Определение простыми словами
Ransomware — это «цифровой захват заложника». Зловред заходит на сервер через украденный пароль или незакрытую уязвимость, шифрует базы, документы, бэкапы и оставляет записку: «Заплати в биткоинах, иначе ключ удалим». Современные семейства (LockBit, ALPHV, Cl0p) ещё и сливают данные, угрожая публикацией.
Защита строится в три рубежа: предотвращение (MFA, патчи, антивирус), обнаружение (мониторинг аномальных операций записи) и восстановление (офлайн-бэкапы и снапшоты).
Сравнение
| Тип атаки | Канал входа | Что шифрует | Контрмера |
|---|---|---|---|
| Фишинг с офисным макросом | Почта | Документы пользователя и сетевые шары | Блок макросов, обучение, MFA на почту |
| Эксплойт RDP/SSH | Открытый порт в интернете | Весь сервер и подключённые диски | VPN, fail2ban, ключи вместо паролей |
| Supply-chain (заражённое обновление) | Доверенный установщик | Системные файлы и бекапы | Подпись пакетов, изоляция CI/CD |
| Web-shell через уязвимость CMS | Заражённый плагин | Файлы сайта, БД | WAF, патчи, аудит плагинов |
Кейсы использования
- Бухгалтерия 1С — шифровальщик через RDP с слабым паролем, восстановление за час из снапшота гипервизора.
- Интернет-магазин — заражение wp-content через старую тему, спасение через Git и ежедневный SQL-дамп.
- Файловый сервер компании — внедрение песочницы для вложений и сегментация сети, чтобы зараза не дошла до бэкап-узла.
- Хостинг WordPress — Wordfence и автоматическое обновление ядра отбивают массовые волны через известные CVE.
- Негативный сценарий: держать единственный бэкап на том же сервере — шифровальщик уничтожит и его. Бэкап обязан быть на отдельной машине, желательно с pull-схемой и иммутабельным хранилищем.
Технические детали
# Поиск свежезашифрованных файлов (массовое изменение)
find /var/www -mmin -60 -type f | head -50
# Подозрительные расширения шифровальщиков
find / -type f ( -name "*.lockbit" -o -name "*.crypted"
-o -name "*.encrypted" -o -name "README_*.txt" ) 2>/dev/null
# Иммутабельный бэкап через restic + REST-server append-only
restic -r rest:https://backup.srv:8000/web init
restic -r rest:https://backup.srv:8000/web backup /var/www
# Снапшот ZFS до сомнительной операции
zfs snapshot tank/data@before-update
# Откат при заражении
zfs rollback tank/data@before-update
# Мониторинг аномальной записи через auditd
auditctl -w /var/www -p wa -k web_write
ausearch -k web_write -ts recent🔥 Где это применяется
Частые вопросы
Стоит ли платить выкуп?
ФБР и Европол не рекомендуют: половина случаев — ключ либо не присылают, либо он не расшифровывает данные полностью. Заодно вы финансируете следующую волну атак на других.
Антивирус спасёт от современного шифровальщика?
Не всегда. EDR-системы ловят поведение (массовое шифрование, удаление теневых копий), но новые штаммы обходят сигнатуры. Главная защита — недоступные для атакующего бэкапы.
Как часто делать бэкапы для защиты от ransomware?
Правило 3-2-1: три копии, на двух носителях, одна — оффсайт и иммутабельная. Для критичных данных — почасовые снапшоты, для документов — ежедневные.