Заражение вирусом-шифровальщиком обычно начинается с шифрования пользовательских файлов и сопровождается требованием выкупа. В этот момент важнее всего не пытаться «чинить» ситуацию вручную, а выстроить правильный порядок действий: от изоляции до восстановления данных.

Ключевая цель — остановить распространение, сохранить данные, которые еще не уничтожены, и подготовить систему к безопасному возврату файлов. В большинстве случаев восстановление возможно, особенно если у вас есть резервные копии или данные частично сохранились.

1) Немедленно изолируйте заражение

Как только вы обнаружили шифрование, отключите устройство от сети (Wi‑Fi, Ethernet, VPN), чтобы предотвратить дальнейшее поражение других компьютеров и серверов. Если заражение затрагивает инфраструктуру, отключайте сегменты сети по возможности быстро и контролируемо.

Не перезагружайте компьютер без необходимости: иногда важные артефакты (журналы, следы запуска вредоноса) могут пригодиться для диагностики и снижения рисков повторного заражения. Если перезагрузка неизбежна, постарайтесь сохранить данные до очистки.

2) Зафиксируйте факты и исключите повторное шифрование

Сделайте список затронутых устройств, времени обнаружения и типичных признаков (какие расширения добавились, какие папки зашифрованы, есть ли заметки с требованиями выкупа). Это поможет ИБ‑специалистам и лабораториям быстрее понять природу атаки.

Параллельно проверьте, какие резервные копии могут быть недоступны для атаки: некоторые шифровальщики способны «дотянуться» до сетевых дисков и бэкапов, поэтому оценка состояния копий критична.

3) Оцените, какие данные можно восстановить

Восстановление после шифровальщика обычно строится на трех сценариях: возврат из бэкапов, восстановление из частично неповрежденных фрагментов и последующий перенос данных после очистки системы. На практике шанс выше, если резервные копии хранились вне зоны доступа (например, на отдельном носителе, в изолированном хранилище или с «возвратом во времени»).

Если у вас нет подтвержденных бэкапов, все равно важно не спешить с форматированием: иногда на диске остаются структуры, а в редких случаях известны расшифраторы под конкретные варианты вредоноса. Однако запуск любых «инструментов для расшифровки» должен быть тщательно проверен специалистами.

4) Очистите систему и восстановите данные безопасно

Перед возвратом файлов убедитесь, что вредонос удален и система больше не ведет шифрование. Практика «подменить файлы, не очистив инфраструктуру» часто приводит к повторному заражению и повторной потере данных.

После проверки безопасности восстановите данные на «чистую» систему. Лучше выполнять перенос постепенно: сначала критичные документы, затем остальные, контролируя поведение файловой системы. Если возможно, используйте тестовый план на отдельных разделах или виртуальной среде.

5) Не платите «в слепую» и планируйте защиту

Решение о выплате выкупа не гарантирует возврат данных и создает дополнительные риски для дальнейших атак. Кроме того, перечисление средств может быть связано с правовыми и комплаенс‑ограничениями. Обычно правильнее сосредоточиться на восстановлении из резервных копий и расследовании причины инцидента.

После стабилизации обязательно пересмотрите безопасность: обновления, учетные записи с правами, доступ к сетевым папкам, сегментацию, включение защиты резервного копирования и регулярные проверки на возможность отката. Это снижает вероятность повторного шифрования и ускоряет реакцию в будущем.

Что делать прямо сейчас: изолируйте устройство, зафиксируйте ущерб, проверьте состояние бэкапов, добейтесь очистки системы и только затем возвращайте данные. Если есть возможность — подключите специалистов по реагированию на инциденты или обратитесь к профильным службам.