Что такое программа-вымогатель? Как она работает, как проникает и как не платить

Программа-вымогатель — это вредонос, который шифрует ваши файлы и требует выкуп. Современные атаки добавляют «двойное вымогательство» — крадут данные и угрожают их слить. Как это работает, основные каналы входа (фишинг, открытые VPN/RDP, незакрытые уязвимости) и как восстановиться, не платя — только защита.

Опубликовано 2026-06-12 Обновлено 2026-06-12 5 мин чтения

«Берёт ваши файлы в заложники и требует выкуп» — это и есть программа-вымогатель. Вот как она работает и как не платить (без шагов атаки).

В одну строку

В одну строку: программа-вымогатель — это вредонос, который шифрует ваши файлы и требует выкуп за их возврат. Современные атаки добавляют «двойное вымогательство» — они сначала крадут данные и угрожают их слить — поэтому даже успешная расшифровка не останавливает утечку. Самая важная защита — способность восстановиться, не платя: офлайн / неизменяемый бэкап плюс тесты восстановления. Затем закройте вход (MFA, патчи) и ограничьте радиус поражения (минимум привилегий, сегментация сети).

Как это работает: бизнес-модель, а не просто вирус

Классическая программа-вымогатель шифрует каждый файл, до которого может дотянуться на устройстве или сервере, и оставляет записку: «платите, если хотите ключ расшифровки». Но настоящая природа сегодняшней угрозы — меньше про технологию и больше про то, как она зарабатывает деньги.

Двойное вымогательство

Зашифровать И украсть данные, затем угрожать сливом. Расшифровка не останавливает утечку

RaaS

Программа-вымогатель как услуга: инструментарий «сдаётся в аренду», расширяя круг атакующих

Часы — дни

Время от проникновения до шифрования сокращается — часто уже поздно, когда вы замечаете

При двойном вымогательстве атакующие выносят данные до шифрования. Поэтому даже если жертва восстановится из своих бэкапов, остаётся вторая угроза: «платите, или опубликуем то, что украли». Этот сдвиг — причина, почему «у нас есть бэкапы, значит мы в порядке» больше не работает само по себе. Вдобавок RaaS (программа-вымогатель как услуга) разделяет работу — те, кто строит инструментарий, и те, кто проводит атаки, теперь разные люди — что резко снизило барьер входа.

Основные каналы входа (закройте дверь)

Программа-вымогатель не появляется по волшебству; она входит через предсказуемый набор дверей. Их закрытие — первая линия защиты.

1. Фишинг

через вложения / ссылки в почте. Самая частая дверь. защита = MFA, фильтрация почты, обучение

2. Открытый VPN/RDP

слабый / без MFA удалённый доступ. защита = требовать MFA, снижать открытость

3. Незакрытые уязвимости

известные дыры в ПО, обращённом в интернет. защита = быстро патчить

Три основных канала входа программы-вымогателя. Каждый можно закрыть защитой.

Реальный пример, который мы разбирали, — массовая утечка MOVEit (Cl0p), эксплуатировавшая незакрытую уязвимость в обращённом в интернет ПО и укравшая большие объёмы данных до того, как стало доступно исправление, — случай двойного вымогательства. Это хорошее напоминание, что «вложение в письме» — не единственный способ проникновения программы-вымогателя.

Защита: сделайте возможным восстановление без оплаты

Держите офлайн / неизменяемые бэкапы (самое важное)

Бэкапы решают восстановление. Но всегда онлайн, доступный для записи бэкап может быть зашифрован вместе с остальным, поэтому держите хотя бы одну офлайн или неизменяемую (защищённую от подделки) копию и регулярно проводите тесты восстановления, чтобы подтвердить, что данные действительно можно вернуть. См. основы резервного копирования и восстановления (3-2-1).

Закройте вход: MFA и патчи

Требуйте многофакторную аутентификацию (MFA) на самых больших дверях — подверженных фишингу входах и открытом удалённом доступе — и быстро патчите известные уязвимости на всём, что обращено в интернет. Уже это останавливает большую долю проникновений (→ выбор MFA).

Ограничьте радиус поражения: минимум привилегий и сегментация

Чтобы одна компрометация не зашифровала всю компанию, держите привилегии на минимуме и сегментируйте сеть. Проектирование так, чтобы одна скомпрометированная машина не могла распространиться везде, локализует ущерб.

Имейте обнаружение и план «после того, как нас поразили»

Даже с закрытыми дверями профилактика никогда не идеальна. Поэтому обнаруживайте аномалии рано и решите заранее — в плане реагирования на инциденты — кто что делает (изолировать, уведомить, восстановить, именно в этом порядке). Постройте способность сдержать и восстановить до того, как кто-то запаникует и заплатит.

Мнение этого сайта: оплата — даже не последнее средство, суть в подготовке

По вопросу оплаты наша позиция ясна: заранее постройте способность не платить. Оплата не гарантирует расшифровки; при двойном вымогательстве она и не останавливает утечку; и она финансирует преступность, помечая вас как плательщика, на которого нацелятся снова. Поэтому настоящая работа — подготовка, а не реагирование на инцидент. Офлайн-бэкап, который можно восстановить, плюс вход, закрытый MFA и патчами — когда есть и то и другое, программа-вымогатель опускается с «катастрофического события» до «неприятного, но восстановимого инцидента».

Слепое пятно: «у нас есть бэкапы» больше не значит «мы в безопасности»

Раньше бэкапы делали программы-вымогатели безвредными. Но теперь, когда двойное вымогательство стало нормой, способность восстановиться — это другая проблема, чем предотвращение кражи данных. Атакующие вытаскивают данные до шифрования, а затем требуют оплаты «или опубликуем». Поэтому защита двухслойная — не только способность восстановиться (бэкапы), но и не дать им проникнуть или вынести (защита точек входа). Отправная точка современной защиты от программ-вымогателей — отказ остановиться на «но у нас же есть бэкапы».

Читать дальше

Обучение: основы резервного копирования и восстановления (фундамент восстановления без оплаты — правило 3-2-1)
Обучение: как правильно выбрать MFA (закрыть самый большой вход)
Глоссарий: что такое фишинг (обрезать сам главный канал входа)
Кейс: массовая утечка MOVEit (Cl0p) (двойное вымогательство через незакрытую уязвимость)
Глоссарий: что такое C2 (командно-контрольный сервер) (канал после заражения, через который работают атакующие)

FAQ

QЕсли меня поразила программа-вымогатель, платить ли?

Сильно склоняйтесь к тому, чтобы не платить. Оплата не гарантирует возврата файлов и не гарантирует, что украденные данные не сольют. Она также финансирует преступные группы и помечает вас как того, кто платит, делая повторной целью (а оплата подсанкционным группам может нести юридический риск). Многие органы власти не советуют платить. Именно поэтому подготовка — офлайн-бэкапы, которые можно восстановить без оплаты — важнее всего.

QКак программа-вымогатель проникает?

Три основных пути. (1) Вложения или ссылки в фишинговой почте — самый частый вход. (2) Открытый в интернет удалённый доступ (VPN/RDP), который слаб или без многофакторной аутентификации (MFA). (3) Незакрытые, известные уязвимости в ПО, обращённом в интернет. Короче: действие человека, открытые точки входа и отсутствующие патчи — всё это можно закрыть защитой.

QДостаточно ли иметь бэкапы?

Бэкапы — самый важный контроль, но с условиями. Всегда онлайн, доступный для записи бэкап может быть зашифрован вместе со всем остальным, поэтому держите хотя бы одну офлайн или неизменяемую (защищённую от подделки) копию и регулярно проводите тесты восстановления. А поскольку современные атаки крадут данные до шифрования (двойное вымогательство), бэкапы позволяют «восстановиться», но не останавливают утечку — вам также нужна защита точек входа, чтобы атакующие вообще не проникли и не вынесли данные.