Сервер зашифровано: що робити бізнесу та як захистити дані Торгсофт
Якщо файли на сервері вже зашифровані, від'єднайте уражений комп'ютер від локальної мережі та інтернету, не підключайте до нього резервні диски й не запускайте випадкові програми для розшифрування. Зафіксуйте повідомлення зловмисників, час і перші ознаки атаки, залучіть системного адміністратора або фахівця з реагування на кіберінциденти. Відновлювати облік потрібно на очищеному чи новому сервері з останньої перевіреної копії, створеної до проникнення зловмисника. Якщо такої копії немає, повне відновлення історії обліку може бути неможливим.
У 2026 році програми-вимагачі залишаються однією з основних загроз для бізнесу. За даними Verizon Data Breach Investigations Report 2026, експлуатація вразливостей стала початковим способом проникнення у 31% підтверджених витоків даних, а програми-вимагачі були присутні у 48% випадків. Для українського бізнесу до фінансово мотивованих атак додаються цілеспрямовані руйнівні операції. У 2025 році CERT-UA опрацювала 5927 кіберінцидентів — на 37,4% більше, ніж роком раніше. Серед основних загроз були фішинг, компрометація облікових записів, атаки через постачальників, деструктивні програми та програми-вимагачі, про що йдеться в огляді національної системи кібербезпеки України за 2025 рік.
Головне про резервні копіїАрхів у папці C:\DatabaseArchive, на іншому внутрішньому диску того самого сервера або на постійно підключеному USB-диску доступний операційній системі. Програма-вимагач або зловмисник з правами адміністратора може зашифрувати чи видалити його разом з основною базою.
Що відбувається під час атаки
Сучасна атака часто триває довше за саме шифрування. Зловмисник отримує первинний доступ, вивчає мережу, викрадає паролі, підвищує привілеї, знаходить сервери та резервні сховища, копіює дані, а потім запускає шифрування або знищення. Через це відновлення файлів без усунення способу проникнення створює ризик повторної атаки.
| Вид атаки | Що робить зловмисник | Наслідок для магазину |
|---|---|---|
| Шифрування файлів | Шифрує бази даних, документи, фотографії, мережеві папки та доступні архіви. | Каси й офіс втрачають доступ до обліку, залишків, історії продажів та документів. |
| Подвійне вимагання | Перед шифруванням копіює дані й погрожує оприлюдненням або продажем. | До простою додається ризик витоку даних клієнтів, працівників і контрагентів. |
| Вимагання без шифрування | Викрадає інформацію та вимагає гроші за нерозголошення. | Програма може працювати, хоча конфіденційні дані вже перебувають у сторонніх осіб. |
| Знищення даних | Програма-вайпер стирає файли, системи віртуалізації та резервні копії. | Дешифрування неможливе, оскільки дані знищені. Допомагає лише відокремлена копія. |
| Блокування системи | Блокує вхід до Windows або роботу окремих служб без масового шифрування файлів. | Робота зупиняється; стан бази потрібно перевірити до відновлення обліку. |
В українських атаках 2025 року зловмисники цілеспрямовано пошкоджували системи віртуалізації та резервного копіювання. Для проникнення використовували вразливості постачальників, скомпрометовані VPN-акаунти без багатофакторної автентифікації та соціальну інженерію. Це підтверджує потребу захищати одночасно сервер, віддалений доступ, облікові записи та резервні сховища.
Як програма-вимагач потрапляє до бізнесу
| Вектор проникнення | Типовий сценарій у бізнесі | Що знижує ризик |
|---|---|---|
| Невстановлені оновлення | Сканер знаходить у мережі застарілий VPN, маршрутизатор, Windows-сервер або іншу програму з відомою вразливістю. | Підтримувані версії програм, своєчасні оновлення, облік усіх пристроїв і зовнішніх сервісів. |
| Віддалений доступ | Порт RDP відкритий в інтернет, пароль підібраний або викрадений; VPN працює без додаткового підтвердження входу. | Закрити RDP з інтернету, використовувати захищений шлюз або VPN з багатофакторною автентифікацією, обмежити адреси й час доступу. |
| Фішинг | Працівник відкриває вкладення або посилання з листа про рахунок, перевірку, доставку, штраф, вакансію чи службовий документ. | Фільтрація пошти, блокування небезпечних макросів і скриптів, навчання працівників, перевірка запиту через інший канал. |
| Викрадені паролі | Один пароль використовується для пошти, віддаленого доступу й хмарного сховища; дані вже є у витоку або їх викрав інфостілер. | Унікальні паролі в менеджері паролів, багатофакторна автентифікація, окремі адміністративні акаунти, скасування старих сесій. |
| Неліцензійні програми та фальшиві оновлення | Працівник запускає активатор, програму з файлообмінника, фальшивий інсталятор браузера або «термінове оновлення». | Встановлення програм лише відповідальним працівником з офіційних джерел, контроль дозволених застосунків. |
| Флешки й зовнішні диски | Заражений носій підключають до касового комп'ютера або сервера. | Заборона невідомих носіїв, автоматична перевірка, обмеження USB-пристроїв політиками Windows. |
| Інший комп'ютер у мережі | Заражається офісний ноутбук, після чого атака поширюється через спільні папки, викрадені паролі та адміністративні інструменти. | Сегментація мережі, окрема гостьова Wi-Fi-мережа, мінімальні права, локальний брандмауер, різні адміністраторські паролі. |
| Постачальник або програма віддаленої підтримки | Зламаний обліковий запис підрядника чи легальна програма керування дає доступ одразу до кількох клієнтів. | Іменні акаунти, багатофакторна автентифікація, доступ за заявкою та на обмежений час, журнал підключень, видалення непотрібних засобів. |
| Злам хмарного акаунта | Зловмисник входить до Google-акаунта, видаляє або пошкоджує резервні копії, змінює налаштування відновлення. | Окремий службовий акаунт, ключ доступу або багатофакторна автентифікація, контроль сесій, незалежна офлайн-копія. |
Звернення до техпідтримки Торгсофт і публічні обговорення постраждалих повторюють однакові ситуації: усі архіви зберігалися на зараженому ПК; зовнішній диск залишався підключеним; завдання резервування давно завершувалося помилкою; хмарний акаунт не мав багатофакторного захисту; з сервера вдалося отримати лише застарілий файл .mdf. У відкритому українському обговоренні резервування користувачі також описують втрату одночасно основних файлів і доступних копій та захоплення Google-акаунта без двоетапної перевірки. Такі повідомлення є описами окремих випадків; технічні рекомендації нижче спираються на NIST, CISA, NCSC, Microsoft і CERT-UA.
Що робити, якщо сервер уже зашифровано
Перші 15 хвилин
- Ізолюйте уражений комп'ютер. Вийміть мережевий кабель, вимкніть Wi-Fi та від'єднайте його від VPN. Від'єднайте від мережі інші комп'ютери, на яких з'являються ті самі ознаки.
- Зупиніть поширення. Системний адміністратор має заблокувати скомпрометовані облікові записи, активні віддалені сеанси, доступ до спільних папок і підозрілий зовнішній трафік.
- Не підключайте резервні носії. Призупиніть автоматичну синхронізацію та резервні завдання, якщо вони можуть переписати справну копію пошкодженими даними.
- Не видаляйте сліди. Сфотографуйте повідомлення про викуп, запишіть розширення зашифрованих файлів, час виявлення, останні дії користувачів і відомі збої. Не перейменовуйте файли та не запускайте невідомі дешифратори.
- Якщо шифрування триває і мережево ізолювати пристрій неможливо, вимкніть його. За наявності фахівця з цифрової криміналістики рішення про вимкнення краще погодити з ним, оскільки оперативна пам'ять може містити корисні докази.
Протягом першої години
- Призначте відповідального за інцидент. Він фіксує час, рішення, залучених осіб, уражені пристрої та стан резервних копій.
- Залучіть фахівця з реагування. Звичайного сканування антивірусом недостатньо для перевірки, чи залишилися сторонні акаунти, служби, завдання, ключі доступу або інші механізми повторного входу.
- Змініть паролі з гарантовано чистого пристрою. Почніть з адміністраторів, пошти, VPN, сервісів віддаленого доступу, Google-акаунта з архівами та кабінетів хмарного провайдера. Завершіть активні сесії й перевидайте ключі доступу.
- Перевірте весь контур. До переліку входять сервер, робочі станції, каси, маршрутизатор, мережеві сховища, пошта, хмарні кабінети та комп'ютери підрядників, які підключалися віддалено.
- Повідомте про інцидент. Інформацію про шкідливий вміст можна передати через форму на сайті CERT-UA. Заяву про кіберзлочин можна подати через систему електронних звернень Кіберполіції. Якщо могли витекти персональні, платіжні чи договірні дані, окремо оцініть юридичні та договірні обов'язки щодо повідомлення.
Чи платити викупCISA, NIST і проєкт правоохоронних органів No More Ransom радять не платити. Оплата не гарантує отримання ключа, справність дешифратора, видалення викрадених даних або відсутність повторної вимоги. Перед будь-яким рішенням залучіть правоохоронців, фахівця з реагування, юриста та страхову компанію, якщо є кіберстрахування.
Як перевірити можливість розшифрування
Збережіть копії зашифрованих даних, повідомлення про викуп і кілька пар «зашифрований файл — його справний оригінал», якщо вони є. Сервіс Crypto Sheriff допомагає визначити сімейство програми-вимагача та перевірити наявність безплатного дешифратора. Працювати потрібно з копією даних під контролем фахівця. Нові ключі інколи з'являються пізніше, тому зашифровані файли доцільно зберегти навіть за відсутності рішення зараз.
Як відновити Торгсофт після атаки
- Підготуйте чисте середовище. Використайте новий комп'ютер або перевстановіть Windows на скомпрометованому сервері після фіксації потрібних доказів. Встановіть усі оновлення безпеки, налаштуйте захист і віддалений доступ.
- Знайдіть останню справну копію. Перевірте хмарний архів, від'єднані диски, копії в іншому приміщенні та інші сховища. Дата архіву визначає, скільки операцій доведеться відновлювати вручну.
- Перевірте копію до розгортання. Архів має відкриватися, відповідати очікуваному розміру й даті та пройти перевірку на шкідливе програмне забезпечення. Відновлення потрібно виконувати в ізольованому середовищі.
- Зверніться до техпідтримки Торгсофт. Після підготовки безпечного сервера та справного архіву спеціалісти допоможуть встановити програму й розгорнути базу.
- Перевірте облік. Звірте дату останніх продажів, залишки, касові документи, рухи товару, користувачів, шаблони та фотографії. Зафіксуйте втрачений період і план його відновлення з первинних документів.
Безпеку Windows-сервера, мережі, облікових записів і резервних носіїв забезпечує власник бізнесу разом зі своїм системним адміністратором або ІТ-підрядником. Техпідтримка Торгсофт не розшифровує уражені файли й не може отримати справний архів із даних, які вже зашифровані або знищені. Після підготовки чистого сервера фахівці можуть встановити Торгсофт і відновити базу з придатної копії. Спроба підключити вцілілий файл .mdf іноді можлива, однак результат залежить від цілісності й дати файлу та не гарантується.
Перенесення на орендований сервер також потребує справної бази або архіву. Нове середовище відновлює можливість працювати надалі, а облікові дані за минулий період відновлюються лише з наявної копії.
Чому копія на тому самому сервері не захищає
| Де зберігається копія | Захист від шифрувальника | Причина |
|---|---|---|
| Інша папка на диску C: | Низький | Ті самі Windows, права адміністратора, фізичний диск і зона ураження. |
| Другий внутрішній диск сервера | Низький | Диск постійно доступний системі та зловмиснику з адміністративними правами. |
| USB-диск, який постійно підключений | Низький | Під час атаки він працює як звичайний доступний диск. |
| Мережева папка з постійним правом запису | Низький або середній | Шкідлива програма може шифрувати файли від імені скомпрометованого користувача. |
| Хмарна папка, синхронізована як диск | Середній | Пошкодження й видалення можуть синхронізуватися; захист залежить від версій, кошика та безпеки акаунта. |
| Хмарний архів через окремий акаунт без постійно підключеного диска | Вищий | Копія зберігається поза сервером і не відображається як звичайна мережева папка. Акаунт і дозволи потрібно захищати окремо. |
| Від'єднаний диск або незмінюване сховище | Найвищий серед перелічених | У момент атаки немає доступного каналу для зміни чи видалення копії. |
NCSC рекомендує відокремлювати керування резервним сховищем від основної мережі, використовувати окремі адміністративні облікові дані, багатофакторну автентифікацію для руйнівних дій, від'єднані носії або незмінювані копії та зберігати попередні версії протягом визначеного строку.
Практична схема резервування для магазину
Для малого й середнього бізнесу придатна модель 3–2–1–1–0:
- 3 копії даних: робоча база та щонайменше дві резервні копії;
- 2 різні середовища: наприклад, локальний диск для швидкого відновлення та хмарне сховище;
- 1 копія поза основним приміщенням або сервером;
- 1 копія офлайн або в незмінюваному сховищі;
- 0 неперевірених помилок: журнали резервування контролюють, відновлення регулярно тестують.
Визначте допустиму втрату данихЯкщо магазин може повторно внести операції лише за один робочий день, справна резервна копія має створюватися щодня або частіше. Для мережі з великою кількістю продажів допустимий період втрати зазвичай коротший. Частоту копіювання та навантаження на базу погодьте з ІТ-фахівцем і техпідтримкою Торгсофт.
Як налаштувати автоматичну копію на захищений диск
- Виділіть носій лише для резервування. На ньому не зберігають робочі документи й не запускають програми.
- Не тримайте носій постійно підключеним. Диск підключають на час контрольованого копіювання, коректно від'єднують після завершення та зберігають окремо.
- Використовуйте ротацію щонайменше двох дисків. Поки один носій отримує нову копію, інший залишається від'єднаним в іншому безпечному місці.
- Обмежте права. Звичайні користувачі та касири не повинні мати права видаляти резервні копії. Облікові дані резервування не використовують для щоденної роботи.
- Захистіть дані на носії шифруванням. Ключ відновлення зберігайте окремо від сервера й самого диска.
- Автоматизуйте контроль. Відповідальна особа отримує сповіщення про помилку, щодня перевіряє дату останньої копії та доступне місце.
- Тестуйте відновлення. Щомісяця перевіряйте відкриття свіжого архіву в ізольованому середовищі; щокварталу проводьте повне тестове відновлення з фіксацією часу й результату.
Автоматичне резервування на диск не має завершуватися підключенням носія на весь день. Якщо процес неможливо організувати дисципліновано, доцільне сховище з незмінюваними версіями та окремим керуванням.
Як налаштувати «Хмарний архів даних» у Торгсофт
Хмарний архів даних | Ліцензія на 1 рік автоматично створює архів бази даних або каталогу програми Торгсофт і надсилає його до Google Drive за розкладом. Копії зберігаються у папці TORGSOFT_CLOUD. Для синхронізації фотографій використовується окрема папка TORGSOFT_CLOUD_SYNC.
- Створіть окремий Google-акаунт для архівів. Не використовуйте особистий акаунт працівника. Власник бізнесу має контролювати засоби відновлення доступу.
- Увімкніть багатофакторну автентифікацію. Перевагу варто надати ключу доступу або апаратному ключу безпеки. Збережіть резервні коди офлайн.
- Не встановлюйте на сервер клієнт синхронізації Google Drive для цієї папки. Хмарний архів має залишатися окремим від звичайних дисків і мережевих папок Windows.
- Активуйте опцію. У Торгсофт відкрийте Налаштування → Завдання за розкладом → Архівування в хмарне сховище.
- Додайте завдання. Оберіть тип: архів бази даних, каталог з програмою або синхронізація фотографій. Для повноцінного відновлення зазвичай потрібні окремі завдання для бази й важливих робочих файлів.
- Укажіть строк зберігання. Залишайте кілька копій за різні дати. За потреби активуйте переміщення застарілих архівів до кошика замість остаточного видалення.
- Увімкніть стиснення архіву бази. Це зменшує обсяг передавання та використання місця у сховищі.
- Налаштуйте щоденний розклад. Час локальної та хмарної архівації не повинен збігатися. Якщо локальний архів створюється о 17:00, хмарне завдання встановіть не раніше 17:10. Між кількома хмарними завданнями залишайте щонайменше 20 хвилин.
- Авторизуйте Google-акаунт, активуйте завдання та збережіть його. Не додавайте особисті файли до
TORGSOFT_CLOUD, оскільки програма застосовує до цієї папки налаштований строк зберігання. - Перевірте результат. Перегляньте лог виконання, переконайтеся, що свіжий архів з'явився у Google Drive, а потім виконайте тестове відновлення.
Пропущене завданняЯкщо у визначений час не було інтернету, не працював сервер застосунку або виникла помилка авторизації, завдання відкладається до наступного збігу умов розкладу. Тому лог і дату останнього успішного архіву потрібно контролювати регулярно.
Хмарний архів розміщує копію поза сервером і знижує ризик одночасної втрати робочої бази та локальних архівів. Його стійкість залежить від захисту Google-акаунта, строку зберігання, контролю помилок та доступів до хмари. Для критичних даних зберігайте додаткову офлайн- або незмінювану копію.
Як захистити Windows-сервер з Торгсофт
Сервером у цьому матеріалі вважається Windows-комп'ютер, на якому зберігається база Торгсофт. Навіть якщо це звичайний ПК у магазині, для нього потрібен режим виділеного сервера.
- Використовуйте сервер лише для Торгсофт і необхідних служб. Не відкривайте на ньому пошту, месенджери, соціальні мережі та сторонні сайти. Не завантажуйте документи, програми, драйвери чи архіви з неперевірених джерел.
- Не працюйте щодня з правами адміністратора. Створіть окремий стандартний обліковий запис і окремий адміністративний акаунт для налаштувань.
- Підтримуйте Windows, SQL Server, маршрутизатор, VPN і засоби віддаленого доступу в актуальному стані. Версії без оновлень безпеки потрібно замінити або ізолювати.
- Не відкривайте RDP-порт 3389 безпосередньо в інтернет. Віддалений доступ організуйте через VPN або захищений шлюз з багатофакторною автентифікацією, іменними акаунтами та журналом підключень.
- Закрийте непотрібні порти й служби. Доступ до SQL Server і спільних папок дозволяйте лише потрібним пристроям локальної мережі. SMB-порт 445 не повинен бути доступним з інтернету.
- Відокремте мережі. Сервер і каси не розміщують у гостьовій Wi-Fi-мережі. Офісні ноутбуки, камери, телевізори та особисті телефони не повинні мати зайвого доступу до сервера.
- Увімкніть і контролюйте захист кінцевої точки. Антивірус або EDR має отримувати оновлення, працювати в реальному часі та захищатися від вимкнення. Правила зменшення поверхні атаки, контроль папок і дозволених програм спочатку перевіряють на сумісність із Торгсофт та SQL Server.
- Обмежте програми й макроси. На виділеному сервері не потрібні офісні редактори, архіватори, браузерні розширення та утиліти, які не беруть участі в роботі Торгсофт.
- Використовуйте унікальні паролі й багатофакторну автентифікацію. Це обов'язково для пошти, VPN, хмарних кабінетів, віддаленої підтримки та акаунтів резервного копіювання.
- Ведіть журнали й налаштуйте сповіщення. Контролюйте невдалі входи, створення адміністраторів, вимкнення захисту, нові служби, підключення віддаленого доступу, помилки резервування та нестачу місця.
- Перевіряйте доступи підрядників. Доступ надавайте на конкретний час і вимикайте після робіт. Спільні постійні паролі замініть іменними акаунтами.
- Захистіть живлення. Джерело безперебійного живлення та коректне завершення роботи зменшують ризик пошкодження бази під час відключень електроенергії.
Microsoft у рекомендаціях для SQL Server окремо наголошує на захисті RDP, закритті портів брандмауером, своєчасних оновленнях, мінімізації встановлених інструментів і зберіганні резервної копії так, щоб спільний адміністратор не міг її видалити. Для Windows Microsoft також рекомендує багатофакторний вхід, захист від втручання, правила зменшення поверхні атаки та швидке встановлення критичних оновлень.
Мінімальний план захисту на 30 днів
| Строк | Дії | Результат |
|---|---|---|
| Сьогодні | Закрити прямий RDP, перевірити оновлення й антивірус, змінити адміністраторські паролі, увімкнути багатофакторну автентифікацію, створити копію поза сервером. | Знижено ризик найпоширеніших способів проникнення та повної втрати даних. |
| За 7 днів | Активувати «Хмарний архів даних», налаштувати окремий Google-акаунт, перевірити логи й тестове відновлення, запровадити ротацію офлайн-дисків. | Є кілька незалежних шляхів відновлення. |
| За 14 днів | Інвентаризувати пристрої, розділити мережі, прибрати зайві програми й доступи, перевірити підрядників і засоби віддаленого керування. | Зменшено кількість точок входу та можливість поширення атаки. |
| За 30 днів | Затвердити короткий план реагування, контакти відповідальних, допустиму втрату даних, порядок повідомлення та квартальний тест повного відновлення. | Власник і працівники знають, хто й що робить під час інциденту. |
Короткі відповіді на запитання клієнтів
Сервер і всі архіви зашифровані. Чи може Торгсофт витягнути базу?
Тільки якщо залишився справний архів або цілісний файл бази. Техпідтримка не має універсального засобу для розшифрування даних, уражених програмою-вимагачем.
Зберігся файл .mdf. Чи можна відновити роботу?
Фахівці можуть перевірити можливість підключення. Файл має бути цілісним і містити актуальні дані. Якщо він створений кілька місяців тому, облік після цієї дати буде відсутній.
Чи допоможе перехід на орендований сервер?
Він дає нове середовище для подальшої роботи. Історія обліку переноситься зі справної бази або архіву, тому спочатку потрібно знайти придатну копію.
Чи достатньо «Хмарного архіву даних»?
Для базового захисту це важливий рівень. Для критичних даних додайте окрему офлайн- або незмінювану копію, багатофакторний захист Google-акаунта, контроль журналів і регулярне тестове відновлення.
Як часто робити архів?
Частота залежить від кількості операцій і допустимої втрати. Для активного магазину щоденна копія є мінімумом. Якщо втрата робочого дня неприйнятна, потрібен частіший графік, погоджений з ІТ-фахівцем і техпідтримкою Торгсофт.
Чи можна після атаки очистити сервер антивірусом і продовжити роботу?
Цього недостатньо для надійного відновлення. Зловмисник міг створити додаткові акаунти, завдання, служби та приховані канали доступу. Безпечний підхід передбачає розслідування, усунення способу проникнення та розгортання на чистій системі.
Джерела
- Verizon. 2026 Data Breach Investigations Report.
- Національний координаційний центр кібербезпеки. Огляд національної системи кібербезпеки України за 2025 рік.
- NIST IR 8374 Rev. 1. Ransomware Risk Management, June 2026.
- NIST SP 800-61 Rev. 3. Incident Response Recommendations and Considerations for Cybersecurity Risk Management.
- CISA. #StopRansomware Guide.
- UK National Cyber Security Centre. Principles for ransomware-resistant on-premises backups.
- Microsoft. Make it hard for ransomware attacks to happen to your organization.
- Microsoft. SQL Server security best practices.
- Europol та партнери. No More Ransom.
- Торгсофт. Хмарний архів даних | Ліцензія на 1 рік.

Повернутися до попереднього кроку