Как защитить бизнес от программ-вымогателей
Что такое программа-вымогатель
Программа-вымогатель (ransomware) шифрует ваши файлы и требует выкуп за ключ расшифровки. Современные атаки сначала крадут данные и угрожают их опубликовать, поэтому оплата редко решает проблему. Для малого или среднего бизнеса одно заражение способно на несколько дней остановить работу, выставление счетов и обслуживание клиентов. Хорошая новость в том, что почти каждая успешная атака опирается на несколько устранимых слабых мест.
Как вымогатель попадает в компанию
- Фишинговое письмо с вредоносным вложением или ссылкой.
- Открытый удалённый доступ, особенно RDP или SSH, доступный всему интернету со слабыми паролями.
- Необновлённое ПО: VPN-шлюзы, межсетевые экраны, плагины CMS и операционные системы.
- Повторно используемые или утёкшие учётные данные без многофакторной аутентификации.
- Скомпрометированные поставщики или обновления ПО.
Защищайтесь послойно
1. Резервные копии по правилу 3-2-1
Храните три копии данных на двух типах носителей, одну копию держите офлайн или неизменяемой и вне офиса. Неизменяемые (immutable) копии злоумышленник не сможет изменить или удалить, даже получив доступ к вашим серверам. Не реже раза в квартал проверяйте полное восстановление; резервная копия, которую вы ни разу не восстанавливали, это лишь надежда.
2. Быстро устанавливайте обновления
Большинство вымогателей используют уязвимости, исправленные месяцы назад. Включите автоматические обновления безопасности и в первую очередь следите за системами, доступными из интернета.
3. Внедрите MFA и надёжные пароли
Требуйте многофакторную аутентификацию для почты, VPN, удалённого рабочего стола и панелей администрирования. Один этот шаг блокирует большинство вторжений через украденные пароли.
4. Ограничьте удалённый доступ
Никогда не открывайте RDP напрямую. Разместите удалённый доступ за VPN, ограничьте исходные IP-адреса на вашем Firewall и используйте вход по SSH-ключам.
5. Фильтруйте почту и обучайте сотрудников
Используйте фильтрацию спама и вложений и научите сотрудников сообщать о подозрительных письмах. Блокируйте или изолируйте макросы Office, полученные из интернета.
6. Сегментируйте сеть и ограничьте права
Давайте пользователям и сервисам только необходимый доступ. Сегментация сети не позволит одной заражённой машине добраться до всех серверов и резервных копий.
Практическое усиление сервера
# Ubuntu/Debian: включить автоматические обновления безопасности sudo apt install unattended-upgrades sudo dpkg-reconfigure --priority=low unattended-upgrades # SSH: вход только по ключу, отключить root и пароли sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config sudo systemctl restart ssh # Firewall: по умолчанию запрет, разрешаем только нужное sudo ufw default deny incoming sudo ufw allow 22/tcp sudo ufw enable # Замедлить перебор паролей sudo apt install fail2ban && sudo systemctl enable --now fail2ban # Неизменяемая резервная копия вне офиса с restic restic -r sftp:backup@backup.example.com:/srv/backups init restic -r sftp:backup@backup.example.com:/srv/backups backup /var/www /etc
Если атака произошла
- Изолируйте затронутые машины: отключите сеть, но не выключайте, если нужна экспертиза.
- Определите масштаб и сохраните журналы (logs).
- По возможности не платите; оплата финансирует преступность и не гарантирует восстановление.
- Переустановите системы и только затем восстанавливайте из чистых, проверенных копий.
- Смените все пароли и ключи.
- Сообщите в органы и затронутым сторонам, как того требуют правила.
NIS2 и GDPR
Если ваша компания подпадает под NIS2 или обрабатывает персональные данные, инцидент с вымогателем, скорее всего, обязывает уведомить регулятора в сжатые сроки. Хранение резервных копий и журналов в ЕС упрощает соответствие требованиям и суверенитет данных.
Вывод
Сделать атаку невозможной нельзя, но проверенные офлайн-копии, быстрые обновления и MFA превращают большинство вымогателей из катастрофы в неудобство. Начните с резервной копии, которую вы действительно восстанавливали.
Читайте дальше
Готовы начать?
Запустите за минуты или обсудите с инженером, что подходит вашему проекту.