Российские компании после атак программ-вымогателей в среднем выплачивают хакерам 15–20 млн рублей за восстановление данных, хотя первоначальные требования обычно начинаются примерно с 50 млн рублей. К такому выводу пришли аналитики RED Security SOC, изучившие более 100 инцидентов с шифровальщиками, а также активность группировок на закрытых площадках и форумах даркнета.
По данным исследования, восемь из десяти компаний, столкнувшихся с вирусами-шифровальщиками, вступают в переговоры со злоумышленниками. Почти в половине случаев сумма первоначального выкупа превышала 100 млн рублей, но на практике реальные выплаты часто оказывались более чем вдвое ниже. Эксперты объясняют это коммерческой логикой киберпреступников: им выгоднее получить меньшую сумму быстро, чем вести долгие переговоры с риском остаться без денег.
При этом высокая стартовая сумма может быть частью давления на жертву. Злоумышленники заранее изучают публичную отчётность, отраслевые данные и другие открытые источники, чтобы оценить финансовые возможности компании. Завышенное требование оставляет пространство для торга и создаёт у пострадавшей стороны ощущение, что снижение суммы — это «выгодная сделка», хотя сама выплата не гарантирует полного восстановления данных.
Эксперты предупреждают, что перечисление денег хакерам остаётся рискованным решением. Даже после оплаты компания может не получить рабочий ключ расшифровки или восстановить данные не полностью. Кроме того, сам факт выплаты делает организацию более привлекательной целью для повторных атак и поддерживает экономику вымогательских группировок.
Если компания стала жертвой шифровальщика, специалисты советуют прежде всего изолировать заражённые системы от сети и интернета, не удалять файлы и не перезагружать скомпрометированные машины, чтобы не усложнить расследование и восстановление. Параллельно нужно уведомить регуляторов, привлечь команду реагирования на инциденты и проверить резервные копии: в ряде случаев именно они позволяют восстановиться без контакта с преступниками.