Пожар в сети: пошаговая инструкция по реагированию на атаку шифровальщика. Что делать в первые 60 минут

Почему первый час решает судьбу бизнеса

В информационной безопасности существует понятие «Золотого часа». Если атака шифровальщика (ransomware) — это эквивалент пожара в серверной, то ваши действия в первые 60 минут определяют, сгорит ли всё здание дотла или вы отделаетесь закопченными стенами и испугом.

Индустрия кибербезопасности ориентируется на правило 1-10-60:

• 1 минута на обнаружение угрозы.
• 10 минут на анализ и понимание вектора атаки.
• 60 минут на полное сдерживание (containment) и изоляцию угрозы.

Статистика инцидентов за 2024–2025 годы неумолима: организации, сумевшие мобилизоваться и изолировать угрозу в течение первого часа, снижали финансовый и репутационный ущерб на 70% по сравнению с теми, кто потратил это драгоценное время на панику, хаотичные звонки и поиск виноватых.

Операторы шифровальщиков — это не просто скрипты, это живые люди по ту сторону экрана. Они рассчитывают на ваш шок. Они надеются, что вы парализованы страхом. Но вы не будете. Этот материал — ваш боевой устав. Это чек-лист, который превращает жертву в защитника.

Шаг 0: ОБНАРУЖЕНИЕ — как узнать, что периметр прорван

Прежде чем лечить, нужно поставить диагноз. Атака шифровальщика редко происходит мгновенно; ей часто предшествует фаза разведки. Однако момент шифрования — это финальный аккорд. Как понять, что началось?

Признаки атаки: что вы увидите на мониторах

Вариант 1. Раннее обнаружение (Сценарий подготовленной защиты)
Если у вас развернуты системы класса EDR (Endpoint Detection and Response) или SIEM, вы узнаете об атаке до того, как файлы станут недоступны.

• Алерт от EDR: Система сигнализирует о подозрительном процессе, пытающемся выполнить инъекцию кода, остановить службу Volume Shadow Copy (VSS) или отключить антивирус (Windows Defender).
• Алерт от SIEM: Корреляционные правила выявляют аномалию: множественные неудачные попытки входа (Brute-force) → успешный вход под правами администратора → запуск процесса unknown.exe или подозрительного PowerShell-скрипта.
• Сетевая аномалия: Система мониторинга трафика (NTA) фиксирует массовое сканирование SMB-портов внутри сети или исходящий трафик на неизвестные IP-адреса (связь с C&C сервером).

Вариант 2. Позднее обнаружение (Худший, но частый сценарий)
Если автоматика промолчала, первыми сигнал подадут пользователи.

• Записка с выкупом: На рабочих столах массово появляются файлы RESTORE_FILES.txt, README_RECOVER.html или DECRYPT_INSTRUCTIONS.txt. Обои рабочего стола могут смениться на черный фон с красным текстом.
• Изменение расширений: Привычные файлы превращаются в цифровой мусор: .docx → .crypt, .xlsx → .locked, .jpg → .enc, .blackbit.
• Паралич инфраструктуры: Серверы перестают отвечать, базы данных 1С выдают ошибки чтения, приложения зависают, так как их исполняемые файлы зашифрованы прямо во время работы.

Что делать в первые 30 секунд после осознания

Самый опасный враг сейчас — хаос. Не звоните всем подряд в Telegram или WhatsApp, создавая информационный шум. Действуйте хладнокровно.

• Включите внутренний протокол эскалации: Свяжитесь с CISO, начальником IT или дежурным администратором.
• Произнесите фразу-триггер: «Мы подозреваем инцидент безопасности. Активируем протокол реагирования на Ransomware». Это переводит команду из режима «обслуживание» в режим «война».
• Верификация: Если сигнал пришел от EDR — проверьте хост вручную. Если пользователь сообщил о записке — попросите фото или проверьте сами. Ложное срабатывание лучше пропущенного удара, но подтверждение необходимо.

ШАГ 1: ИЗОЛЯЦИЯ (Containment) — ОСТАНОВИТЬ КРОВОТЕЧЕНИЕ

Это самый важный пункт всего руководства. Ваша цель на ближайшие 5 минут — остановить латеральное движение (горизонтальное распространение) вируса по сети. Шифровальщик ищет новые жертвы каждую секунду.

Если затронута одна машина (Нулевой пациент)

• Немедленно отключите сетевой кабель (Ethernet). Не надейтесь на программное отключение адаптера — вредонос может его блокировать. Физический разрыв соединения (выдернуть патч-корд) — это 100% гарантия.
• Отключите Wi-Fi: Используйте аппаратный переключатель на ноутбуке или сочетание клавиш (Fn+F2 и т.д.).
• Изолируйте периферию: Выдерните все USB-накопители, внешние жесткие диски. Если вирус доберется до подключенного бэкап-диска, вы потеряете резервную копию.
• Оставьте компьютер ВКЛЮЧЁННЫМ.
  • Критически важно: Не выключайте питание, не перезагружайте, не отправляйте в гибернацию.
  • Причина: В оперативной памяти (RAM) могут находиться ключи шифрования, которые вредонос сгенерировал, но еще не отправил на сервер злоумышленников. Перезагрузка очистит RAM, и ключи исчезнут навсегда. Это усложнит или сделает невозможной работу криминалистов (форензиков).
• Физическая изоляция: Если это ноутбук, отнесите его в отдельную комнату. Наклейте стикер «ИНЦИДЕНТ — НЕ ВКЛЮЧАТЬ В СЕТЬ».

Если затронут отдел или сегмент сети

Если вы видите, что заражение распространяется (например, падают серверы один за другим):

• «Рубите» свитчи. Физически отключите uplink-кабель, соединяющий зараженный сегмент (например, этаж бухгалтерии) с ядром сети.
• Блокировка на уровне Firewall/Core Switch: Если физически добраться сложно, используйте ACL (Access Control Lists).

  • Пример команды для Cisco IOS:

    access-list 101 deny ip 192.168.1.0 0.0.0.255 any

    Это изолирует подсеть 192.168.1.0/24 от остального мира.

• Закройте внешние каналы: Временно отключите VPN-шлюзы и RDP-доступ извне. Часто именно через них злоумышленники управляют процессом вручную.
• Оповещение: Сообщите сотрудникам через громкую связь или мессенджеры: «Внимание! Всем отключиться от файловых серверов и облака. Не открывать подозрительные файлы».

Ключевая догма: НЕ ВЫКЛЮЧАТЬ СИСТЕМЫ

Это противоречит инстинкту любого сисадмина («Выключи и включи — поможет»), но в случае с Ransomware это фатальная ошибка.

• Неправильно: «Давайте выключим сервер, чтобы он перестал шифровать».
• Правильно: «Отключаем сеть, оставляем питание».
  Некоторые современные штампы шифровальщиков при перезагрузке могут повредить файловую таблицу (MFT) или сделать данные невосстановимыми даже при наличии дешифратора.

ШАГ 2: АКТИВАЦИЯ КОМАНДЫ РЕАГИРОВАНИЯ — мобилизация сил

Инцидент — это не только техническая проблема, это кризис управления. В первые 10 минут вы должны собрать «Военный совет».

Срочное оповещение (Call Tree)

Используйте телефонные звонки. Email может быть скомпрометирован или заблокирован.

• Руководитель IT / CISO:
  • Сообщение: «Активирую протокол Incident Response. Подтверждена атака шифровальщика. Нужна мобилизация команды».
• Генеральный директор / Владелец бизнеса:
  • Сообщение: «У нас инцидент безопасности. Ситуация под контролем, команда работает. Предварительный отчет через 30 минут. Прошу не делать внешних заявлений».
• Юридический отдел (Legal) / DPO:
  • Сообщение: «Возможна утечка данных. Готовьтесь к процедурам уведомления регуляторов (GDPR, ОАЦ, Роскомнадзор)».
• Руководители бизнес-подразделений:
  • Сообщение: «Возможен простой сервисов. Подготовьте планы бумажного документооборота (BCP)».

Внешний контур (10–15 минут)

• Страховая компания (Cyber Insurance): Если у вас есть полис, звоните немедленно. Они часто предоставляют своих экспертов по реагированию.
• Провайдер облачных бэкапов: Запросите проверку целостности архивов.
• Подрядчик по ИБ (MSSP): Если есть контракт на Incident Response, вызывайте их.

Распределение ролей в штабе

Хаос побеждается структурой. Назначьте ответственных:

Защищенные каналы связи (Out-of-Band)

Злоумышленник может читать вашу почту или сидеть в корпоративном Slack/Teams.

• Создайте группу в Signal или Threema.
• Используйте личные телефоны, если корпоративная VoIP телефония лежит.
• Правило: Никаких паролей и ключей в текстовом виде — только голосом или на бумаге.

ШАГ 3: ОЦЕНКА МАСШТАБА — разведка боем

Задача: за 15–30 минут очертить «зону поражения» (Blast Radius).

Быстрая диагностика инфраструктуры

• Файловые серверы и NAS: Проверьте корневые папки. Есть ли там файлы .txt с требованиями?

  • PowerShell для поиска:

    Get-ChildItem -Path "\\FileServer\Share" -Recurse -Filter "RESTORE*" | Select-Object FullName, LastWriteTime

• Контроллеры домена (AD): Работают ли службы аутентификации? Доступна ли папка SYSVOL? Часто хакеры атакуют DC в первую очередь.
• Тип данных: Что зашифровано?
  • Бухгалтерия (финансы)?
  • CRM (персональные данные клиентов)?
  • Конструкторская документация (интеллектуальная собственность)?
  • От этого зависит юридическая стратегия.
• Резервные копии: Самый страшный вопрос. Затронуты ли Backup-серверы? Проверьте консоль управления (Veeam, Commvault). Если бэкапы удалены или зашифрованы — ситуация переходит в разряд критической.

Инструменты для сканирования

• EDR консоль: Посмотрите дерево процессов. Откуда начался запуск? Какие хосты "покраснели"?
• SIEM: Ищите всплески файловой активности или сетевого трафика.
• Сетевые сканеры: Осторожно используйте Nmap/Nessus, чтобы не создать лишнюю нагрузку, но проверить доступность критичных узлов.

ШАГ 4: СОХРАНЕНИЕ УЛИК (Digital Forensics) — работа для прокурора

На этом этапе многие совершают ошибку: бросаются всё переустанавливать. Стоп. Без улик вы не получите страховку, не сможете подать заявление в полицию и не поймете, как хакеры вошли, чтобы закрыть дыру.

4.1. Сохранение состояния (Preservation)

• Не выключать зараженные ПК.
• Сфотографируйте экраны мониторов (на смартфон) с текстом выкупа. Зафиксируйте время съемки.
• Запишите расширения зашифрованных файлов (например, .lockbit, .phobos). Это «отпечатки пальцев» группировки.

4.2. Дамп оперативной памяти (RAM Dump) — Золотое руно криминалистики

Это действие №1 для технического специалиста.

• Зачем: В памяти хранятся процессы вредоноса, расшифрованные пароли администраторов, IP-адреса серверов управления (C2) и, возможно, ключи шифрования.
• Как:
  • Возьмите чистую USB-флешку с утилитами (на "чистом" компьютере).
  • Инструменты: Belkasoft RAM Capturer (простой), FTK Imager (классика), WinPMEM.
  • Вставьте флешку в зараженный ПК и запустите утилиту (желательно CLI версию, чтобы минимизировать аллокацию памяти).

  • Пример команды:

    belkasoft-ram-capturer.exe -o E:\memdump_server01.bin

  • Chain of Custody: Сразу после создания дампа вычислите его хеш-сумму, чтобы доказать неизменность улики.

    certutil -hashfile E:\memdump_server01.bin SHA256

4.3. Сбор логов и образов

• SIEM/Syslog: Сделайте экспорт логов за последние 72 часа на внешний, физически отключенный носитель (Cold Storage).

• Windows Event Logs: Если SIEM нет, скопируйте файлы .evtx вручную с зараженной машины (System, Security, Application, PowerShell/Operational).

  wevtutil epl Security E:\Security_Evidence.evtx

• Сетевые логи: Экспорт логов с Firewall и VPN-концентратора.

4.4. Документирование инцидента

Заведите формальный документ «Incident Response Log». Он потребуется страховой компании и юристам.

Форма инцидента — Ransomware Attack
────────────────────────────────────────
Дата/Время обнаружения: [YYYY-MM-DD HH:MM]
Кем обнаружено: [Должность, ФИО]
Симптомы: [Записка, расширение файлов .crypt]

Затронутые активы:
- Server: SRV-DB01 (IP: 10.0.1.50) - Зашифрован
- Server: SRV-APP02 (IP: 10.0.1.51) - Изолирован

Действия:
[10:15] Изоляция сегмента VLAN 10.
[10:20] Снят дамп памяти с SRV-DB01 (Hash: abc1234...)
[10:30] Уведомлен CISO.

Ответственные лица:
IC: [Имя]
Forensic Lead: [Имя]

ШАГ 5: ИДЕНТИФИКАЦИЯ ШТАММА — знай своего врага

Чтобы бороться, нужно знать, кто вас атакует. «Петя», «LockBit» или «Dharma» — это разные алгоритмы, разные переговорные тактики и разные шансы на бесплатное спасение.

Методы идентификации

• Анализ записки: Ищите название группировки в тексте, ссылки на TOR-сайты (.onion), уникальные ID.
• Анализ расширения: Загуглите «ransomware extension .[ваше_расширение]».
• ID Ransomware: Используйте ресурсы типа ID Ransomware (id-ransomware.malwarehunterteam.com). Загрузите туда записку о выкупе и один зашифрованный файл. Сервис определит семейство вируса.
• VirusTotal: Загрузите хеш (не сам файл, если он содержит конфиденциальные данные!) исполняемого файла шифровальщика, если удалось его найти.

Зачем это нужно?

• Поиск декриптора: Для старых или плохо написанных шифровальщиков (например, ранние версии Crysis/Dharma, STOP/Djvu) существуют бесплатные утилиты расшифровки от "No More Ransom" или "Kaspersky".
• Понимание вектора: LockBit часто заходит через RDP, Clop — через уязвимости в софте передачи файлов. Знание врага подскажет, где искать дыру.

ШАГ 6: ОЦЕНКА РЕЗЕРВНЫХ КОПИЙ — момент истины

Сейчас решается судьба денег компании.

• Проверка даты: Последний успешный бэкап был сделан до момента заражения? (Помните про время "обитания" хакера в сети — dwell time).
• Проверка целостности: Не зашифрованы ли сами файлы резервных копий внутри репозитория?
• Test Restore: Попробуйте восстановить один критичный файл в изолированной среде ("песочнице"). Открывается ли он?

Вердикт:

• Бэкапы чисты и работают: Поздравляем. Вы не платите выкуп. Начинается процедура Wipe & Restore (очистка и восстановление).
• Бэкапы уничтожены: Ситуация критическая. Необходимо рассмотреть юридические и технические последствия потери данных.

ШАГ 7: ЮРИДИЧЕСКИЙ ТРЕК И INSURANCE — работа «взрослых»

Эти действия должны быть выполнены в первые 24 часа.

Уведомление правоохранительных органов

• США/Мир: ФБР (через IC3.gov), CISA.
• Беларусь: ОАЦ (Оперативно-аналитический центр), МВД (Управление «К»).
• РФ: ФСБ (НКЦКИ), МВД.
• Зачем: Это может быть требованием закона. Кроме того, у органов могут быть ключи расшифровки, изъятые с серверов преступников в ходе прошлых операций.

Страховая компания (Cyber Insurance)

Позвоните и заявите о страховом событии (Claim).

• Предоставьте всю собранную документацию.
• Страховщик часто назначает Breach Coach — юриста, специализирующегося на киберинцидентах, который возьмет на себя руководство процессом, включая переговоры с хакерами (если до этого дойдет).

ЧТО НЕ ДЕЛАТЬ: 5 СМЕРТЕЛЬНЫХ ОШИБОК

Ошибка 1: Немедленная выплата выкупа.

• Реальность: Выплата не гарантирует расшифровку. По статистике 2025 года, 80% заплативших подвергаются повторной атаке, а 46% так и не получают свои данные назад. Кроме того, вы спонсируете терроризм.

Ошибка 2: Паника и «самодеятельность».

• Реальность: Попытки лечить файлы сомнительными утилитами из интернета могут необратимо повредить структуру данных, сделав профессиональную расшифровку невозможной.

Ошибка 3: Сокрытие инцидента.

• Реальность: «Спрятать голову в песок» — худшая стратегия. Если данные утекли, они всплывут в DarkWeb. Штрафы от регуляторов за сокрытие утечки часто превышают сумму выкупа.

Ошибка 4: Перезагрузка серверов до сбора улик.

• Реальность: Вы стираете следы преступления и ключи шифрования в RAM. Это выстрел себе в ногу.

Ошибка 5: Общение с вымогателями без подготовки.

• Реальность: Вступая в переписку самостоятельно, вы выдаете свой страх и готовность платить. Это работа для профессиональных переговорщиков.

ВОПРОС О ВЫПЛАТЕ: когда это единственный выход?

ФБР, CISA и эксперты по ИБ (включая автора этой статьи) настоятельно рекомендуют НЕ ПЛАТИТЬ.

Однако в реальном бизнесе бывают безвыходные ситуации (угроза жизни пациентов в больнице, полное уничтожение бизнеса). Если решение о выплате рассматривается:

• Проверка OFAC (Office of Foreign Assets Control): Это критически важно. Многие группировки (Evil Corp, Lazarus) находятся под санкциями США. Выплата им — это уголовное преступление (нарушение санкционного режима), даже если вы находитесь не в США, но используете SWIFT или американские технологии.
• Юридическое одобрение: Решение должно быть задокументировано советом директоров с участием юристов.

ПРАКТИЧЕСКИЙ ЧЕК-ЛИСТ: ПЕРВЫЕ 60 МИНУТ

Распечатайте этот список и повесьте в серверной. В час «Ч» он спасет вам рассудок.

RANSOMWARE INCIDENT RESPONSE CHECKLIST
═══════════════════════════════════════════════════════════

0–5 МИНУТ: СДЕРЖИВАНИЕ (CONTAINMENT)
──────────────────────────────────────────
[ ] Подтвердить факт атаки (алерт / записка / расширение файлов).
[ ] ФИЗИЧЕСКИ ОТКЛЮЧИТЬ сетевые кабели (Ethernet) на зараженных хостах.
[ ] Отключить Wi-Fi адаптеры.
[ ] Изолировать сегмент сети (отключить uplink на свитче).
[ ] Отключить USB-диски и внешние хранилища.
[ ] ОСТАВИТЬ ПИТАНИЕ ВКЛЮЧЕННЫМ (Не перезагружать!).

5–15 МИНУТ: МОБИЛИЗАЦИЯ
──────────────────────────────────────
[ ] Звонок CISO / IT-Директору.
[ ] Звонок Гендиректору и Юристам.
[ ] Создать чат в Signal/Threema (не использовать корпоративную почту).
[ ] Назначить Incident Commander.

15–30 МИНУТ: ОЦЕНКА И БЭКАПЫ
─────────────────────────────────────
[ ] Проверить статус Backup-серверов (целостность и доступность).
[ ] Определить масштаб заражения (сколько хостов, какие системы).
[ ] Определить критичность данных (персональные, финансы).
[ ] Сделать фото экранов с требованиями выкупа.

30–45 МИНУТ: КРИМИНАЛИСТИКА (FORENSICS)
──────────────────────────────────────────
[ ] Снять дамп оперативной памяти (RAM) на USB.
[ ] Вычислить хеш-сумму дампа (SHA-256).
[ ] Сохранить логи SIEM/Firewall на внешний носитель.
[ ] Экспортировать Windows Event Logs (.evtx).

45–60 МИНУТ: ИДЕНТИФИКАЦИЯ И ВНЕШНИЕ СВЯЗИ
────────────────────────────────────────────
[ ] Определить тип шифровальщика (ID Ransomware).
[ ] Уведомить страховую компанию.
[ ] Подготовить уведомление для регуляторов/правоохранителей.
[ ] Начать планирование восстановления (Restore Plan).

═══════════════════════════════════════════════════════════
ГЛАВНОЕ ПРАВИЛО: НЕ ПЛАТИТЕ САМИ. НЕ ПЕРЕЗАГРУЖАЙТЕ.
═══════════════════════════════════════════════════════════

Готовность — это действие

Первые 60 минут атаки определяют всё. Организация, которая действует по этому плану, превращает катастрофу в управляемый инцидент. Она сохраняет улики, минимизирует простой и защищает свою репутацию.

Тот, кто поддается панике, теряет контроль, данные и деньги. В информационной безопасности надежда — это не стратегия. Ваша стратегия — это этот протокол.