исследование 3 июня 2026

Расследование атаки шифровальщика: как это происходит

Расследование атаки шифровальщика (DFIR — digital forensics and incident response) — это не «починить компьютеры», а управляемый процесс: сдержать распространение, аккуратно собрать артефакты, найти точку входа, восстановить таймлайн действий атакующего, выполнить эрадикацию (выкорчевать закрепление) и только потом — восстановление. Цель — не просто вернуть данные, а понять, как злоумышленник вошёл и что успел сделать, чтобы он не вернулся. **Если коротко:** платить выкуп — почти всегда плохая идея (нет гарантий расшифровки, это финансирование преступной группы и сигнал «здесь платят»). Первым делом важно изолировать заражённое, но **не выключать** машины с ходу и **не уничтожать улики**: образы дисков и память нужны для расследования. Грамотный разбор делает специализированная команда реагирования. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге команд Incident Response и форензики](/rating/incident-response-forensics).

7 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Расследование атаки шифровальщика: как это происходит — Тематическая иллюстрация к исследованию: Расследование атаки шифровальщика: как это происходит. panumas nikhomkhai / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что такое расследование атаки шифровальщика

Шифровальщик (ransomware) — это финал, а не начало атаки. К моменту, когда появились зашифрованные файлы и записка с требованием выкупа, злоумышленник обычно уже несколько дней или недель находился в сети: получил первичный доступ, повысил привилегии, разведал инфраструктуру, выгрузил данные (двойное вымогательство) и удалил резервные копии. Поэтому задача расследования — не только реагирование «здесь и сейчас», но и форензика: восстановить полную картину инцидента по цифровым следам.

DFIR отвечает на четыре практических вопроса: **как** вошли (точка входа), **что** именно сделали (объём компрометации, выгрузка данных), **где** ещё закрепились (чтобы не зашифровали повторно) и **как** не допустить повторения. Без ответов на них восстановление из бэкапа лишь возвращает систему в уязвимое состояние — с тем же открытым входом.

Расследование шифровальщика: ориентиры

Платить ли выкуп Нет

Нет гарантий расшифровки, финансирование преступной группы, риск повторной атаки

Что сделать первым Изолировать

Отключить от сети, но не выключать и не «лечить» до снятия образов

Что нельзя терять Образы и память

Диск и RAM — основные источники артефактов для форензики

Главный артефакт входа Логи и записка

Точку входа ищут по логам, артефактам ОС и записке вымогателей

Этапы DFIR: от сдерживания до отчёта

Расследование идёт по управляемым этапам. На практике сдерживание и сбор артефактов частично перекрываются, но порядок принципиален: сначала остановить распространение и сохранить улики, и только потом — менять состояние систем. Подробный порядок первых действий разобран в материале [«Что делать при кибератаке: первые шаги и кому звонить»](/research/chto-delat-pri-kiberatake).

Как происходит расследование: 7 этапов

01 Сдерживание (containment)
Изолировать заражённые хосты от сети, отозвать скомпрометированные учётные записи, заблокировать каналы управления. Машины не выключаем и не «лечим» антивирусом — это уничтожит память и часть артефактов.
02 Сбор артефактов
Снять криминалистические образы дисков и дамп оперативной памяти, собрать журналы (ОС, домен-контроллер, EDR, межсетевой экран, VPN). Зафиксировать цепочку хранения улик, чтобы данные были пригодны и для разбора, и при необходимости для суда.
03 Поиск точки входа (initial access)
По логам и артефактам определить, как злоумышленник попал внутрь: фишинг, уязвимый внешний сервис, скомпрометированный VPN/RDP, подрядчик. Без закрытия этого входа любое восстановление временно.
04 Восстановление таймлайна атаки
Свести события в единую хронологию: первичный доступ → повышение привилегий → разведка → горизонтальное перемещение → выгрузка данных → удаление бэкапов → запуск шифрования. Это ядро отчёта и основа для оценки ущерба.
05 Оценка масштаба и выгрузки данных
Определить, какие системы затронуты и были ли украдены данные (double extortion). От этого зависят и приоритеты восстановления, и обязанности по уведомлению.
06 Эрадикация (eradication)
Удалить весь инструментарий и закрепление атакующего: вредоносные службы, задачи, веб-шеллы, бэкдоры, лишние учётные записи. Сбросить пароли и ключи. Цель — чтобы после восстановления нельзя было войти прежним путём.
07 Восстановление и отчёт
Поднять чистые системы из проверенных бэкапов, вернуть сервисы под усиленным мониторингом, подтвердить отсутствие активности атакующего. Финал — отчёт: таймлайн, точка входа, ущерб, индикаторы компрометации и рекомендации.

Этап → действия → артефакты

Сводная таблица помогает понять, что именно делает команда на каждом шаге и какие цифровые следы при этом используются. Артефакты — это и есть «материал дела»: их сохранность напрямую определяет, насколько полным будет расследование.

Этап	Что делает команда	Ключевые артефакты
Сдерживание	Сетевая изоляция, отзыв учёток, блок C2	Логи EDR и межсетевого экрана, NetFlow
Сбор артефактов	Образы дисков, дамп памяти, экспорт журналов	Образы дисков, дамп RAM, журналы ОС и AD
Точка входа	Анализ внешнего периметра и аутентификаций	Логи VPN/RDP, почты, веб-сервера, записка вымогателей
Таймлайн атаки	Корреляция событий в хронологию	Журналы Windows/Sysmon, артефакты выполнения, реестр
Масштаб и выгрузка	Поиск признаков эксфильтрации данных	Исходящий трафик, логи прокси, объёмы передачи
Эрадикация	Удаление закрепления и инструментов	Автозапуск, службы, задачи, веб-шеллы, новые учётки
Восстановление	Поднятие чистых систем, усиленный мониторинг	Проверенные бэкапы, baseline, индикаторы компрометации

На что уходят усилия в расследовании шифровальщика

Усреднённая редакционная оценка относительной трудоёмкости этапов по открытым практикам DFIR. Это ориентир для понимания процесса, а не замер по вашему инциденту.

Восстановление таймлайна атаки 90 /100

90 /100

Сбор артефактов 85 /100

85 /100

Поиск точки входа 80 /100

80 /100

Эрадикация закрепления 75 /100

75 /100

Оценка выгрузки данных 70 /100

70 /100

Сдерживание 60 /100

60 /100

Подготовка отчёта 55 /100

55 /100

Платить ли выкуп

Короткий ответ — нет. Платёж не гарантирует работающий дешифратор: данные могут остаться повреждёнными, а часть файлов — не восстановиться. Оплата напрямую финансирует преступную группу и помечает компанию как «платёжеспособную» цель — повторные атаки на заплативших не редкость. Кроме того, выкуп никак не закрывает точку входа: пока её не нашли и не устранили в ходе расследования, риск остаётся.

Деньги и время правильнее направить на грамотное реагирование и восстановление из бэкапов, а до инцидента — на договор экстренного реагирования, чтобы команда подключалась за часы, а не за дни. Зачем нужен такой договор и как он устроен — в материале [«IR-retainer: зачем нужен договор на экстренное реагирование»](/research/ir-retainer-zachem-nuzhen).

Чек-лист первых действий при шифровальщике

Изолируйте, но не выключайте отключите заражённые хосты от сети, сохранив их включёнными для снятия дампа памяти.

Не «лечите» и не переустанавливайте запуск антивируса и переустановка уничтожают артефакты и точку входа.

Зафиксируйте улики сохраните записку вымогателей, образцы зашифрованных файлов и журналы до их ротации.

Поднимите команду реагирования подключите внутренний или внешний DFIR; при наличии retainer активируйте его.

Не платите выкуп сходу оплата не гарантирует расшифровку и не закрывает вход; решение принимайте после оценки.

Проверьте бэкапы офлайн убедитесь, что резервные копии не затронуты и восстанавливаются из доверенной точки.

Закройте точку входа до восстановления устраните уязвимость и закрепление, иначе шифрование повторится.

Сравните команды по фактам выбирайте подрядчика по подтверждённым сигналам в [рейтинге IR и форензики](/rating/incident-response-forensics).

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Команды реагирования сравниваются по проверяемым сигналам: подтверждённые кейсы и внедрения, отзывы и интервью клиентов, внешняя репутация, специализация и прозрачность данных. Поэтому статью стоит читать в связке с [рейтингом команд Incident Response и форензики](/rating/incident-response-forensics): здесь — как устроено расследование, там — сравнение конкретных команд по подтверждённым фактам.

Следующий шаг

Поняли, как устроено расследование — переходите к выбору исполнителя: **[рейтинг команд Incident Response и форензики →](/rating/incident-response-forensics)**. Полезно прочитать рядом: [что делать при кибератаке](/research/chto-delat-pri-kiberatake), [зачем нужен IR-retainer](/research/ir-retainer-zachem-nuzhen) и [рейтинг команд Incident Response 2026](/research/rejting-incident-response-2026).

Частые вопросы

Нужно ли платить выкуп, чтобы вернуть данные?

Почти всегда нет. Оплата не гарантирует рабочий дешифратор, финансирует преступную группу и помечает компанию как платёжеспособную цель для повторных атак. К тому же выкуп не закрывает точку входа — без расследования и эрадикации риск остаётся. Деньги и время эффективнее направить на реагирование и восстановление из бэкапов.

Можно ли сразу выключить заражённые компьютеры?

Лучше изолировать их от сети, но оставить включёнными до снятия дампа оперативной памяти и образов дисков. Выключение и тем более «лечение» антивирусом уничтожают артефакты, по которым восстанавливают таймлайн и находят точку входа.

Сколько длится расследование атаки шифровальщика?

Зависит от масштаба сети, зрелости логирования и наличия резервных копий: от нескольких дней для одного сегмента до недель для распределённой инфраструктуры. Договор на экстренное реагирование (retainer) сокращает время подключения команды с дней до часов.

Что входит в отчёт по расследованию?

Таймлайн атаки (от точки входа до запуска шифрования), способ первичного доступа, оценка ущерба и факта выгрузки данных, перечень индикаторов компрометации и рекомендации по устранению уязвимостей и усилению защиты.

Можно ли справиться своими силами, без внешней команды?

Базовое сдерживание (изоляция, отзыв учёток) — да, и его стоит начать сразу. Но форензика, поиск точки входа и эрадикация закрепления требуют отдельной экспертизы и инструментов. Без них восстановление из бэкапа лишь возвращает систему в уязвимое состояние.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг команд Incident Response и форензики Сравнить поставщиков по подтверждённым сигналам Что делать при кибератаке: первые шаги и кому звонить IR-retainer: зачем нужен договор на экстренное реагирование Рейтинг команд Incident Response и форензики в России 2026