Top.Mail.Ru
О компании
Решения и услуги [26]
Техподдержка
Наши проекты
[20]
События
Контакты
Техподдержка и аутсорсинг IT-систем Запрос на техподдержку
8 800 550 1955

Пн–пт с 9:00 до 18:00

zapros@geekspace.ru
Оставить
заявку
Обсудить проект Обсудить проект
8 800 550 1955
  • Главная
  • Блог
    • Реагирование на инциденты с шифровальщиками (ransomware) и другим разрушительным вредоносным ПО

Реагирование на инциденты с шифровальщиками (ransomware) и другим разрушительным вредоносным ПО

Наша команда проводит полный комплекс мероприятий по реагированию на инциденты с шифровальщиками (ransomware) и другим разрушительным вредоносным ПО: обнаружение и локализация атаки, дешифровка или восстановление данных, восстановление серверов и рабочих станций, реконфигурация сетевой инфраструктуры, постинцидентный аудит и внедрение мер защиты.


Когда это актуально

  • Файлы зашифрованы и недоступны пользователям.
  • Сервисы (почта, ERP, CRM, базы данных) не работают.
  • Есть признаки удалённого внедрения/эскалации привилегий.

Наши возможности

  • Поиск и нейтрализация вредоносных модулей и источников распространения.
  • Дешифровка файлов с использованием собственных и партнёрских инструментов (когда есть возможность).
  • Восстановление из резервных копий и/или внедрение системы резервного копирования.
  • Восстановление Active Directory, почтовых систем, СУБД, файловых и виртуальных инфраструктур.
  • Сегментация и «заживление» сети, настройка правил доступа и мониторинга.
  • Подготовка отчёта об инциденте, рекомендации по повышению устойчивости и планы на будущее.

Этапы работ

1. Реагирование (24–48 часов)

  • Моментальная изоляция поражённых сегментов и устройств.
  • Сбор первичных артефактов (логи, список зашифрованных файлов).
  • Оценка масштаба и типа шифровальщика; предварительная вероятность дешифрования.

2. Удаление угрозы и локализация

  • Устранение активных бэкдоров, остановка зловредных процессов.
  • Блокировка каналов связи злоумышленников, смена учётных данных, временное усиление прав доступа.

3. Дешифровка и восстановление данных

  • Пробная дешифровка образца файлов для проверки корректности.
  • Масштабная дешифровка и восстановление данных.
  • Восстановление сервисов в контролируемой среде.

4. Реконструкция инфраструктуры

  • Восстановление AD, DNS, DHCP, почтовых систем, баз данных, виртуальных машин.
  • Приведение инфраструкты в безопасное состояние.

5. Постинцидентный аудит и усиление защиты

  • Полный отчёт, рекомендации по исправлению уязвимостей, внедрение систем резервного копирования, создание политики резервных копий, MFA, сегментация сети, EDR, SIEM, сетевая безопасность.

Гарантии и ограничения

  • Мы гарантируем прозрачность процедур и конфиденциальность.
  • Возможность дешифровки зависит от типа шифровальщика и наличия ключей/инструментов. В ряде случаев дешифровка невозможна.
  • Мы не поддерживаем и не поощряем оплату выкупа как первичную стратегию, велик риск потерять как деньги, так и данные.

Что нам нужно для первичного анализа

  • Описание симптомов и время обнаружения инцидента.
  • Доступ к одному или нескольким заражённым хостам (снимки дисков/виртуальных машин будут плюсом).
  • Образцы зашифрованных файлов.
  • Логи за период инцидента.
  • Доступ к резервным копиям и информации о последних успешных бэкапах.
  • Контакты IT-персонала и список критичных сервисов/приоритетов.

Стоимость определяется исходя из масштаба инцидента, сложности инфраструктуры и требуемого пакета работ.

Часто задаваемые вопросы

Можно ли вернуть все файлы гарантированно?

Гарантий 100% на дешифровку не существует — всё зависит от конкретного шифровальщика и наличия ключей. Наша задача — максимально восстановить данные всеми доступными способами и минимизировать потери.

Нужно ли платить злоумышленникам?

Мы не рекомендуем платить злоумышленникам. Оплата не гарантирует возврат всех данных и поддерживает экономику злоумышленников. Решение остаётся за вами; мы помогаем оценить риски.

Сколько времени займёт восстановление?

Время зависит от масштаба — от нескольких часов (локальная дешифровка/восстановление) до нескольких недель (восстановление крупной корпоративной среды). Точную оценку даём после первичной диагностики.

Вы помогаете с коммуникацией для регуляторов/клиентов?

Да — помогаем подготовить технические отчёты и шаблоны уведомлений для заинтересованных сторон и регуляторов.

Готовы начать восстановление прямо сейчас?

Свяжитесь с нами и мы проведем первичную диагностику и назовем план действий в первые часы после обращения.

Оставить заявку Оставить заявку
Поделитесь,
если вам было интересно:
Подберем для вас оптимальное решение
Обсудить проект Обсудить проект

Используя данный сайт, вы даёте согласие на использование файлов cookie и рекомендательных технологий Яндекс.Метрики, которые помогают нам улучшать его работу.

Хорошо Хорошо
Подробнее