Защита от ransomware

Почему стандартные советы часто не работают

Большинство публичных рекомендаций сосредоточено на установке антивируса и здравом смысле. Реальность такова, что современные ransomware-атаки обходят сигнатурные детекторы за секунды. В 2026 году основная угроза исходит не от фишинговых писем с макросами, а от легитимных инструментов администрирования (Cobalt Strike, PowerShell), которые злоумышленники используют после взлома. Эксперты фиксируют: 80% успешных заражений начинаются не с «кнопки скачать», а с перехвата сессии удаленного доступа (RDP) с простым паролем.

Распространенные заблуждения (которые стоят денег)

• «Бэкап на внешнем диске — полная защита». Неверно. Современные шифровальщики ищут подключенные диски по буквам (D:, E:) и уничтожают теневые копии (VSS). Бэкап должен быть автономным (отключаемым) или с поддержкой immutable (неизменяемых) снапшотов.
• «Антивирус спасет». Типичное заблуждение. AV-решения не анализируют поведение легитимных скриптов, запущенных с админскими правами. Профессионалы делают ставку на AppLocker или WDAC (политики ограничения ПО), которые блокируют запуск любых неподписанных исполняемых файлов из папок %TEMP% и %APPDATA%.
• «Спам-фильтр отсеет письма с угрозами». Частично верно. Но атакующие используют скомпрометированные аккаунты реальных контрагентов. Письмо от доверенного лица с вложением «счет.pdf» (SHA-1 подмена) не отсеивается фильтром. Тренируйте персонал не открывать вложения без верификации через второй канал (звонок или мессенджер).

Профессиональные методы: на что обращают внимание специалисты

1. Микросегментация сети. Даже если ransomware проник на ПК бухгалтера, он не должен видеть файловый сервер с общими документами. Настройте VLAN и политики брандмауэра: рабочие станции одной группы (например, отдел кадров) не имеют доступа к ресурсам другой группы (склад) без явного разрешения.
2. Отключение PowerShell для пользователей. Нет ни одной реальной бизнес-задачи, для которой бухгалтеру или менеджеру нужен полноценный PowerShell. Специалисты по безопасности применяют GPO: блокируют выполнение скриптов (PowerShell в режиме ConstrainedLanguage) и отключают Windows Script Host для непривилегированных учеток.
3. Аудит привилегий. Классическая ошибка — давать локальные права администратора «на всякий случай». Ransomware использует эти права для отката VSS и установки драйверов-блокировщиков. Используйте принцип наименьших привилегий: даже ИТ-администраторам выдавайте отдельную учетную запись с правами только для задач администрирования (и никогда — для ежедневной работы).
4. Иммутабельные (неизменяемые) логи. Злоумышленник, получив доступ к серверу, часто стирает журналы событий, чтобы скрыть следы внедрения. Настройте отправку логов в SIEM-систему с защитой от перезаписи (write-once-read-many). Это позволит точно определить время и вектор атаки, а не гадать, когда сработал шифровальщик.

Скрытые риски: о чем молчат в инструкциях

В 2026 году участились случаи атак на механизмы восстановления. После выполнения кода-шифровальщика злоумышленники оставляют запланированные задачи (schtasks), которые через 48 часов удаляют теневые копии и резервные точки восстановления. Еще один нюанс: современные вариации LockBit и BlackCat используют асинхронное шифрование — файлы блокируются не сразу, а по временной шкале, чтобы усыпить бдительность пользователей. Первый признак — резкое замедление записи на диск (NVMe-накопитель начинает работать с задержками). Если заметили — немедленно отключайте устройство от сети (аппаратно, выдернув кабель RJ-45) и вызывайте специалиста.

Практический чек-лист от эксперта

• Правило 3-2-1-1-0: 3 копии данных, на 2 разных носителях, 1 из которых офлайн (отключен от ПК), 1 — в облаке с неизменяемостью, 0 — ошибок восстановления при ежемесячном тесте.
• Обязательный MFA (многофакторка) — на всех RDP, VPN и почтовых аккаунтах. Используйте аппаратные ключи FIDO2, а не SMS (SMS уязвимы для sim-swap).
• Отключение SMBv1 и NetBIOS — протоколы, через которые часто распространяется WannaCry и его наследники.
• Периодическое сканирование на утечки — проверяйте по аккаунтам (логин/пароль) через сервисы вроде HaveIBeenPwned или DeHashed. Скомпрометированные пароли — прямой путь для фишинга.

Запомните: абсолютная гарантия защиты от ransomware невозможна. Цель вашей стратегии — сделать атаку экономически нецелесообразной для злоумышленника. Быстрое обнаружение, отказоустойчивые бэкапы и жесткие политики выполнения кода — вот три столпа, на которых строится работа профессионала.

Добавлено: 25.04.2026