ИТ поддержка по всей России 24/7

Заказчик

Компания «Погрузчик» занимается продажей, обслуживанием и эксплуатацией складской техники и погрузчиков. Имеет распределённую инфраструктуру: центральный офис, склады и удалённые рабочие места. До инцидента ИТ-инфраструктура была полностью развёрнута и настроена на высоком уровне.

Исходная ситуация

Компания уже имела хорошо организованную ИТ-инфраструктуру:

• Развёрнуты серверы в дата-центре
• Настроен терминальный доступ к 1С
• Работает IP-телефония
• На складах развёрнуты локальные сервера с настроенной отказоустойчивостью (RAID-массивы)

Однако в один момент пользователи столкнулись с масштабной хакерской атакой: злоумышленники проникли в сеть, зашифровали критически важные данные на серверах и рабочих станциях и потребовали выкуп за расшифровку.

Причина уязвимости: важные пароли и доступы хранились небезопасно — непосредственно на компьютере одного из сотрудников (в файлах без шифрования и защиты), что позволило атакующим быстро получить привилегированный доступ.

В результате:

• Значительная часть данных оказалась зашифрована
• Бизнес-процессы (учёт, складские операции, 1С, коммуникации) были парализованы
• Компания оказалась под угрозой длительного простоя и финансовых потерь

Цели проекта

1. Остановить распространение атаки и изолировать заражённые системы
2. Восстановить максимум возможных данных из доступных резервных копий
3. Полностью обезопасить инфраструктуру от повторных атак
4. Вернуть компанию к нормальной работе в кратчайшие сроки с минимальными потерями
5. Внедрить меры, исключающие подобные инциденты в будущем

Этапы реализации

1. Немедленная реакция и локализация инцидента (первые часы)

• Изоляция заражённых сегментов сети
• Отключение подозрительных устройств и учётных записей
• Блокировка внешних подключений для предотвращения дальнейшего ущерба

2. Форматирование и очистка заражённых систем

• Все заражённые компьютеры были полностью отформатированы и переустановлены
• Проведена глубокая проверка на остатки вредоносного ПО

3. Восстановление данных из резервных копий

• Мы максимально задействовали все доступные резервные копии (локальные и облачные)
• Полная переустановка («перезагрузка») всех серверов в дата-центре и на складах
• Последовательное восстановление: базы 1С, складской учёт, конфигурации телефонии, файлы и настройки RAID-массивов — всё, что удалось извлечь из существующих бэкапов
• Тщательная проверка целостности восстановленных данных и ручная доработка там, где копий не хватало

4. Усиление безопасности инфраструктуры

• Переход на централизованное и защищённое хранение паролей и доступов (с шифрованием и многофакторной аутентификацией)
• Обновление всех систем, закрытие уязвимостей, настройка дополнительных средств защиты (антивирус EDR, мониторинг, правила firewall)
• Внедрение строгих политик безопасного хранения конфиденциальной информации и регулярного тестирования бэкапов

5. Тестирование и возврат к работе

• Полное тестирование восстановленных сервисов (1С в терминальном режиме, IP-телефония, складские сервера)
• Поэтапный запуск пользователей и проверка бизнес-процессов

Достигнутые результаты

1. Восстановили инфраструктуру и большую часть данных в течение 3 дней. Мы сделали всё возможное с имеющимися резервными копиями — вернули ключевые системы и информацию в рабочий вид.
2. Полностью устранили последствия атаки. Зашифрованные системы очищены и переустановлены, восстановлено максимум доступных данных.
3. Повысили уровень безопасности. Устранена главная уязвимость — небезопасное хранение паролей. Внедрены современные практики защиты и надёжного бэкапа.
4. Сохранили отказоустойчивость и производительность. RAID-массивы, терминальный 1С, IP-телефония и складские сервера работают стабильно и надёжно.

Выводы

Благодаря оперативным и профессиональным действиям нашей команды компания «Погрузчик» вернулась к нормальной деятельности в рекордно короткие сроки, минимизировав операционные и финансовые потери.

Ключевые факторы успеха

• Молниеносная реакция. В течение 3 дней команда восстановила инфраструктуру, максимально задействовав доступные бэкапы.
• Полная самоотдача и индивидуальный подход. Все силы были брошены на решение кризиса (включая нерабочее время).
• Глубокий опыт работы с подобными инцидентами. Быстрая локализация, грамотное извлечение данных из имеющихся копий, точечное усиление безопасности.
• Фокус на клиенте. Мы не просто «починили», а сделали инфраструктуру значительно безопаснее и надёжнее, чем до атаки.
• Минимизация простоев. Благодаря оперативности и слаженной работе бизнес-процессы были запущены в минимальные сроки, несмотря на ограниченность некоторых бэкапов.