учетками, что и в AD.

Проверка восстановления важнее отчета «backup successful». Держите регулярный минимум:

• Раз в неделю: выборочное восстановление файлов в тестовую папку.
• Раз в месяц: восстановление виртуальной машины или сервера в изолированную среду.
• Раз в квартал: тест «с нуля» по критичным сервисам.

И не забудьте про то, что часто забывают бэкапить: System State/AD, конфиги гипервизора, правила и конфиги сетевого оборудования. Когда все горит, именно они сокращают простой с дней до часов.

Логи и контроль: что отслеживать, чтобы заметить атаку раньше

Даже хорошие настройки не спасают, если вы узнаете об атаке только утром по звонку бухгалтерии. Логи и простые оповещения дают шанс поймать первые шаги: подбор пароля, запуск подозрительного процесса, массовые изменения файлов.

Начните с включения аудита там, где обычно «тихо»: входы, изменения прав и групп, работа с общими папками. На файловых серверах и контроллерах домена особенно важны события, которые показывают резкие изменения и нетипичные действия.

Полезный минимум для мониторинга:

• Неудачные и необычные входы (ночью, с новых устройств, из нетипичных мест).
• Добавление пользователя в админские группы и смена прав на сетевые ресурсы.
• Отключение антивируса/EDR или службы обновлений.
• Массовое переименование и перезапись файлов на шарах.
• Запуск неизвестных исполняемых файлов из временных папок и профиля пользователя.

Оповещения должны уходить не «в общую почту», а конкретным людям. Определите минимум: кто получает уведомление, кто принимает решение об изоляции ПК или сервера, и за сколько минут нужно отреагировать (например, 15 минут в рабочее время и 30 минут ночью по дежурству).

Важно защитить сами логи. Если атакующий получил админские права, он часто пытается стереть следы. Дайте право на просмотр тем, кому нужно, но ограничьте удаление и изменение. Хорошая практика - пересылать события на отдельный сервер сбора логов, куда рабочие станции и обычные админы не могут «чистить историю».

Если подозрение подтвердилось, заранее знайте, что собирать для расследования:

• Системные и безопасностные логи Windows/Linux за последние 24-72 часа.
• Логи антивируса/EDR и сведения о срабатываниях.
• Список последних установленных программ и обновлений.
• Снимок оперативной памяти или образ диска критичной машины (если возможно).
• Список затронутых сетевых папок и учетных записей, от чьего имени шло шифрование.

Пример: один ПК начал быстро менять файлы на общей папке отдела. Если у вас есть оповещение на всплеск операций и появление новых расширений, вы успеете отключить этот ПК от сети и временно закрыть доступ к ресурсу до того, как пострадает весь диск.

Сценарий реагирования: пошаговый план на первые 4 часа

Цель первых часов - остановить шифрование, сохранить данные для разбора и не потерять возможность восстановления. План ниже подходит и для сервера, и для рабочего места, где вы видите странные расширения файлов, массовые ошибки доступа или записку вымогателя.

Первые 30 минут: остановить распространение

Действуйте быстро, но аккуратно. Если сомневаетесь, лучше изолировать лишнее, чем дать атаке уйти дальше.

• Немедленно отключите сеть у подозрительной машины: выдерните кабель или выключите Wi-Fi. Питание не выключайте, если нет риска повреждений.
• Остановите доступ к общим ресурсам: временно отключите общие папки на файловом сервере и снимите маппинги сетевых дисков в отделах, где началось шифрование.
• Заблокируйте учетку, под которой шло заражение, и сбросьте ее пароль. Если это админская учетная запись, считайте инцидент критическим.
• Закройте удаленный доступ, который мог быть входом: приостановите RDP/VPN для подозрительных пользователей и внешних адресов.

После этого зафиксируйте базовые факты: какие хосты затронуты, время первых симптомов, какие папки пострадали.

30-240 минут: доказательства, бэкапы, восстановление

Соберите минимум доказательств до любых чисток: список процессов и автозагрузки, активные подключения, последние события журналов. Если возможно, снимите образ диска или снапшот виртуальной машины. Это поможет понять, как злоумышленник попал внутрь, и не повторить ошибку.

Параллельно проверьте резервные копии. Убедитесь, что они не зашифрованы и не удалены: откройте несколько файлов из бэкапа и проверьте дату последней успешной копии. Выберите точку восстановления до первых признаков активности.

Восстановление делайте по приоритетам: сначала доменные службы, затем критичные файловые ресурсы и сервисы отделов, после этого рабочие места. Перед возвратом в сеть обновите пароли, проверьте политики прав доступа и усилите контроль запуска программ. Попытка «быстро поднять все как было» обычно заканчивается повторным шифрованием.

После инцидента обязательно закройте причину: патчи, правила удаленного доступа, раздельные права, изоляция бэкапов. Иначе повторное заражение часто происходит в течение дней.

Пример из жизни: как один ПК шифрует общий диск и что спасает

Сценарий простой. Сотрудник получает письмо, открывает вложение, и на его ПК запускается шифровальщик. Сначала он шифрует локальные файлы, затем идет по сетевым дискам. Если у пользователя был подключен общий ресурс (например, "Отдел"), вредонос начинает менять и переименовывать документы прямо на шаре, используя обычные права этого пользователя.

Снизить ущерб помогают быстрые и понятные действия:

• Сразу отключить ПК от сети (кабель или Wi-Fi), не ждать «пока закончит».
• Заблокировать учетную запись пользователя и завершить его сессии на файловом сервере.
• Временно закрыть общий ресурс для группы, если видно массовое шифрование.
• Зафиксировать базовые артефакты: имя ПК, логины, время первых изменений, список затронутых папок.
• Уведомить ответственных и работать по заранее согласованному плану.

Дальше важно понять масштаб. Часто оказывается, что вредонос работал не «как админ», а как обычный пользователь, и разрушил ровно то, куда у него были права записи. Поэтому критично быстро выяснить: пострадала одна шара, несколько, или уже есть следы компрометации через RDP и повышенные учетки.

Восстановление начинают с критичных папок (финансы, договоры), но только после того, как источник отключен и нет повторного шифрования. Затем возвращают доступы и внимательно наблюдают за изменениями.

Чаще всего спасают две вещи: раздельные права (нет записи в «чужие» отделы и системные каталоги) и изоляция бэкапов (резервные копии недоступны с рабочих станций и не смонтированы как обычный диск).

Главная мысль простая: один зараженный ПК не должен иметь возможности «вынести» весь файловый сервер одним набором прав.

Частые ошибки, из-за которых шифровальщик добивает инфраструктуру

Шифровальщик редко «побеждает» из-за сложности. Обычно ему помогают привычки и удобные, но опасные решения.

Самый частый сценарий: сотрудник открывает вложение, вредонос запускается и сразу получает доступ к общим папкам. Если права выданы «на всякий случай», шифруется не только его рабочая папка, но и сетевые ресурсы отдела.

Ошибки, которые чаще всего превращают один зараженный ПК в остановку отдела или всей компании:

• Слишком широкие права на файловых серверах и общих папках (запись есть у всех, наследование никто не проверяет).
• Одна админ-учетка «для всего», и ею же заходят на пользовательские ПК. В итоге вредонос получает привилегии через уже активную сессию.
• Резервные копии в той же сети и доступны теми же учетками, что и рабочие данные.
• Обновления откладывают месяцами из-за страха простоя, оставляя известные уязвимости открытыми.
• Бэкапы «есть», но восстановление не проверяли. В день инцидента выясняется, что копии неполные или не читаются.

Полезное правило: если атакующий вошел как обычный пользователь, он не должен автоматически получать доступ к админ-инструментам, массовой записи на шары и удалению или шифрованию резервных копий.

Короткий чеклист на 30 минут: быстро оценить готовность

Полноценный аудит за полчаса не сделать, но быстрая проверка хорошо показывает, где больнее всего и что закрывать в первую очередь.

Смысл каждого пункта не в том, что «что-то настроено», а в том, можете ли вы это подтвердить прямо сейчас.

• Резервные копии: есть ли хотя бы один бэкап, отделенный от домена и рабочих станций (не просто сетевой диск), и был ли тест восстановления за последние 30 дней.
• Админ-учетки: где используются учетные записи администратора. Есть ли отдельные админ-учетки и правило «админом не работаем в почте и браузере».
• Удаленный доступ: открыт ли RDP напрямую из интернета. Если не уверены, это уже риск. Зафиксируйте, кто подключается удаленно и каким способом.
• Обновления: стоят ли свежие обновления на критичных серверах и основных рабочих местах (хотя бы накопительные обновления ОС и офисных приложений).
• Логи и оповещения: включены ли базовые журналы на серверах, и есть ли хотя бы одно понятное оповещение (например, множественные ошибки входа или массовое изменение файлов на общем ресурсе).

В конце ответьте на два вопроса: кто принимает решение об изоляции (отключить ПК от сети, закрыть доступ к общим папкам, остановить сервисы) и что именно делаем в первые 4 часа. Если ответ размытый, назначьте конкретных людей и запишите порядок действий. Это экономит часы, когда все происходит на нервах.

Следующие шаги: план работ на месяц и кому поручить

Чтобы меры не остались набором разрозненных настроек, зафиксируйте план на месяц: что делаем, кто владелец, какой результат нужен на выходе. Начните с 10-15 самых важных шагов и согласуйте их с владельцами бизнес-сервисов.

План на 4 недели

• Неделя 1: собрать текущую картину (критичные серверы, общие папки, удаленный доступ, где лежат бэкапы), назначить владельцев задач и критерии готовности.
• Неделя 2: пилот на одном сегменте (права доступа, сегментация, изоляция резервных копий, базовые журналы) и проверка, что ничего не ломается.
• Неделя 3: подготовить стандартные политики для серверов и рабочих мест и развернуть на 30-50% парка.
• Неделя 4: провести короткую тренировку реагирования (1 час) и расширить внедрение на оставшиеся системы.

Простой способ проверить план: возьмите один типичный сценарий (заражение ПК и попытка шифрования общего диска) и пройдите его по шагам. Сразу станет видно, где нет контактов ответственных, как долго ищутся логи и кто может закрыть доступ к ресурсу.

Кому поручить

• Владелец ИБ: приоритеты, контроль рисков, согласование исключений.
• Системные администраторы: hardening, обновления, политики, учетные записи.
• Сетевой администратор: сегментация, правила межсетевого доступа, удаленный доступ.
• Ответственный за бэкапы: изоляция, тест восстановления, учет RPO и RTO.
• Владелец сервиса (бизнес): согласует окна работ и проверяет, что сервисы работают.

Если не хватает рук или нужен дизайн целевой схемы (серверы, сегментация, восстановление), подключайте системного интегратора. Например, GSE.kz как производитель серверов и системный интегратор может помочь со проектированием инфраструктуры и настройкой процессов, а также с круглосуточной технической поддержкой через сервисную сеть.