Немедленные действия (первые — важны для сдерживания и сохранения доказательств)
- Изолировать заражённые устройства: немедленно отключить от сети (кабель/Wi‑Fi) все подозрительные ПК и серверы. Не стирать и не переустанавливать их до сбора данных.
- Сохранить volatile‑данные: по возможности снять дамп памяти и собрать логи (syslog, SIEM, DHCP, VPN, прокси). Если нет навыков — задокументировать состояние и вызвать специалистов.
- Отключить распространённые векторы: блокировать SMB порты и внешние RDP/админ-подключения на периметре (обычно порты $‘445‘,‘139‘,‘3389‘$ — блокировать на фаерволе).
- Сообщить руководству и ИТ‑команде; объявить режим инцидента и назначить ответственных.
- Оповестить заинтересованные стороны: администрацию школы, преподавателей, родителей; при необходимости — правоохранительные органы/Киберполицию и поставщика ИБ.
- Прекратить распространение: запретить массовую смену паролей до ревока/оценки токенов; при подтверждённой компрометации — отозвать сессии и сбросить учётные данные.
- Оценить резервные копии: немедленно подтвердить наличие актуальных, недоступных для вируса копий (офлайн/air‑gapped). Не подключать подозрительные бэкапы к продакшену без проверки.
- Не платить выкуп без консультации экспертов и юристов; оплата не гарантирует восстановление и поддерживает преступную экономику.
Короткосрочные шаги (первые — восстановление работоспособности)
- Провести форензик‑оценку: определить вектор компрометации (эксплойт/фишинг/уязвимость), список заражённых систем, временные метки и индикаторы компрометации (IOCs).
- Восстановление из чистых бэкапов: переустановить ОС/программы по известным чистым образам, восстановить данные только из проверенных резервных копий.
- Проверка целостности: перед подключением к сети убедиться, что системы чисты (антивирус/EDR/сканирование), протестировать в изолированной сети.
- Сброс и ротация ключей/паролей/сертификатов и учетных записей с правами администратора.
- Применить критические патчи (например, закрывающие уязвимости, похожие на MS17‑010) и отключить устаревшие протоколы (SMBv1).
- Восстановить доступ пользователей по этапам, мониторя сеть и сервисы на предмет повторных заражений.
Среднесрочные меры (недели — месяцы — предотвращение повторных атак)
- Политика резервного копирования по правилу $3-2-1$: три копии, на двух разных носителях, одна — офлайн/вне площадки.
- Управление патчами: внедрить централизованный процесс установки обновлений с приоритетом критических патчей и тестированием.
- Сегментация сети и принцип наименьших привилегий: отделить административные сети, учебную инфраструктуру и гостевой Wi‑Fi; ограничить доступ по VLAN/ACL.
- Установить/улучшить EDR и мониторинг логов, SIEM‑корреляцию, IDS/IPS, централизованный сбор логов и оповещений.
- Контроль удалённого доступа: запретить прямой доступ RDP в интернет, использовать VPN с MFA, минимизировать открытые порты.
- MFA для критичных учётных записей (администраторы, учителя, доступ к данным учеников).
- Инвентаризация активов и управление конфигурациями: обновлённый CMDB, автоматизация развёртывания безопасных образов.
- Обучение персонала и фишинг‑тренинги: регулярные тренировки, инструкции по реагированию и доступные каналы для сообщения подозрений.
- План реагирования на инциденты и тест‑упражнения: разработать и отработать планы RTO/RPO, сценарные учения (tabletop), процедуру эскалации.
- Юридическая и регуляторная готовность: знать обязанности по уведомлению родителей/регуляторов при утечке персональных данных и документировать действия.
- Аудит и тестирование безопасности: периодические внешние/внутренние пентесты и ревью конфигураций.
Критические рекомендации и принципы
- Не спешить: поспешное восстановление может повторно заразить всё окружение. Восстановление должно быть контролируемым и проверенным.
- Документировать каждое действие (временные метки, кто что сделал) для расследования и отчётности.
- Инвестировать в превентивные меры: дешевле и безопаснее регулярно патчить, сегментировать сеть и иметь надежные офлайн‑бэкапы, чем расплачиваться за простои.
Если нужны шаблоны чек-листа по часам/дням или пример плана восстановления — скажите, подготовлю.