Что делать, если вас зашифровали: представляем гайд для малого и среднего бизнеса

Среди наиболее опасных ошибок, совершаемых пострадавшими компаниями, — самостоятельные попытки найти дешифратор в интернете, а также выплата выкупа

3 декабря 2025 г.

По нашим оценкам, в последние годы на долю малых и средних предприятий приходится до 80% кибератак. Часто их целью становятся незащищенные подрядчики. Через такие компании злоумышленники стремятся добраться до их клиентов — более крупных организаций с выстроенной киберзащитой, которые сложно атаковать напрямую. По данным BI.ZONE DFIR, с начала 2025 года доля высококритичных киберинцидентов, связанных с атаками через подрядчиков, выросла в два раза и составила 30%.

Вопреки распространенному стереотипу, небольшие компании подвержены атакам с шифровальщиками так же, как и крупные организации. Отчасти это может быть связано с тем, что экосистема программ‑вымогателей в России и других странах СНГ значительно отличается от западной. В международной практике часто применяются известные сервисы, такие как LockBit или RansomHub. Они обычно распространяются по модели RaaS (ransomware‑as‑a‑service, программа‑вымогатель как услуга). Стоимость ВПО определяется не только функциональностью, но также известностью «бренда» и условиями партнерской программы. Как правило, она предполагает процент с выкупа, полученного от жертвы (обычно 10–40%), а также единоразовый взнос за доступ к платформе (1000–3000 долларов). Однако в атаках, нацеленных на Россию и другие страны СНГ, злоумышленники обычно используют либо программы‑вымогатели собственной разработки, либо билдеры «официальных» версий все тех же LockBit и RansomHub, ранее утекшие в сеть.

Специалисты BI.ZONE DFIR выделили основные факторы, повышающие риск шифрования для малой или средней компании. Среди наиболее существенных — отсутствие собственного IT‑отдела и тем более выделенной службы кибербезопасности, бесконтрольное наделение сотрудников правами администратора, отсутствие регулярного резервного копирования, а также неправильно выстроенная практика BYOD (bring your own device), когда сотрудники используют для работы личные устройства, на которых не обеспечен даже базовый уровень киберзащиты.

Среди наиболее опасных ошибок, совершаемых пострадавшими компаниями, специалисты BI.ZONE DFIR назвали самостоятельные попытки найти дешифратор в интернете, а также выплату выкупа. В последнем случае компания не только нарушает закон, но и повышает для себя риск повторной кибератаки.

Некоторые злоумышленники, промышляющие шифрованием данных, делают это из политических убеждений. Так что после выкупа хактивисты лишь поблагодарят сговорчивую жертву в своих телеграм‑каналах и обвинят ее в финансировании запрещенных организаций. Бывают случаи, когда атакующие действуют «порядочно» и расшифровывают данные после оплаты. Но это спасает пострадавшую компанию лишь на время: ее заносят в список приоритетных целей и шифруют снова.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами

Мы также представили пошаговые инструкции для компаний, которые не имеют возможности обратиться к специалистам и вынуждены самостоятельно проводить реагирование на инцидент.

Ранее эксперты BI.ZONE DFIR подсчитали, что в 2025 году минимальное время от проникновения в инфраструктуру до начала шифрования составило 12,5 минуты, а максимальное — 181 день. Согласно совместному исследованию нашей компании и Rambler&Co, каждый пятый россиянин сталкивался с последствиями кибератак на организацию, в которой работает или учится. Еще 16% опрошенных сталкивались с кибератаками на компании, услугами которых пользуются.

Читать гайд