Как шифровальщики охотятся за домашними резервными копиями

Каждый год 31 марта мир отмечает день резервного копирования — и каждый год большинство пользователей говорит себе «я подумаю об этом завтра». Но даже если вы регулярно делаете полные копии своих важных данных — документов, фотоархивов, операционной системы в целом — вы все равно в зоне риска. Почему? Да потому, что шифровальщики научились целенаправленно охотиться на резервные копии данных обычных пользователей.

Почему домашние пользователи в зоне риска

В недалеком прошлом шифровальщики-вымогатели были в основном корпоративной проблемой. Атаки на серверы и резервные копии данных крупных компаний зачастую приводили к полной остановке производственных процессов, утрате всей информации и клиентских баз и сулили вымогателям крупный выкуп — мы сталкивались со множеством подобных примеров в последние годы. Но постепенно рынок «малых целей» стал для злоумышленников не менее привлекательным — и вот в чем причины.

Во-первых, автоматизация. Современные шифровальщики не требуют ручного управления: они сканируют Интернет в поисках уязвимых устройств, а найдя — шифруют все подряд без участия оператора. Один хакер может спокойно атаковать тысячи домашних устройств.

Во-вторых, благодаря широте охвата суммы выкупа стали скромнее — с рядовых пользователей требуют не миллионы, а «всего» сотни или тысячи долларов. Такую сумму многие готовы заплатить, не обращаясь в полицию, — особенно если на кону стоят семейные архивы, фотографии, медицинские и банковские документы и прочие личные данные, других копий которых просто не существует. Прибыль же с тысяч подобных жертв набегает очень приличная.

Наконец, домашние устройства обычно очень плохо защищены. Если корпоративные сети тщательно охраняются, то домашний роутер в большинстве случаев работает с заводскими настройками и паролем admin, а сетевой накопитель (NAS) доступен из Интернета без какой-либо защиты — грех не позариться.

Как атакуют домашние устройства

Домашнее сетевое хранилище (NAS-накопитель), также известное как «домашнее облако», — по сути, мини-компьютер под управлением специализированных ОС на базе Linux или FreeBSD, с одним или несколькими жесткими дисками большого объема, зачастую объединенными в массив. Хранилище подключается к домашнему роутеру и делает файлы доступными с любого устройства в домашней сети, а при определенных настройках — и удаленно, через Интернет. Многие покупают подобные хранилища именно для того, чтобы хранить резервные копии данных со всех семейных устройств в одном месте, обеспечивая простой доступ ко всем файлам для любого члена семьи, и полагают, что это надежный способ уберечь свои цифровые архивы.

Ирония в том, что именно такие хранилища и превратились в главную цель вымогателей — ведь добраться до них достаточно легко, либо воспользовавшись известными уязвимостями, либо просто подобрав пароль. За последние пять лет было отмечено несколько крупных атак шифровальщиков, нацеленных именно на домашние хранилища разных производителей: QNAP, Synology, ASUSTOR.

Однако атаки на домашние сетевые хранилища вовсе не единственный способ добраться до всех ваших файлов. Второй путь — используя социальную инженерию, заставить пользователей… самостоятельно запустить вредонос. Так, на волне популярности ИИ в 2025 году злоумышленники создавали фальшивые сайты, имитировавшие установщики ChatGPT, invideo AI и других популярных ИИ-сервисов и обещавшие бесплатные подписки. На деле же пользователь получал шифровальщик.

Что ищет шифровальщик, попав на ваш компьютер

Когда вредонос оказывается в системе, первое, что он делает — изучает окружение и нейтрализует все, что может помочь вам восстановить данные без выкупа.

• Удаляет данные службы теневого копирования томов Windows. Это встроенный механизм быстрого восстановления файлов. После очистки данных «откатиться» к предыдущей версии файла становится невозможно.
• Сканирует подключенные диски. Если внешний жесткий диск постоянно подключен к компьютеру, то шифровальщик увидит его и зашифрует так же, как все остальные файлы.
• Ищет сетевые папки. Если ваше «домашнее облако» подключено как сетевой диск, вредонос попытается добраться и до него.
• Проверяет облачные клиенты. Dropbox, Google Drive, Яндекс Диск, iCloud для Windows — у всех этих облачных сервисов есть локальная папка синхронизации на вашем компьютере. Файлы в ней тоже пострадают, а облачный сервис сам загрузит зашифрованные версии в облако.

Золотое правило резервного копирования

Золотое правило резервного копирования «3-2-1» звучит так:

• три копии данных — оригинал плюс две резервные копии;
• два носителя — например, компьютер и внешний диск;
• одна копия вне дома — в облаке или где-то еще, например, у родственников.

Но это правило было придумано до эпохи шифровальщиков, и поэтому его нужно дополнить одним важным условием: еще одна копия должна быть изолирована как от Интернета, так и от вашего компьютера в момент атаки.

Новое правило звучит как «3-2-1-1» — чуть менее мнемонически стройно, но зато более безопасно. Следовать этому правилу просто: заведите внешний диск — вы будете подключать его раз в неделю, делать на него копию данных и отключать.

Что требует резервного копирования

• Фотографии и видео. Свадьба, первые шаги ребенка, архивные фото — это то, за что люди платят выкуп.
• Документы. Сканы или фотографии важных документов всех членов семьи — от паспортов до медицинских карт, включая архивные.
• Данные для двухфакторной аутентификации. Если приложение-аутентификатор существует только на вашем смартфоне, его утрата означает и потерю доступа ко всем защищенным аккаунтам. Многие приложения-аутентификаторы позволяют делать резервные копии своих данных.
• Пароли. Если они хранятся в менеджере паролей — убедитесь, что данные синхронизируются в облаке или есть функция экспорта.
• Чаты и переписки. Приватные мессенджеры не всегда хранят историю в облаке. Деловая переписка, важные договоренности, контакты — все это может исчезнуть.

Что делать, если ваши данные зашифровали

Не паникуйте. На нашем сайте NoRansom собраны дешифровщики, которые могут помочь вернуть ваши данные без оплаты выкупа.

Как обезопасить свои резервные копии

• Не держите внешний диск с резервными копиями подключенным к компьютеру постоянно. Подключили — скопировали — отключили.
• Настройте автоматическое резервное копирование в облако — но убедитесь, что ваш облачный провайдер хранит предыдущие версии файлов хотя бы 30 дней. Если нет — смените провайдера или тариф на тот, где эта функция есть.
• Используйте правило «3-2-1-1»: оригинал + периодически подключаемый внешний диск + облако. Три копии, два носителя, одна копия — недоступная из Сети, еще одна — вне дома.
• Закройте доступ из Интернета к сетевому хранилищу. Если у вас есть домашний сетевой диск — проверьте, не открыт ли к нему доступ из Интернета без пароля или с паролем admin. Смените пароль, отключите ненужные сервисы удаленного доступа, установите обновления прошивки.
• Обновляйтесь. Большинство атак использует известные уязвимости, для которых давно вышли патчи. Автообновление прошивки роутера, сетевого хранилища и компьютера — это несколько минут настройки, которые закроют сотни известных дыр.
• Не скачивайте «бесплатные» версии платных программ. Фальшивые установщики пиратского софта или игровых читов — один из главных каналов доставки шифровальщиков. Kaspersky Premium обнаруживает такие угрозы даже до их запуска.
• Используйте «Мониторинг активности» в наших защитных решениях для Windows. Эта функция собирает и сохраняет данные обо всех событиях, которые происходят в операционной системе, и позволяет отследить вредоносов — в том числе и вымогателей — и пресечь или отменить последствия их работы.
• Сделайте резервную копию аутентификатора. Проще всего перенести все ключи двухфакторной аутентификации в Kaspersky Password Manager — он сохранит их в зашифрованном виде в облаке вместе с вашими паролями и важными документами, а также синхронизирует их между всеми вашими устройствами. Если вдруг утратите телефон — не потеряете доступ к аккаунтам и важные данные.
• Проверьте свои резервные копии. Раз в несколько месяцев попробуйте восстановить случайный файл — иногда это оказывается невозможно или вызывает трудности. Поэтому лучше узнать об этом пораньше, пока еще можно что-то исправить.