Все системы работают Ваш IP: 216.73.216.63 info@cloudhosting.lv +371 66 66 29 69 Личный кабинет

← Все вопросы

Как защитить бизнес от программ-вымогателей

Что такое программа-вымогатель

Программа-вымогатель (ransomware) шифрует ваши файлы и требует выкуп за ключ расшифровки. Современные атаки сначала крадут данные и угрожают их опубликовать, поэтому оплата редко решает проблему. Для малого или среднего бизнеса одно заражение способно на несколько дней остановить работу, выставление счетов и обслуживание клиентов. Хорошая новость в том, что почти каждая успешная атака опирается на несколько устранимых слабых мест.

Как вымогатель попадает в компанию

  • Фишинговое письмо с вредоносным вложением или ссылкой.
  • Открытый удалённый доступ, особенно RDP или SSH, доступный всему интернету со слабыми паролями.
  • Необновлённое ПО: VPN-шлюзы, межсетевые экраны, плагины CMS и операционные системы.
  • Повторно используемые или утёкшие учётные данные без многофакторной аутентификации.
  • Скомпрометированные поставщики или обновления ПО.

Защищайтесь послойно

1. Резервные копии по правилу 3-2-1

Храните три копии данных на двух типах носителей, одну копию держите офлайн или неизменяемой и вне офиса. Неизменяемые (immutable) копии злоумышленник не сможет изменить или удалить, даже получив доступ к вашим серверам. Не реже раза в квартал проверяйте полное восстановление; резервная копия, которую вы ни разу не восстанавливали, это лишь надежда.

2. Быстро устанавливайте обновления

Большинство вымогателей используют уязвимости, исправленные месяцы назад. Включите автоматические обновления безопасности и в первую очередь следите за системами, доступными из интернета.

3. Внедрите MFA и надёжные пароли

Требуйте многофакторную аутентификацию для почты, VPN, удалённого рабочего стола и панелей администрирования. Один этот шаг блокирует большинство вторжений через украденные пароли.

4. Ограничьте удалённый доступ

Никогда не открывайте RDP напрямую. Разместите удалённый доступ за VPN, ограничьте исходные IP-адреса на вашем Firewall и используйте вход по SSH-ключам.

5. Фильтруйте почту и обучайте сотрудников

Используйте фильтрацию спама и вложений и научите сотрудников сообщать о подозрительных письмах. Блокируйте или изолируйте макросы Office, полученные из интернета.

6. Сегментируйте сеть и ограничьте права

Давайте пользователям и сервисам только необходимый доступ. Сегментация сети не позволит одной заражённой машине добраться до всех серверов и резервных копий.

Практическое усиление сервера

# Ubuntu/Debian: включить автоматические обновления безопасности
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

# SSH: вход только по ключу, отключить root и пароли
sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart ssh

# Firewall: по умолчанию запрет, разрешаем только нужное
sudo ufw default deny incoming
sudo ufw allow 22/tcp
sudo ufw enable

# Замедлить перебор паролей
sudo apt install fail2ban && sudo systemctl enable --now fail2ban

# Неизменяемая резервная копия вне офиса с restic
restic -r sftp:backup@backup.example.com:/srv/backups init
restic -r sftp:backup@backup.example.com:/srv/backups backup /var/www /etc

Если атака произошла

  1. Изолируйте затронутые машины: отключите сеть, но не выключайте, если нужна экспертиза.
  2. Определите масштаб и сохраните журналы (logs).
  3. По возможности не платите; оплата финансирует преступность и не гарантирует восстановление.
  4. Переустановите системы и только затем восстанавливайте из чистых, проверенных копий.
  5. Смените все пароли и ключи.
  6. Сообщите в органы и затронутым сторонам, как того требуют правила.

NIS2 и GDPR

Если ваша компания подпадает под NIS2 или обрабатывает персональные данные, инцидент с вымогателем, скорее всего, обязывает уведомить регулятора в сжатые сроки. Хранение резервных копий и журналов в ЕС упрощает соответствие требованиям и суверенитет данных.

Вывод

Сделать атаку невозможной нельзя, но проверенные офлайн-копии, быстрые обновления и MFA превращают большинство вымогателей из катастрофы в неудобство. Начните с резервной копии, которую вы действительно восстанавливали.

Готовы начать?

Запустите за минуты или обсудите с инженером, что подходит вашему проекту.