
Positive Technologies на конференции Standoff 2026 представила новую версию MaxPatrol Endpoint Security. Одним из новшеств стало включение модуля восстановления файлов после атак программ-вымогателей и вайперов. Насколько такая технология будет работоспособна и востребована?
- 1. Введение
- 2. MaxPatrol Endpoint Security. Что нового?
- 3. Шифровальщики и вайперы — ключевая угроза
- 4. Не новая технология
- 5. На EDR надейся, но бэкапы делай
- 6. Кому это может быть полезно
- 7. Выводы
Введение
Positive Technologies выпустила очередную версию MaxPatrol Endpoint Security — комплексного решения для защиты конечных точек. В его состав входят два продукта: MaxPatrol EPP (защита от массовых и известных киберугроз) и MaxPatrol EDR (для выявления сложных кибератак и реагирования на них).
Составной частью данного решения стал антивирусный движок от «ВирусБлокАды», долю в которой Positive Technologies купила в 2025 году. Уже к концу года этот движок был интегрирован в целый ряд продуктов компании. При этом в планах было занять в ближайшие годы до четверти российского рынка, где долгие годы главенствовал дуумвират из «Лаборатории Касперского» и Dr.Web.
Одним из ключевых нововведений в MaxPatrol Endpoint Security, наряду с поведенческими блокираторами и средствами противодействия отключению средств защиты атакующими, стала подсистема восстановления файлов после атак шифровальщиков и вайперов. Это не первый продукт защиты конечных точек с данной функцией, такие решения предлагаются уже довольно давно. Например, «Лаборатория Касперского» представила аналогичный продукт, как напомнил руководитель управления исследования угроз в «Лаборатории Касперского» Александр Лискин, ещё в 2011 году, в Kaspersky Endpoint Security (KES) 8.
Как утверждают разработчики, восстановление файлов не потребует никаких дополнительных действий от пользователей. Данная процедура к тому же происходит очень быстро.
MaxPatrol Endpoint Security. Что нового?
Особенностью данного решения являются средства, позволяющие пресекать подозрительную активность, причём в разных продуктах их реализация различается. Так, в MaxPatrol EPP, который ориентирован на защиту от массовых угроз, упор сделан на средства статического и динамического анализа, а в MaxPatrol EDR — на корреляционный движок поведенческого анализа, использующий YARA-правила и анализ индикаторов компрометации.
Как отметил директор Positive Technologies по продуктам для защиты рабочих станций и серверов Сергей Лебедев, именно средства восстановления после атак шифровальщиков и вайперов являются одной из ключевых функций новой версии MaxPatrol Endpoint Security. Для этого используются встроенные средства резервирования.
Технических подробностей в ходе презентации продукта Сергей, однако, не привёл. Учитывая, что продукт может работать не только в Windows, но и в системах на базе Linux, в нём вряд ли используется специфичная для платформы Microsoft технология теневых копий или снапшоты, применяемые в некоторых ОС на ядре Linux, в частности Ubuntu и её производных. Скорее всего, речь идёт об использовании каких-то встроенных в сам продуктов механизмов, которые не зависят от специфики отдельных программных платформ.
Однако представитель Positive Technologies однозначно заявил, что средства дешифровки в обновлённом решении не применяются. Эффективность таких инструментов часто под большим вопросом — в частности, они могут использовать ошибки вирусописателей, которые те уже исправили. К тому же декрипторы часто работают очень медленно, и расшифровка файлов может занимать несколько дней.
При этом, как подчеркнул Сергей Лебедев, продукт ориентирован на противодействие 54 семействам шифровальщиков и 19 семействам вайперов, которые злоумышленники применяют для атак именно против российских компаний. Не секрет, что операторы вымогателей с финансовой мотивацией поделили мировые рынки между собой, совсем как «дети лейтенанта Шмидта» из романа «Золотой телёнок», и они между собой нигде не пересекаются. Перечни данных зловредов были сформированы аналитиками из группы исследования угроз Positive Technologies. Зарубежные продукты, в том числе доступные в России, ориентированы в первую очередь на домашние рынки их разработчиков, где для атак используют совсем другой инструментарий.
Ещё одним новшеством стали усиленные средства самозащиты. Не секрет, что одна из первых целей злоумышленников — отключение средств защиты. Как заявляют разработчики, решение позволяет сохранить контроль над системой даже в том случае, когда атакующие поднимут свои привилегии до максимально возможного уровня — «system» для Windows или «root» для Linux-систем.
Также включены средства контроля устройств и приложений. Данный инструментарий призван помочь в борьбе с «теневыми ИТ», которые являются источниками целого комплекса проблем в компаниях и с которыми очень сложно бороться.
Предусмотрены и инструменты, облегчающие развёртывание решения в компаниях. Так, установку агентов можно проводить через общий интерфейс управления без ручного ввода команд. Заявлено заметное ускорение работы антивирусного движка при снижении потребления системных ресурсов.
Шифровальщики и вайперы — ключевая угроза
Не секрет, что Россия является как минимум одной из наиболее активно атакуемых стран. И, как показали данные, собранные аналитиками Positive Technologies, более 70 % атак производились с помощью вредоносных программ (рис. 1).
Рисунок 1. Методы атак на организации
Половина успешных атак приходится на программы-шифровальщики и вайперы, направленные на уничтожение данных в инфраструктуре (рис. 2). Отечественная специфика при этом такова: целью атак является не получение выкупа, а нанесение максимально возможного ущерба для компании или госучреждения, которое подверглось атаке. По данным «Лаборатории Касперского», все резонансные атаки на крупные российские компании в 2025 году проводились с использованием шифровальщиков или вайперов.
Рисунок 2. Типы зловредов, используемые в атаках
Также в 2025 году злоумышленники резко перераспределили активность в сторону атак против бизнеса. Это в «Лаборатории Касперского» связали с тем, что от компании, даже небольшой, за один эпизод можно получить больше, чем от обычного человека. В 2026 году эта тенденция, похоже, продолжается.
На шифровальщики и вайперы, согласно статистике Positive Technologies за 2025 год, приходилась ровно половина атак, совершённых с применением вредоносных программ. Это на 8 процентных пунктов выше уровня 2024 года.
Мотивом злоумышленников может быть как получение выкупа, так и нанесение максимального ущерба для атакованной компании. Но и в том, и в другом случае злоумышленники крадут данные. В случае атак с финансовой мотивацией это становится дополнительным рычагом давления и шантажа (тактика двойного вымогательства). В случае политически мотивированных атак данные могут выкладываться в открытый доступ, чтобы усилить эффект от атаки.
В 2025 году произошла целая волна атак на крупные российские компании. Первым в череде инцидентов стала атака на московские офисы и сеть автозаправочных станций «Лукойла». Инцидент связали с деятельностью одной из финансово мотивированных группировок, но ряд экспертов не исключили, что это могла быть часть серии атак на российский ТЭК.
В середине июля с атакой столкнулись производитель алкогольных напитков Novabev и принадлежащая ей розничная сеть «Винлаб». Она началась с недоступности веб-сайта, а затем перекинулась на системы в традиционных розничных магазинах по всей России. Уже в первый день курс акций компании упал на 5,5 %, а общая сумма ущерба могла составить, по некоторым оценкам, до 2 млрд рублей. Мотивом для атаки стало получение выкупа, который компания платить отказалась. Полное восстановление работоспособности заняло около месяца.
Атака на «Аэрофлот» 28 июля уже была политически мотивированной. Ответственность за неё взяли на себя две проукраинские хактивистские группировки. Только прямой ущерб от задержек и отмен рейсов составил, по самым скромным оценкам, 250 млн рублей, несмотря на то что восстановить свою деятельность авиакомпания смогла довольно быстро.
В тот же день были атакованы аффилированные сети аптек «Столички» и «Неофарм». Атака затронула сайт, мобильное приложение, кассовые и учётные системы. В результате из 550 аптек в Москве работало не более 30. Ущерб составил около 500 млн рублей.
31 июля был атакован дискаунтер «Доброцен». Однако ущерб был не слишком значительным, поскольку инцидент затронул только работу веб-сайта, на который приходилась ничтожная доля продаж. Основные системы офлайн-магазинов не пострадали. Наиболее вероятными мотивами атаки на сеть эксперты назвали хактивизм или проявления недобросовестной конкуренции.
В текущем году атаке подверглась ГК «Астрал». В компании признали, что сбой в работе сервисов, который начался 9 июня, был вызван кибератакой. Наиболее вероятной техникой злоумышленников эксперты назвали использование шифровальщиков.
Как подчеркнул архитектор клиентского опыта будущего (UserGate) Михаил Кадер, даже с учётом того, что функции защиты от шифровальщиков помогают спасти данные хотя бы в части атак, это в любом случае будет полезно. Прямой эффект для экономики составит в масштабах страны миллиарды рублей.
Не новая технология
В случае атаки шифровальщика до недавнего времени компании могли рассчитывать только на средства резервного копирования или бумажные копии. Именно с их помощью, например, удалось восстановить данные «Аэрофлоту» после атаки 28 июля. Атакующие добрались и до части резервных копий, в результате значительную часть данных пришлось вводить вручную с бумажных копий.
Возможность расшифровки начала внедряться в антивирусные продукты сразу же, по мере того как соответствующие технологии начали использовать вирусописатели. А первым зловредом, который шифровал данные, считается OneHalf, который появился ещё в 1994 году.
«Функциональность восстановления зашифрованных или удалённых вайперами файлов существует с Kaspersky Endpoint Security (KES) 8. Сейчас она доступна пользователям в виде отдельного компонента «Откат вредоносных действий», причём текущие возможности этого модуля гораздо шире, чем просто восстановление файлов: удаление вредоносных файлов, удаление разделов и ключей реестра, созданных вредоносным приложением, завершение процессов, которые запускало вредоносное приложение, запрет сетевой активности, связанный с вредоносными действиями, восстановление и многое другое», — рассказал Александр Лискин.
Довольно давно интегрировали средство расшифровки файлов, испорченных программами-вымогателями, Check Point и Malwarebytes. Инструмент Anti-Ransomware был интегрирован в продукт ZoneAlarm, ориентированный на малый и средний бизнес, ещё в 2018 году, сразу же после массовых эпидемий 2017 года. Впрочем, не исключено, что данная функция заимствована у «Лаборатории Касперского» вместе с лицензированным антивирусным движком.
Однако, как считает Михаил Кадер, далеко не все разработчики хотели в полной мере брать на себя ответственность за качество работы таких продуктов — тем более что наличие данной функции никак не сказывалось на их капитализации.
Ведущий инженер отдела сопровождения информационных систем UDV Group Дмитрий Бабич разделил системы, где заявлена функция восстановления файлов после атак шифровальщиков или вайперов, на две большие группы. Одна из них содержит средства дешифровки, другая — различные средства резервирования файлов. Возможно также использование ошибок авторов шифровальщиков или применение ключей, полученных в ходе расследования угроз.
Главный эксперт «Лаборатории Касперского» Сергей Голованов на пресс-конференции компании, посвящённой подведению итогов 2025 года, поделился опытом: такой ключ можно найти на самом медленном из атакованных компьютеров. Там процесс шифрования файлов, если атака вовремя обнаружена, скорее всего, к моменту обнаружения угрозы ещё не завершен, и, соответственно, можно обнаружить его там и расшифровать файлы.
Эксперт по комплексным проектам информационной безопасности STEP LOGIC Владимир Арышев также обратил внимание на то, что современные защитные средства защиты конечных точек используют технологии поведенческого анализа, которые отслеживают характерные признаки работы программ-вымогателей: массовое изменение файлов, быстрое создание зашифрованных копий и другие подозрительные действия. Когда какой-либо процесс пытается открыть и изменить файл, защитная система создаёт резервную копию и помещает её в локальный защищённый кеш. Если система обнаруживает признаки действия зловреда, то она блокирует его процесс и восстанавливает из кеша оригинальные файлы.
Как считает проект-менеджер MD Audit (ГК Softline) Кирилл Левкин, результаты достигаются на этапе предотвращения атаки. Это возможно благодаря использованию инструментов поведенческого анализа, контроля аномалий (например, таких операций, как массовое шифрование файлов или изменение расширений). Блокировка потенциально вредоносного процесса позволяет остановить атаку до того, как она нанесёт ущерб. Восстановление из теневых копий, журналов файловой системы или резервных механизмов, по мнению Кирилла, стоит рассматривать лишь как дополнительный механизм, который не следует считать гарантированным средством восстановления данных.
Однако подобные функции так и не стали стандартом. Да, их включили многие компании, в том числе крупные, например румынская Bitdefender в линейке продуктов Total Security и Internet Security, китайская Qihoo 360 (данная функция есть даже в бесплатных версиях) и K7 ULTIMATE SECURITY от индийской K7 Computing. Последние два представлены и в России.
Кроме того, в феврале 2025 года модуль «Антишифр» включён в EDR-систему RT Protect EDR, разработанную кэптивным разработчиком холдинга «Ростех» — «РТ-Информационная безопасность». Наряду с детектированием и предотвращением операций по шифрованию файлов в нём предусмотрено также резервирование данных.
Плюс ко всему, многое зависит и от позиционирования продукта. Решение от Positive Technologies ориентировано на средний бизнес и корпоративные структуры, которые в основном и являются целью атак шифровальщиков и вайперов в России. Продукты от Qihoo 360 и K7 Computing, так же как и Check Point / ZoneAlarm, предназначены для конечных пользователей и малого бизнеса. Их использование в крупных компаниях возможно, но будет сопряжено с целым рядом неудобств из-за отсутствия целого ряда важных инструментов централизованного развёртывания и управления.
Продукт от «РТ-Информационная безопасность», судя по описанию, по своим возможностям близок к MaxPatrol Endpoint Security. Однако рынок довольно настороженно относится к кэптивным разработкам, особенно если речь идёт о компаниях, которые являются прямыми конкурентами владельцев такого разработчика.
На EDR надейся, но бэкапы делай
Система защиты от любых угроз, в том числе от программ-вымогателей, должна быть комплексной. Она должна включать целый комплекс мер, причём не только технических. Так, участники эфира AM Live «Атаки шифровальщиков: как защитить бизнес и восстановиться после инцидента» пришли к выводу, что хороший эффект даёт сокращение площади возможной атаки, что можно реализовать без использования дополнительных инструментов. Однако важнейшим элементом защиты является система резервного копирования и восстановления.
Как подчеркнул Дмитрий Бабич, встроенные средства защитных инструментов не являются полноценной заменой резервному копированию. Это лишь дополнительный механизм снижения ущерба, который работает в отдельных сценариях. Успех того, что такие механизмы сработают, очень сильно зависит от своевременного реагирования как пользователей, так и защитных инструментов. Поэтому на практике именно наличие актуальных резервных копий остается основным и наиболее надёжным способом восстановления данных после атак вайперов и шифровальщиков.
Как предупредил Дмитрий, дешифраторы работают с ограниченным количеством инструментов, которые охватывают далеко не весь спектр актуальных угроз — тем более что большинство современных шифровальщиков используют корректно реализованную криптографию и не поддаются расшифровке без ключа. Есть слабые места и в технологиях резервирования, поскольку резервные копии также могут быть уничтожены или испорчены в ходе атаки. К тому же они работают только при условии, что данные не были полностью перезаписаны или зашифрованы до момента реакции системы.
Кирилл Левкин подчеркнул, что эффективность работы средств защиты критически зависит от своевременного обнаружения: если атака прошла незамеченной, восстановление часто невозможно. Также участники эфира AM Live «Атаки шифровальщиков: как защитить бизнес и восстановиться после инцидента» обратили внимание на то, что очень часто атаки шифровальщиков происходят в нерабочее время — ночью, в выходные и праздничные дни, и обслуживающий персонал может далеко не сразу получить оповещение об атаках.
Кроме того, Кирилл отметил, что многие защитные системы уязвимы к целенаправленным атакам, которые отключают защитные механизмы или удаляют резервные копии. Также системы защиты конечных точек с функцией восстановления данных дают ложное чувство безопасности, и компании могут недооценивать необходимость полноценных мер по резервному копированию и сегментации инфраструктуры. Так что эти средства эффективны именно как часть многоуровневой защиты, но не как её замена.
Владимир Арышев несколько более оптимистичен. По его оценке, современные средства защиты конечных точек являются весьма эффективным инструментом, особенно если речь идёт о массовых и типовых угрозах. Однако не стоит забывать о целевых атаках, где могут применяться уникальные инструменты. Плюс ко всему, эффективность работы зависит от большого количества дополнительных факторов: от скорости обнаружения атаки, используемых злоумышленниками техник обхода защиты, а также от состояния самой инфраструктуры. Так что их стоит рассматривать лишь как дополнение к комплексной системе защиты, которая обязательно должна включать механизмы резервного копирования и восстановления.
Кому это может быть полезно
Данное решение состоит из двух продуктов — MaxPatrol EPP и MaxPatrol EDR. У них разная целевая аудитория и задачи. MaxPatrol EPP ориентирован на защиту от массовых известных угроз. Его целевой аудиторией являются компании, находящиеся на рубеже среднего и крупного бизнеса, а также региональные филиалы и в целом все те, кто только начинает строить свою кибербезопасность и хочет защитить от базовых угроз рабочие места и серверы. Тут сценарий мало отличается от обычного антивирусного ПО.
MaxPatrol EDR предназначен для крупных государственных и корпоративных заказчиков или поставщиков ИБ-сервисов. Данный продукт может детектировать в том числе и неизвестные угрозы, которые могут исходить от профессиональных или прогосударственных кибергруппировок. Обратной стороной, как отметил Сергей Лебедев, является довольно большая доля ложноположительных срабатываний. Именно на то, чтобы её снизить, ушло больше всего усилий в ходе внутреннего тестирования продукта внутри компании в течение полугода.
Вместе с тем он сложнее и требует наличия в компании по крайней мере базового уровня защищённости. Также MaxPatrol EDR может использоваться в составе корпоративных или коммерческих центров мониторинга ИБ (Security Operations Center, SOC).
В базовую поставку продукта входит набор правил, которые подготовлены экспертами вендора. Среди них 6000 YARA-правил и более 800 правил корреляции. При необходимости можно создавать свои, адаптируя продукт под актуальные угрозы. В продукте предусмотрено 40 сценариев реагирования на узлы сети, как в ручном, так и автоматическом режиме, массово (на всех узлах сети или в масштабах филиала) или точечно, на отдельных узлах.
Выводы
Функция защиты от шифровальщиков будет, безусловно, полезной. Они представляют собой очень серьёзную угрозу, способную нанести крайне большой ущерб бизнес-процессам. Однако полностью надеяться на данный инструмент всё же не стоит. Резервное копирование остаётся наиболее действенным инструментом восстановления данных, причём не только после атак, но и после аварий с накопителями или системами хранения, вероятность которых также далеко не нулевая.








