# Кибервымогательство и ransomware: как защитить бизнес в Казахстане > Ransomware-атаки на казахстанский бизнес участились. Разбираем, как работает шифровальщик, почему платить выкуп — плохая идея, и как выстроить защиту, которая реально работает. - **Дата публикации:** 2025-02-18 - **Автор:** Динара Молдабекова - **Язык:** Русский - **Теги:** кибербезопасность, мошенничество, Казахстан, антифрод, банки --- Кибервымогательство — одна из самых разрушительных киберугроз для бизнеса. В Казахстане фиксируется рост атак с использованием программ-шифровальщиков (ransomware), причём под удар попадают не только крупные компании, но и малый бизнес, государственные органы и финансовые организации. ## Как работает ransomware _Ransomware_ (программа-вымогатель) — вредоносное ПО, которое шифрует файлы жертвы и требует выкуп за ключ расшифровки. Атака проходит следующие стадии: 1. **Заражение:** через фишинговое письмо, уязвимость в ПО, скомпрометированный удалённый доступ (RDP), заражённый USB 2. **Разведка:** вирус «живёт» в сети до 200 дней, исследуя инфраструктуру и распространяясь на другие компьютеры 3. **Шифрование:** одновременно шифруются все доступные файлы, включая резервные копии на подключённых дисках 4. **Требование выкупа:** на экране появляется сообщение с суммой (обычно в криптовалюте) и дедлайном > По данным международных исследований, более 50% компаний, заплативших выкуп, подвергаются повторной атаке в течение года — часто от тех же злоумышленников. Оплата выкупа не гарантирует восстановление данных. ## Почему платить выкуп — плохая идея - Нет гарантии получения рабочего ключа расшифровки - Вы финансируете преступную деятельность - Попадаете в базу «платящих жертв» — вас атакуют снова - В ряде случаев платёж нарушает санкционное законодательство - Репутационные риски при публичном раскрытии факта оплаты ## Антифрод-меры против ransomware для бизнеса Уровень защиты Меры Приоритет Резервное копирование Правило 3-2-1: 3 копии, 2 носителя, 1 вне офиса (облако) Критический Обновления ПО Автообновление ОС и приложений, патч-менеджмент Высокий Почтовая защита Антиспам, антифишинг, проверка вложений в песочнице Высокий Привилегии Принцип минимальных прав (least privilege) Высокий Сегментация сети Изолировать критические системы и бэкапы Средний EDR Endpoint Detection and Response на всех устройствах Средний ## Что делать при обнаружении ransomware 1. Немедленно отключите заражённое устройство от сети (Wi-Fi и кабель) 2. Не выключайте устройство полностью — часть данных может быть восстановлена из памяти 3. Изолируйте другие устройства в сети как потенциально заражённые 4. Сообщите в правоохранительные органы (КНБ, Министерство внутренних дел) 5. Обратитесь в специализированную компанию по реагированию на инциденты 6. Проверьте возможность расшифровки на сайте nomoreransom.org (бесплатный сервис) ## Финансовый сектор: особые требования Для финансовых организаций Казахстана Национальный банк устанавливает обязательные требования к киберустойчивости: планы реагирования на инциденты (BCP/DRP); уведомление регулятора в течение 24 часов при значимом инциденте; регулярное тестирование систем резервного копирования. Узнайте больше о защите бизнеса в материале [кибербезопасность малого и среднего бизнеса](/blog/kiberbezopasnost-msb) и статье о [безопасности корпоративных счетов](/blog/korporativnye-scheta-bezopasnost).