Шифровальщик в компании: что делать в первые часы
Когда сотрудники теряют доступ к файлам, 1С, общим папкам или почте, больше всего денег бизнес теряет не из-за самого вируса, а из-за хаотичных действий после него. Ниже — порядок, который помогает не усугубить ситуацию.
Чего не делать
- не продолжать работу на подозрительных компьютерах и серверах
- не удалять следы атаки и не переустанавливать все подряд без понимания масштаба
- не обещать быстрый запуск всех сервисов, пока не проверены резервные копии
- не считать проблему локальной, если затронуты общие папки, почта, VPN или доступы сотрудников
Что делать сразу
- изолировать затронутые узлы и учетные записи
- собрать список критичных сервисов: 1С, файлы, почта, VPN, бухгалтерия
- проверить, есть ли точки восстановления и когда они последний раз тестировались
- понять, какие подрядчики и внутренние сотрудники уже подключены
- определить, что бизнесу нужно вернуть первым, чтобы не стоял весь контур
Почему наличие бэкапа еще не значит быстрое восстановление
Копии полезны только тогда, когда понятны точки восстановления, очередность запуска и состояние учетных записей, серверов, 1С и рабочих мест. Если этого нет, бизнес может потерять часы и дни даже при наличии копий.
Поэтому после атаки важно не просто «найти копию», а быстро определить: что чистое, что критично, где зависимости между сервисами и кто отвечает за координацию восстановления.
Когда нужна внешняя помощь
- если нет понятного внутреннего плана и все действуют наугад
- если затронуты 1С, файловый сервер, общие папки, почта или доступы сотрудников
- если неизвестно, можно ли восстановиться из резервной копии
- если после запуска важно быстро закрыть дыры, чтобы не попасть под повторный сценарий
Нужен не совет из интернета, а быстрый план для бизнеса?
Мы не обещаем гарантированную расшифровку. Но можем быстро помочь понять масштаб проблемы, проверить резервные копии, определить порядок восстановления и перевести кризис в управляемый сценарий.
