ГЛАВНЫЙ ПРИЗНАК ТОГО, ЧТО ВАС ЗАШИФРОВАЛИ
Представьте утро: бухгалтер не может зайти в базу, почта не открывается, сервер «лежит». Первая мысль — техсбой.
«Наверное, жесткий диск посыпался» или «опять провайдер чудит».
Но есть один симптом, который не спутать ни с одной поломкой железа.
Ультиматум на рабочем столе
Главный признак реального взлома с шифрованием — это требование выкупа (Ransom Note).
Если сервер просто сломался, он молчит. Если его взломали, он начинает с вами «разговаривать». Обычно это текстовый файл
Что всегда есть в таком послании:
— Идентификатор: Ваш личный номер в системе хакеров (ID).
— Инструкция: Как скачать специальный браузер (Tor) и по какой ссылке перейти.
— Контакты: Почта или чат для связи с «поддержкой» вымогателей.
Почему этот файл важен?
Не спешите его удалять. Эта записка — важнейшая улика для расследования:
1. Кто нападает? По ID, контактам, тексту и стилю можно понять, какая группировка вас атаковала.
2. Это точно они? Записка подтверждает, что это внешняя атака, а не проделки обиженного сотрудника-инсайдера.
3. Ключ к спасению: В ней содержится инфо, которое теоретически позволяет получить ключ для расшифровки, если платить выкуп (хотя мы категорически не рекомендуем кормить мошенников — гарантий нет).
Торг уместен?
Интересный факт: в самой записке сумму выкупа почти никогда не пишут сразу. Хакеры — тоже «бизнесмены». Они сначала ждут, когда вы выйдете на связь, оценивают масштаб ваших бед, а потом называют цифру и начинают торговаться.
(!) Если записка появилась — вы уже опоздали
Нужно быть честными: если вы видите это сообщение, ваши данные уже зашифрованы или еще и украдены. Бизнес встал.
Теперь это вопрос не «как защититься», а «как быстро и дорого мы будем восстанавливаться».
Безопасностью нужно заниматься ДО того, как вы увидели записку.
Мы в 4sec помогаем не допустить этого сценария. Но если беда уже случилась:
— Поможем восстановить работу бизнеса максимально быстро.
— Проведем расследование: найдем «дыру», через которую они зашли.
— Заделаем её так, чтобы второй раз к вам не постучались и предотвратим появление новых.
Не ждите «записок» от хакеров. Начните защищаться прямо сейчас: 4security.ru
---
Ваш капитал под защитой, если вы действуете на опережение.
Представьте утро: бухгалтер не может зайти в базу, почта не открывается, сервер «лежит». Первая мысль — техсбой.
«Наверное, жесткий диск посыпался» или «опять провайдер чудит».
Но есть один симптом, который не спутать ни с одной поломкой железа.
Ультиматум на рабочем столе
Главный признак реального взлома с шифрованием — это требование выкупа (Ransom Note).
Если сервер просто сломался, он молчит. Если его взломали, он начинает с вами «разговаривать». Обычно это текстовый файл
.txt или картинка, которая заменяет ваши обои на рабочем столе. Такие «записки» хакеры оставляют на каждой зашифрованной машине, чтобы вы точно их заметили.Что всегда есть в таком послании:
— Идентификатор: Ваш личный номер в системе хакеров (ID).
— Инструкция: Как скачать специальный браузер (Tor) и по какой ссылке перейти.
— Контакты: Почта или чат для связи с «поддержкой» вымогателей.
Почему этот файл важен?
Не спешите его удалять. Эта записка — важнейшая улика для расследования:
1. Кто нападает? По ID, контактам, тексту и стилю можно понять, какая группировка вас атаковала.
2. Это точно они? Записка подтверждает, что это внешняя атака, а не проделки обиженного сотрудника-инсайдера.
3. Ключ к спасению: В ней содержится инфо, которое теоретически позволяет получить ключ для расшифровки, если платить выкуп (хотя мы категорически не рекомендуем кормить мошенников — гарантий нет).
Торг уместен?
Интересный факт: в самой записке сумму выкупа почти никогда не пишут сразу. Хакеры — тоже «бизнесмены». Они сначала ждут, когда вы выйдете на связь, оценивают масштаб ваших бед, а потом называют цифру и начинают торговаться.
(!) Если записка появилась — вы уже опоздали
Нужно быть честными: если вы видите это сообщение, ваши данные уже зашифрованы или еще и украдены. Бизнес встал.
Теперь это вопрос не «как защититься», а «как быстро и дорого мы будем восстанавливаться».
Безопасностью нужно заниматься ДО того, как вы увидели записку.
Мы в 4sec помогаем не допустить этого сценария. Но если беда уже случилась:
— Поможем восстановить работу бизнеса максимально быстро.
— Проведем расследование: найдем «дыру», через которую они зашли.
— Заделаем её так, чтобы второй раз к вам не постучались и предотвратим появление новых.
Не ждите «записок» от хакеров. Начните защищаться прямо сейчас: 4security.ru
---
Ваш капитал под защитой, если вы действуете на опережение.
🔥10👍3
Forwarded from RCloud by 3data☁️
Вебинар «Как бизнесу защититься от кибервымогателей?»
22 апреля 2026 года облачная платформа RCloud by 3data вместе с партнером 4Security проведет вебинар о том, как защитить бизнес от атак кибервымогателей.
На вебинаре обсудим современные киберугрозы для бизнеса и подходы к повышению уровня информационной безопасности компаний:
📌 как работает криминальная индустрия кибервымогателей и какие схемы используются чаще всего;
📌 типичные ошибки компаний, которые делают инфраструктуру уязвимой для атак;
📌 инструменты и практические меры, позволяющие предотвратить большинство инцидентов;
📌 рекомендации экспертов о том, как даже небольшая компания может выстроить системную кибербезопасность.
📍22 апреля, 11.00
Продолжительность вебинара: 1 час
Ведущий вебинара: Антон Бочкарев, основатель облачного сервиса 4Security.
4Security — облачный сервис, который берет на себя задачи кибербезопасности компании без необходимости содержать собственную команду ИБ-специалистов, внедрять сложные системы или нести значительные расходы на инфраструктуру.
Участие бесплатное по предварительной регистрации по ссылке.
#RCloudby3data
22 апреля 2026 года облачная платформа RCloud by 3data вместе с партнером 4Security проведет вебинар о том, как защитить бизнес от атак кибервымогателей.
На вебинаре обсудим современные киберугрозы для бизнеса и подходы к повышению уровня информационной безопасности компаний:
📍22 апреля, 11.00
Продолжительность вебинара: 1 час
Ведущий вебинара: Антон Бочкарев, основатель облачного сервиса 4Security.
4Security — облачный сервис, который берет на себя задачи кибербезопасности компании без необходимости содержать собственную команду ИБ-специалистов, внедрять сложные системы или нести значительные расходы на инфраструктуру.
Участие бесплатное по предварительной регистрации по ссылке.
#RCloudby3data
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 1: ПОНЕДЕЛЬНИК
Серия 1 из 8.
8:47 утра. Людмила Семёновна включает компьютер.
1С не открывается.
Людмила Семёновна — бухгалтер с 22-летним стажем. Она переживала налоговые проверки, нулевые годы, три смены директоров и один пожар в соседнем офисе. Но такого она не видела.
На экране текст. На английском. Людмила Семёновна не знает английский, но слово ENCRYPTED она как-то понимает.
Звонит Диме.
Дима — айтишник ООО «Три Богатыря». Официально его должность называется «специалист по информационным технологиям». Неофициально — «Дима, почему опять не работает принтер».
Дима берёт трубку. Слушает. Молчит три секунды.
— Уже еду, — говорит Дима голосом человека, который понял всё.
В машине Дима гуглит: «что делать если зашифровали файлы».
Читает первую статью.
Думает про себя: «Ну и ладно. Главное — не паниковать. И главное — чтобы Михаил Борисович не паниковал».
Дима приезжает. Смотрит на экран. Кивает с умным видом.
— Да, — говорит Дима. — Вижу.
Пока Дима смотрит на экран, в соседней комнате начинается другая история.
Антон — руководитель продаж. Три менеджера под ним. В 9:15 ему звонит «Стройдепо» — крупный клиент, заказ на 4 тонны арматуры, отгрузка сегодня.
— Антон, где накладные? Машина уже стоит.
Антон смотрит на Диму. Дима делает знак рукой: «чуть позже».
— Небольшие технические работы, — говорит Антон. — К обеду всё будет.
Кладёт трубку. Записывает в блокноте: «Стройдепо — к обеду».
Следующий звонок через 20 минут. «Гарантстрой». Тоже ждут документы.
— К обеду всё будет, — говорит Антон.
Блокнот заполняется.
━━━━━━━━━━
Счётчик потерь. День 1:
— Простой: ~500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 0 ₽
— Данные: зашифрованы
— Причина известна: нет
— Антон пообещал «к обеду» шести клиентам. Сейчас 10:30.
━━━━━━━━━━
Продолжение в четверг.
Серия 1 из 8.
8:47 утра. Людмила Семёновна включает компьютер.
1С не открывается.
Людмила Семёновна — бухгалтер с 22-летним стажем. Она переживала налоговые проверки, нулевые годы, три смены директоров и один пожар в соседнем офисе. Но такого она не видела.
На экране текст. На английском. Людмила Семёновна не знает английский, но слово ENCRYPTED она как-то понимает.
Звонит Диме.
Дима — айтишник ООО «Три Богатыря». Официально его должность называется «специалист по информационным технологиям». Неофициально — «Дима, почему опять не работает принтер».
Дима берёт трубку. Слушает. Молчит три секунды.
— Уже еду, — говорит Дима голосом человека, который понял всё.
В машине Дима гуглит: «что делать если зашифровали файлы».
Читает первую статью.
Думает про себя: «Ну и ладно. Главное — не паниковать. И главное — чтобы Михаил Борисович не паниковал».
Дима приезжает. Смотрит на экран. Кивает с умным видом.
— Да, — говорит Дима. — Вижу.
Пока Дима смотрит на экран, в соседней комнате начинается другая история.
Антон — руководитель продаж. Три менеджера под ним. В 9:15 ему звонит «Стройдепо» — крупный клиент, заказ на 4 тонны арматуры, отгрузка сегодня.
— Антон, где накладные? Машина уже стоит.
Антон смотрит на Диму. Дима делает знак рукой: «чуть позже».
— Небольшие технические работы, — говорит Антон. — К обеду всё будет.
Кладёт трубку. Записывает в блокноте: «Стройдепо — к обеду».
Следующий звонок через 20 минут. «Гарантстрой». Тоже ждут документы.
— К обеду всё будет, — говорит Антон.
Блокнот заполняется.
━━━━━━━━━━
Счётчик потерь. День 1:
— Простой: ~500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 0 ₽
— Данные: зашифрованы
— Причина известна: нет
— Антон пообещал «к обеду» шести клиентам. Сейчас 10:30.
━━━━━━━━━━
Продолжение в четверг.
❤8👍6😁2
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 2: ДИМА ЗНАЕТ, ЧТО ДЕЛАЕТ
Серия 2 из 8.
Дима не знает, что делает.
Но выглядит так, будто знает. Это важнее.
Он ходит по офису с серьёзным лицом. Смотрит на компьютеры. Цокает языком. Записывает что-то в блокнот. На вопросы отвечает: «Разбираюсь» и «Скорее всего, смогу восстановить».
Михаил Борисович верит Диме. Потому что хочет верить. Потому что альтернатива — признать, что у них большая проблема, а на это нужны силы, которых в понедельник утром нет.
Тем временем Дима делает то, что умеет.
Он перезагружает серверы.
Запускает антивирус. (Антивирус находит угрозу. Удаляет её. Гордо рапортует: «Угроза устранена».)
Запускает проверку дисков.
Делает вид, что читает логи.
На самом деле в логах написаны страшные вещи, но Дима решает, что разберётся с ними потом.
Главная новость дня: Дима нашёл резервные копии. Они существуют! Он сам их делал. Каждый месяц. Почти всегда.
Последняя копия — три месяца назад.
Это значит, что три месяца данных потеряно. Но хоть что-то.
Дима запускает восстановление.
Восстановление идёт 40 минут.
Потом выдаёт ошибку.
Дима смотрит на ошибку.
Ошибка говорит, что резервная копия тоже зашифрована. Вирус нашёл её раньше Димы. Три месяца назад.
Дима сидит и смотрит в экран.
Снаружи раздаётся голос Михаила Борисовича: «Дима, ну что там?»
— Работаю, — говорит Дима.
За стеной Антон проводит третий день в телефоне.
«К завтрашнему утру» сменилось на «к концу недели», потом на «технические работы, форс-мажор, всё понимаем».
«Стройдепо» ждёт. Пока ждёт.
«Гарантстрой» ждёт, но уже недовольно.
«Премиумбетон» — партнёр на 12 млн в год — написал в мессенджер: «Антон, что происходит? Нам нужна определённость».
Антон отвечает: «Всё под контролем, завтра выходим в штатный режим».
Антон не знает, правда ли это. Но других слов у него нет.
━━━━━━━━━━
Счётчик потерь. День 3:
— Простой: ~1 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 0 ₽ (Дима в штате, его зарплата уже оплачена)
— Данные: зашифрованы. Резервные копии: тоже зашифрованы
— Причина известна: нет
— Антон пообещал «завтра» восьми клиентам. Завтра уже было вчера.
— Бонус: антивирус гордо рапортует «Угроза устранена» 🏆
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
Серия 2 из 8.
Дима не знает, что делает.
Но выглядит так, будто знает. Это важнее.
Он ходит по офису с серьёзным лицом. Смотрит на компьютеры. Цокает языком. Записывает что-то в блокнот. На вопросы отвечает: «Разбираюсь» и «Скорее всего, смогу восстановить».
Михаил Борисович верит Диме. Потому что хочет верить. Потому что альтернатива — признать, что у них большая проблема, а на это нужны силы, которых в понедельник утром нет.
Тем временем Дима делает то, что умеет.
Он перезагружает серверы.
Запускает антивирус. (Антивирус находит угрозу. Удаляет её. Гордо рапортует: «Угроза устранена».)
Запускает проверку дисков.
Делает вид, что читает логи.
На самом деле в логах написаны страшные вещи, но Дима решает, что разберётся с ними потом.
Главная новость дня: Дима нашёл резервные копии. Они существуют! Он сам их делал. Каждый месяц. Почти всегда.
Последняя копия — три месяца назад.
Это значит, что три месяца данных потеряно. Но хоть что-то.
Дима запускает восстановление.
Восстановление идёт 40 минут.
Потом выдаёт ошибку.
Дима смотрит на ошибку.
Ошибка говорит, что резервная копия тоже зашифрована. Вирус нашёл её раньше Димы. Три месяца назад.
Дима сидит и смотрит в экран.
Снаружи раздаётся голос Михаила Борисовича: «Дима, ну что там?»
— Работаю, — говорит Дима.
За стеной Антон проводит третий день в телефоне.
«К завтрашнему утру» сменилось на «к концу недели», потом на «технические работы, форс-мажор, всё понимаем».
«Стройдепо» ждёт. Пока ждёт.
«Гарантстрой» ждёт, но уже недовольно.
«Премиумбетон» — партнёр на 12 млн в год — написал в мессенджер: «Антон, что происходит? Нам нужна определённость».
Антон отвечает: «Всё под контролем, завтра выходим в штатный режим».
Антон не знает, правда ли это. Но других слов у него нет.
━━━━━━━━━━
Счётчик потерь. День 3:
— Простой: ~1 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 0 ₽ (Дима в штате, его зарплата уже оплачена)
— Данные: зашифрованы. Резервные копии: тоже зашифрованы
— Причина известна: нет
— Антон пообещал «завтра» восьми клиентам. Завтра уже было вчера.
— Бонус: антивирус гордо рапортует «Угроза устранена» 🏆
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
👍13😁8✍2🔥2🤷2
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 3: МАСТЕРА С АВИТО
Серия 3 из 8.
1С молчит. Склад не работает. Менеджеры по продажам пьют чай и делают вид, что заняты. Водители звонят и спрашивают накладные. Людмила Семёновна выписывает их от руки.
Дима сказал Михаилу Борисовичу правду. Не всю, но достаточно: «Это серьёзно. Нужны специалисты».
Михаил Борисович загуглил «восстановление данных после шифровальщика» и нашёл объявление.
«Восстановление зашифрованных файлов. Опыт 10 лет. Гарантия результата. От 3000 рублей».
Позвонил. Мастер приехал через час. Молодой человек с ноутбуком. Очень уверенный.
— Да, видел такое. Знаю этот вирус. Посмотрю файлы, скажу точнее.
Смотрит полтора часа.
— Сложный случай. Но сделаем. Нужно 25 000 рублей и два-три дня.
Михаил Борисович платит. Молодой человек уходит с флешкой с файлами.
Через три дня не перезванивает. На звонки не отвечает. Потом пишет: «Извините, этот шифр не поддаётся. Деньги вернуть не могу, работа была проделана».
25 000 рублей. Три дня. Ноль результата.
Это был не мошенник, кстати. Просто человек, который переоценил свои возможности и боялся сказать «не знаю». В кибербезопасности таких много.
На пятый день «Стройдепо» перезаказало арматуру у конкурентов.
Антон узнал об этом не от клиента. Он увидел их машину у склада «Металлторга» через дорогу. Просто шёл мимо.
Позвонил менеджеру «Стройдепо». Тот ответил коротко: «Антон, нам нужна была отгрузка в понедельник. Сегодня пятница. Удачи».
Антон вернулся в офис. Сел. Посмотрел в свой блокнот с обещаниями.
Зачеркнул «Стройдепо».
━━━━━━━━━━
Счётчик потерь. День 5:
— Простой: ~2 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽ (мастер с Авито, который «точно знает этот вирус»)
— Данные: зашифрованы
— Причина известна: нет
— Первый клиент ушёл к конкурентам. Антон зачеркнул его в блокноте.
— Людмила Семёновна выписала 47 накладных от руки. Рука болит.
━━━━━━━━━━
Продолжение в вторник.
1 Серия
2 Серия
Серия 3 из 8.
1С молчит. Склад не работает. Менеджеры по продажам пьют чай и делают вид, что заняты. Водители звонят и спрашивают накладные. Людмила Семёновна выписывает их от руки.
Дима сказал Михаилу Борисовичу правду. Не всю, но достаточно: «Это серьёзно. Нужны специалисты».
Михаил Борисович загуглил «восстановление данных после шифровальщика» и нашёл объявление.
«Восстановление зашифрованных файлов. Опыт 10 лет. Гарантия результата. От 3000 рублей».
Позвонил. Мастер приехал через час. Молодой человек с ноутбуком. Очень уверенный.
— Да, видел такое. Знаю этот вирус. Посмотрю файлы, скажу точнее.
Смотрит полтора часа.
— Сложный случай. Но сделаем. Нужно 25 000 рублей и два-три дня.
Михаил Борисович платит. Молодой человек уходит с флешкой с файлами.
Через три дня не перезванивает. На звонки не отвечает. Потом пишет: «Извините, этот шифр не поддаётся. Деньги вернуть не могу, работа была проделана».
25 000 рублей. Три дня. Ноль результата.
Это был не мошенник, кстати. Просто человек, который переоценил свои возможности и боялся сказать «не знаю». В кибербезопасности таких много.
На пятый день «Стройдепо» перезаказало арматуру у конкурентов.
Антон узнал об этом не от клиента. Он увидел их машину у склада «Металлторга» через дорогу. Просто шёл мимо.
Позвонил менеджеру «Стройдепо». Тот ответил коротко: «Антон, нам нужна была отгрузка в понедельник. Сегодня пятница. Удачи».
Антон вернулся в офис. Сел. Посмотрел в свой блокнот с обещаниями.
Зачеркнул «Стройдепо».
━━━━━━━━━━
Счётчик потерь. День 5:
— Простой: ~2 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽ (мастер с Авито, который «точно знает этот вирус»)
— Данные: зашифрованы
— Причина известна: нет
— Первый клиент ушёл к конкурентам. Антон зачеркнул его в блокноте.
— Людмила Семёновна выписала 47 накладных от руки. Рука болит.
━━━━━━━━━━
Продолжение в вторник.
1 Серия
2 Серия
🔥9❤7
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 4: БОЛЬШИЕ МАЛЬЧИКИ
Серия 4 из 8.
Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами.
Приехали двое. Костюмы. Ноутбуки с логотипом Apple. Говорят правильными словами: «векторы атаки», «криминалистическая экспертиза», «полный аудит инфраструктуры».
Михаил Борисович немного успокаивается. Серьёзные люди.
Они ходят по офису три часа. Делают снимки экранов. Берут образы дисков. Пьют кофе. Задают вопросы Диме. Дима отвечает уклончиво.
На следующий день присылают письмо.
«Благодарим за обращение. По итогам первичного обследования можем предложить следующие услуги: криминалистическое расследование инцидента, восстановление инфраструктуры, аудит безопасности, разработка регламентов...»
Внизу — итоговая сумма.
4 600 000 рублей.
Срок — 6-8 недель.
Михаил Борисович смотрит на цифру. Потом смотрит в окно. Потом снова на цифру.
Это не значит, что компания плохая. Они реально умеют. Просто они работают с банками и госкорпорациями. Для них ООО «Три Богатыря» — маленький нестандартный кейс, который надо правильно упаковать в коммерческое предложение.
А «Три Богатыря» нужно работать. Сейчас. Не через 6-8 недель.
Пока Михаил Борисович смотрит на КП, Антон сидит в переговорке с «Премиумбетоном».
«Премиумбетон» — партнёр на 12 миллионов в год. Они работают вместе семь лет. Антон знает там всех по именам, был на корпоративах, крестил ребёнка у одного из менеджеров.
Партнёр говорит аккуратно, но прямо: «Антон, мы понимаем, что у вас сложности. Но у нас свои обязательства перед клиентами. Мы вынуждены временно работать с "Стальпромом". Как только у вас всё восстановится — вернёмся к диалогу».
«Временно» в устах партнёра звучит как «навсегда».
Антон говорит: «Конечно, понимаем. Буквально пара дней».
Выходит из переговорки. Зачёркивает «Премиумбетон» в блокноте.
━━━━━━━━━━
Счётчик потерь. День 8:
— Простой: ~4 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽
— Данные: зашифрованы
— Причина известна: нет
— Клиентов, ушедших к конкурентам: 2 (в т.ч. партнёр на 12 млн/год)
— На столе у Михаила Борисовича лежит КП на 4 600 000 ₽. Он смотрит на него и думает о жизни.
━━━━━━━━━━
Продолжение в четверг.
1 Серия
2 Серия
3 Серия
Серия 4 из 8.
Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами.
Приехали двое. Костюмы. Ноутбуки с логотипом Apple. Говорят правильными словами: «векторы атаки», «криминалистическая экспертиза», «полный аудит инфраструктуры».
Михаил Борисович немного успокаивается. Серьёзные люди.
Они ходят по офису три часа. Делают снимки экранов. Берут образы дисков. Пьют кофе. Задают вопросы Диме. Дима отвечает уклончиво.
На следующий день присылают письмо.
«Благодарим за обращение. По итогам первичного обследования можем предложить следующие услуги: криминалистическое расследование инцидента, восстановление инфраструктуры, аудит безопасности, разработка регламентов...»
Внизу — итоговая сумма.
4 600 000 рублей.
Срок — 6-8 недель.
Михаил Борисович смотрит на цифру. Потом смотрит в окно. Потом снова на цифру.
Это не значит, что компания плохая. Они реально умеют. Просто они работают с банками и госкорпорациями. Для них ООО «Три Богатыря» — маленький нестандартный кейс, который надо правильно упаковать в коммерческое предложение.
А «Три Богатыря» нужно работать. Сейчас. Не через 6-8 недель.
Пока Михаил Борисович смотрит на КП, Антон сидит в переговорке с «Премиумбетоном».
«Премиумбетон» — партнёр на 12 миллионов в год. Они работают вместе семь лет. Антон знает там всех по именам, был на корпоративах, крестил ребёнка у одного из менеджеров.
Партнёр говорит аккуратно, но прямо: «Антон, мы понимаем, что у вас сложности. Но у нас свои обязательства перед клиентами. Мы вынуждены временно работать с "Стальпромом". Как только у вас всё восстановится — вернёмся к диалогу».
«Временно» в устах партнёра звучит как «навсегда».
Антон говорит: «Конечно, понимаем. Буквально пара дней».
Выходит из переговорки. Зачёркивает «Премиумбетон» в блокноте.
━━━━━━━━━━
Счётчик потерь. День 8:
— Простой: ~4 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽
— Данные: зашифрованы
— Причина известна: нет
— Клиентов, ушедших к конкурентам: 2 (в т.ч. партнёр на 12 млн/год)
— На столе у Михаила Борисовича лежит КП на 4 600 000 ₽. Он смотрит на него и думает о жизни.
━━━━━━━━━━
Продолжение в четверг.
1 Серия
2 Серия
3 Серия
🔥12
Киберстрахование для МСБ: почему раньше не работало и что изменилось
Киберстрахование в России существует уже несколько лет, но малый и средний бизнес им почти не пользуется. Причины понятны.
Проблема 1: Сложный вход. У компаний малого и среднего бизнеса либо очень слабая защита цифровой инфраструктуры, либо ее вовсе нет, что чаще всего связано с отсутствием ресурсов и экспертизы. Страховщики не готовы страховать такие риски.
Проблема 2: Высокая цена. Страховщик не может точно оценить киберриски клиента без дорогостоящего аудита, поэтому закладывает неопределённость в тариф. Услуга становится нерентабельной для небольших компаний.
Проблема 3: Риск отказа в возмещении ущерба. Договор страхования заключается на основании заявления на страхование, которое оформляется в самом начале. Решение о выплате принимается в том числе с учетом данных, указанных в заявлении. Что если инфраструктура с тех пор изменилась?
Мы в 4sec попробовали решить эти три проблемы одновременно. Идея - если встроить в страховой продукт систему мониторинга, которая непрерывно оценивает состояние инфраструктуры, то:
— реальное снижение рисков позволяет получить более выгодный тариф
— решение о страховании и возмещении принимается на основе данных из сервиса, а не на основе устаревших данных в заявлении
Так появился Кибер.Полис+ — страховой продукт, в который встроен облачный сервис безопасности. Покрытие от 30 млн рублей, оформление за 1 день, подключение сервиса за 30 минут.
Подробнее о том, как это устроено: https://4security.ru/products/insurance/
Киберстрахование в России существует уже несколько лет, но малый и средний бизнес им почти не пользуется. Причины понятны.
Проблема 1: Сложный вход. У компаний малого и среднего бизнеса либо очень слабая защита цифровой инфраструктуры, либо ее вовсе нет, что чаще всего связано с отсутствием ресурсов и экспертизы. Страховщики не готовы страховать такие риски.
Проблема 2: Высокая цена. Страховщик не может точно оценить киберриски клиента без дорогостоящего аудита, поэтому закладывает неопределённость в тариф. Услуга становится нерентабельной для небольших компаний.
Проблема 3: Риск отказа в возмещении ущерба. Договор страхования заключается на основании заявления на страхование, которое оформляется в самом начале. Решение о выплате принимается в том числе с учетом данных, указанных в заявлении. Что если инфраструктура с тех пор изменилась?
Мы в 4sec попробовали решить эти три проблемы одновременно. Идея - если встроить в страховой продукт систему мониторинга, которая непрерывно оценивает состояние инфраструктуры, то:
— реальное снижение рисков позволяет получить более выгодный тариф
— решение о страховании и возмещении принимается на основе данных из сервиса, а не на основе устаревших данных в заявлении
Так появился Кибер.Полис+ — страховой продукт, в который встроен облачный сервис безопасности. Покрытие от 30 млн рублей, оформление за 1 день, подключение сервиса за 30 минут.
Подробнее о том, как это устроено: https://4security.ru/products/insurance/
👍5🔥3
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 5: КОЛЯ ИЗ КАЗАНИ
Серия 5 из 8.
На десятый день Михаил Борисович позвонил однокласснику Игорю. Просто поговорить, пожаловаться. Игорь — владелец производства в Казани.
Игорь молча выслушал. Потом говорит:
— У нас такое же было. Год назад. Нашли ребят, которые помогли. Дай номер дам.
Так появился Коля.
Коля приехал один. Без костюма. С рюкзаком. На вид лет 35. Говорит мало, смотрит много.
Посмотрел час. Сказал:
— Восстановить данные не получится. Шифр современный. Но поднять инфраструктуру и разобраться, как вошли — сделаем. 380 тысяч, две недели.
Михаил Борисович: «А быстрее?»
Коля: «48 часов — базовые бизнес-процессы. Всё остальное — две недели».
Михаил Борисович подписал договор не читая.
Коля начал работать в тот же вечер.
На следующее утро 1С заработала. Частично — с данными за последние полгода, которые нашли в облачном кэше. Склад ожил.
Пока Коля разбирался с серверами, Антон наконец начал обзванивать клиентов с хорошими новостями.
Из двадцати звонков:
— Восемь ответили. Обрадовались. Готовы возобновить заказы.
— Пять не ответили. Перезвонили сами позже и сказали, что «пока работают с другими».
— Трое написали в мессенджер что-то вроде «окей, держите в курсе».
— Двое — «Стройдепо» и «Премиумбетон» — не ответили вообще.
Антон смотрит на блокнот. Там семь зачёркнутых строк.
Семь клиентов. За одиннадцать дней.
Но на третий день Коля пришёл к Михаилу Борисовичу с неприятным разговором.
«Нам нужно поговорить про Диму».
━━━━━━━━━━
Счётчик потерь. День 11:
— Простой: ~5 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽ (25к Авито + 380к Коля)
— 1С: работает! Частично. Склад ожил.
— Данные за 4 месяца: потеряны навсегда
— Клиентов, ушедших к конкурентам: 7
— Причина известна: скоро узнаем. Дима нервничает.
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
2 Серия
3 Серия
4 Серия
Серия 5 из 8.
На десятый день Михаил Борисович позвонил однокласснику Игорю. Просто поговорить, пожаловаться. Игорь — владелец производства в Казани.
Игорь молча выслушал. Потом говорит:
— У нас такое же было. Год назад. Нашли ребят, которые помогли. Дай номер дам.
Так появился Коля.
Коля приехал один. Без костюма. С рюкзаком. На вид лет 35. Говорит мало, смотрит много.
Посмотрел час. Сказал:
— Восстановить данные не получится. Шифр современный. Но поднять инфраструктуру и разобраться, как вошли — сделаем. 380 тысяч, две недели.
Михаил Борисович: «А быстрее?»
Коля: «48 часов — базовые бизнес-процессы. Всё остальное — две недели».
Михаил Борисович подписал договор не читая.
Коля начал работать в тот же вечер.
На следующее утро 1С заработала. Частично — с данными за последние полгода, которые нашли в облачном кэше. Склад ожил.
Пока Коля разбирался с серверами, Антон наконец начал обзванивать клиентов с хорошими новостями.
Из двадцати звонков:
— Восемь ответили. Обрадовались. Готовы возобновить заказы.
— Пять не ответили. Перезвонили сами позже и сказали, что «пока работают с другими».
— Трое написали в мессенджер что-то вроде «окей, держите в курсе».
— Двое — «Стройдепо» и «Премиумбетон» — не ответили вообще.
Антон смотрит на блокнот. Там семь зачёркнутых строк.
Семь клиентов. За одиннадцать дней.
Но на третий день Коля пришёл к Михаилу Борисовичу с неприятным разговором.
«Нам нужно поговорить про Диму».
━━━━━━━━━━
Счётчик потерь. День 11:
— Простой: ~5 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽ (25к Авито + 380к Коля)
— 1С: работает! Частично. Склад ожил.
— Данные за 4 месяца: потеряны навсегда
— Клиентов, ушедших к конкурентам: 7
— Причина известна: скоро узнаем. Дима нервничает.
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
2 Серия
3 Серия
4 Серия
🔥15👍5❤3
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 6: ЧТО ДИМА СЛОМАЛ, ПОКА ЧИНИЛ
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
🔥8👍3
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 7: ФИНАЛ
Серия 7 из 8. Предпоследняя.
Коля уходит. Говорит последнее.
«Мы закрыли дыру, через которую вошли. Обновили VPN, поставили нормальные пароли, настроили мониторинг. Базовые процессы работают.
Но вот что важно.
Когда взломали, вы думали: "Главное — восстановиться. Потом разберёмся с защитой". Почти все так думают.
Вы восстановились. Теперь "потом". Если не сделать защиту нормально — вас зашифруют снова. Те же люди или другие — неважно. Дыра была серьёзная, значит вы попали в базы как "платёжеспособная мишень".
Это не страшилка. Статистика: больше половины компаний после шифрования без нормального расследования получают повторную атаку в течение 6–12 месяцев».
Михаил Борисович слушает.
«Сколько стоит нормальная защита?» — спрашивает он.
Коля пожимает плечами.
«Для компании вашего размера — копейки в месяц. Есть один сервис, который сканирует инфраструктуру и сигналит, когда находит дыры. Я с этими ребятами работаю — езжу к их клиентам, когда случается что-то серьёзное. Вот через них вы бы нашли меня не на четырнадцатый день. А на первый».
Михаил Борисович вспоминает 7 миллионов.
Потом вспоминает мастера с Авито, большую компанию с КП на 4,6 миллиона, Диму с его умным видом.
«Всего этого можно было не допустить», — добавляет Коля. — «Та дыра в VPN светилась бы как маяк при любом нормальном сканировании. Три месяца назад. До того, как хакеры её нашли».
Михаил Борисович молча кивает.
Дима в углу делает вид, что смотрит в ноутбук.
На экране у Димы открыт hh.ru.
Антон тоже в углу. У него в блокноте теперь две колонки: «вернулись» и «ушли».
В колонке «ушли» — девять строк. Среди них «Премиумбетон» с его 12 миллионами в год.
Антон считает. Даже если все из «вернулись» восстановят заказы — дыра в плане продаж на этот квартал уже не закрывается.
На годовой план Антон смотреть не стал.
━━━━━━━━━━
Счётчик потерь. Итог. День 16:
— Простой (14 дней до запуска): ~7 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽
— Клиентов, ушедших к конкурентам: 9 (из них 1 партнёр на 12 млн/год)
— Данные восстановлены: нет (4 месяца — в никуда)
— Виновные найдены: технически да, юридически — удачи
— Дима: продолжает работать. Ему подняли зарплату «за кризисное управление».
— Итого прямых потерь: ~7 400 000 ₽
— Итого потерь с учётом ушедших клиентов: считайте сами
Для справки: нормальная защита стоила бы ~50 000 ₽/мес.
Это 148 месяцев защиты. Или 12 лет.
━━━━━━━━━━
Серия 8 — в четверг.
Эпилог: что было бы, если Коля не нашёлся.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
6 Серия
Серия 7 из 8. Предпоследняя.
Коля уходит. Говорит последнее.
«Мы закрыли дыру, через которую вошли. Обновили VPN, поставили нормальные пароли, настроили мониторинг. Базовые процессы работают.
Но вот что важно.
Когда взломали, вы думали: "Главное — восстановиться. Потом разберёмся с защитой". Почти все так думают.
Вы восстановились. Теперь "потом". Если не сделать защиту нормально — вас зашифруют снова. Те же люди или другие — неважно. Дыра была серьёзная, значит вы попали в базы как "платёжеспособная мишень".
Это не страшилка. Статистика: больше половины компаний после шифрования без нормального расследования получают повторную атаку в течение 6–12 месяцев».
Михаил Борисович слушает.
«Сколько стоит нормальная защита?» — спрашивает он.
Коля пожимает плечами.
«Для компании вашего размера — копейки в месяц. Есть один сервис, который сканирует инфраструктуру и сигналит, когда находит дыры. Я с этими ребятами работаю — езжу к их клиентам, когда случается что-то серьёзное. Вот через них вы бы нашли меня не на четырнадцатый день. А на первый».
Михаил Борисович вспоминает 7 миллионов.
Потом вспоминает мастера с Авито, большую компанию с КП на 4,6 миллиона, Диму с его умным видом.
«Всего этого можно было не допустить», — добавляет Коля. — «Та дыра в VPN светилась бы как маяк при любом нормальном сканировании. Три месяца назад. До того, как хакеры её нашли».
Михаил Борисович молча кивает.
Дима в углу делает вид, что смотрит в ноутбук.
На экране у Димы открыт hh.ru.
Антон тоже в углу. У него в блокноте теперь две колонки: «вернулись» и «ушли».
В колонке «ушли» — девять строк. Среди них «Премиумбетон» с его 12 миллионами в год.
Антон считает. Даже если все из «вернулись» восстановят заказы — дыра в плане продаж на этот квартал уже не закрывается.
На годовой план Антон смотреть не стал.
━━━━━━━━━━
Счётчик потерь. Итог. День 16:
— Простой (14 дней до запуска): ~7 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽
— Клиентов, ушедших к конкурентам: 9 (из них 1 партнёр на 12 млн/год)
— Данные восстановлены: нет (4 месяца — в никуда)
— Виновные найдены: технически да, юридически — удачи
— Дима: продолжает работать. Ему подняли зарплату «за кризисное управление».
— Итого прямых потерь: ~7 400 000 ₽
— Итого потерь с учётом ушедших клиентов: считайте сами
Для справки: нормальная защита стоила бы ~50 000 ₽/мес.
Это 148 месяцев защиты. Или 12 лет.
━━━━━━━━━━
Серия 8 — в четверг.
Эпилог: что было бы, если Коля не нашёлся.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
6 Серия
🔥7👍4
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 8: ДРУГАЯ ИСТОРИЯ
Серия 8 из 8.
«Три Богатыря» нашли Колю. По счастливой случайности. Потому что Михаил Борисович позвонил школьному другу в нужный момент.
Но большинству не везёт так.
Вот другая версия этой истории.
Коля не находится. Мастер с Авито берёт деньги и пропадает. Большая компания присылает КП на 4,6 миллиона. Михаил Борисович не может столько потратить.
Они восстанавливаются сами. Медленно. Из обрывков. Нанимают фрилансера, который «поднимает» систему. Закрывают ли дыру — никто не знает. Дима говорит, что закрыл. Михаил Борисович верит.
А Антон в это время дозванивается до клиентов.
Неделя третья. Большинство уже не берут трубку — нашли других поставщиков, перестраивать логистику обратно дорого и незачем. «Премиумбетон» прислал официальное письмо о прекращении сотрудничества. Не звонок, не мессенджер — письмо. На бланке. С подписью директора.
Антон распечатал его и положил на стол Михаилу Борисовичу.
Михаил Борисович прочитал. Убрал в ящик. Ничего не сказал.
Антон вернулся к себе. Открыл таблицу с планом продаж на год. Долго смотрел. Закрыл.
На четвёртой неделе Антон написал заявление на увольнение.
Не потому что плохой сотрудник. А потому что продавать нечего — половина клиентской базы ушла, кредитная линия закрыта, новых контрактов не подписать без нормальной инфраструктуры. Антон это понял раньше Михаила Борисовича.
Через 6 недель — повторное шифрование. Дыру так и не закрыли.
На этот раз в офисе почти никого нет. Антона нет. Двух менеджеров нет. Людмила Семёновна сидит одна и смотрит на знакомый чёрный экран.
«Снова», — говорит она себе тихо.
На этот раз денег на восстановление уже нет. Один из трёх учредителей требует вернуть вложения.
Через 4 месяца — ликвидация.
Не потому что взломали. А потому что не было никого рядом в нужный момент. И потому что Антон ушёл первым — он просто раньше всех понял, куда это идёт.
Дима, кстати, в этой версии тоже нашёл новую работу. Айтишником. В другой компании.
————
Это была история об одной компании. Но это история тысяч компаний каждый год.
━━━━━━━━━━
Две версии одной истории. Счёт:
Версия А (нашли Колю):
Потери: ~7 400 000 ₽. Бизнес выжил.
Версия Б (не нашли):
Потери: ~15 000 000+ ₽. Ликвидация.
Разница между версиями: один звонок однокласснику.
Или один сервис мониторинга, который нашёл бы дыру за три месяца до взлома.
━━━━━━━━━━
Завтра — важный пост: что делать в первые 2 часа, если вас взломали.
Это не очевидно. И это реально спасает.
Начать с 1 серии.
Серия 8 из 8.
«Три Богатыря» нашли Колю. По счастливой случайности. Потому что Михаил Борисович позвонил школьному другу в нужный момент.
Но большинству не везёт так.
Вот другая версия этой истории.
Коля не находится. Мастер с Авито берёт деньги и пропадает. Большая компания присылает КП на 4,6 миллиона. Михаил Борисович не может столько потратить.
Они восстанавливаются сами. Медленно. Из обрывков. Нанимают фрилансера, который «поднимает» систему. Закрывают ли дыру — никто не знает. Дима говорит, что закрыл. Михаил Борисович верит.
А Антон в это время дозванивается до клиентов.
Неделя третья. Большинство уже не берут трубку — нашли других поставщиков, перестраивать логистику обратно дорого и незачем. «Премиумбетон» прислал официальное письмо о прекращении сотрудничества. Не звонок, не мессенджер — письмо. На бланке. С подписью директора.
Антон распечатал его и положил на стол Михаилу Борисовичу.
Михаил Борисович прочитал. Убрал в ящик. Ничего не сказал.
Антон вернулся к себе. Открыл таблицу с планом продаж на год. Долго смотрел. Закрыл.
На четвёртой неделе Антон написал заявление на увольнение.
Не потому что плохой сотрудник. А потому что продавать нечего — половина клиентской базы ушла, кредитная линия закрыта, новых контрактов не подписать без нормальной инфраструктуры. Антон это понял раньше Михаила Борисовича.
Через 6 недель — повторное шифрование. Дыру так и не закрыли.
На этот раз в офисе почти никого нет. Антона нет. Двух менеджеров нет. Людмила Семёновна сидит одна и смотрит на знакомый чёрный экран.
«Снова», — говорит она себе тихо.
На этот раз денег на восстановление уже нет. Один из трёх учредителей требует вернуть вложения.
Через 4 месяца — ликвидация.
Не потому что взломали. А потому что не было никого рядом в нужный момент. И потому что Антон ушёл первым — он просто раньше всех понял, куда это идёт.
Дима, кстати, в этой версии тоже нашёл новую работу. Айтишником. В другой компании.
————
Это была история об одной компании. Но это история тысяч компаний каждый год.
━━━━━━━━━━
Две версии одной истории. Счёт:
Версия А (нашли Колю):
Потери: ~7 400 000 ₽. Бизнес выжил.
Версия Б (не нашли):
Потери: ~15 000 000+ ₽. Ликвидация.
Разница между версиями: один звонок однокласснику.
Или один сервис мониторинга, который нашёл бы дыру за три месяца до взлома.
━━━━━━━━━━
Завтра — важный пост: что делать в первые 2 часа, если вас взломали.
Это не очевидно. И это реально спасает.
Начать с 1 серии.
❤12👍2
ВАС ВЗЛОМАЛИ. У ВАС 2 ЧАСА. ЧТО ДЕЛАТЬ?
Запомните одно правило: чем меньше вы трогаете — тем больше шансов на расследование и восстановление.
Дима из «Трёх Богатырей» сделал всё неправильно. Не потому что плохой. А потому что никто не объяснил.
Объясняем.
━━━━━━━━━━━━
ЧТО ДЕЛАТЬ СРАЗУ
✅ Изолируйте заражённые машины от сети.
Вытащите сетевой кабель. Отключите WiFi. Не выключайте сами машины — в RAM может быть ключ дешифровки.
✅ Не запускайте антивирус и «очистку».
Антивирус уничтожит улики. Полезен он будет потом, не сейчас.
✅ Не перезагружайте серверы.
Перезагрузка стирает всё из памяти. Вирус может исчезнуть — вместе с данными для расследования.
✅ Сфотографируйте экраны с сообщением о выкупе.
Текст, адрес кошелька, контакты — всё. Это поможет идентифицировать вирус.
✅ Зафиксируйте время.
Когда обнаружили? Что делали до этого? Кто из сотрудников что открывал? Это хронология атаки.
━━━━━━━━━━━━
ЧТО НЕ ДЕЛАТЬ
❌ Не платить выкуп сразу. 30% компаний, заплативших — ничего не получили. Или получили, но вирус остался.
❌ Не искать «мастеров с Авито». Они не справятся с современными шифрами. Потратите время и деньги.
❌ Не восстанавливать систему без расследования. Не закрыв дыру — получите повторную атаку.
❌ Не молчать. Если у вас данные клиентов — по закону вы обязаны уведомить Роскомнадзор в течение 24 часов.
━━━━━━━━━━━━
ПОСЛЕ ПЕРВЫХ 2 ЧАСОВ
Звоните профессионалам. Не Диме. Не мастеру с Авито. Специалистам по реагированию на инциденты.
Их работа — приехать, сохранить улики, восстановить работу, найти как вошли, закрыть дыру.
Чем быстрее — тем больше шансов восстановить хоть что-то.
Завтра — как выбрать нормальных специалистов и сколько это должно стоить.
Запомните одно правило: чем меньше вы трогаете — тем больше шансов на расследование и восстановление.
Дима из «Трёх Богатырей» сделал всё неправильно. Не потому что плохой. А потому что никто не объяснил.
Объясняем.
━━━━━━━━━━━━
ЧТО ДЕЛАТЬ СРАЗУ
✅ Изолируйте заражённые машины от сети.
Вытащите сетевой кабель. Отключите WiFi. Не выключайте сами машины — в RAM может быть ключ дешифровки.
✅ Не запускайте антивирус и «очистку».
Антивирус уничтожит улики. Полезен он будет потом, не сейчас.
✅ Не перезагружайте серверы.
Перезагрузка стирает всё из памяти. Вирус может исчезнуть — вместе с данными для расследования.
✅ Сфотографируйте экраны с сообщением о выкупе.
Текст, адрес кошелька, контакты — всё. Это поможет идентифицировать вирус.
✅ Зафиксируйте время.
Когда обнаружили? Что делали до этого? Кто из сотрудников что открывал? Это хронология атаки.
━━━━━━━━━━━━
ЧТО НЕ ДЕЛАТЬ
━━━━━━━━━━━━
ПОСЛЕ ПЕРВЫХ 2 ЧАСОВ
Звоните профессионалам. Не Диме. Не мастеру с Авито. Специалистам по реагированию на инциденты.
Их работа — приехать, сохранить улики, восстановить работу, найти как вошли, закрыть дыру.
Чем быстрее — тем больше шансов восстановить хоть что-то.
Завтра — как выбрать нормальных специалистов и сколько это должно стоить.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7😁1