В минувшую пятницу произошла крупнейшая в мире кибератака. Под ударом оказались многие коммерческие и государственные структуры. Компания "РЖД", которая тоже подверглась вирусной атаке, несмотря на это, сумела обеспечить бесперебойную работу сети железных дорог.

Вирус, который атаковал компьютеры, получил название WannaCry. Ему удалось проникнуть в системы из-за уязвимости Microsoft Security Bulletin MS17-010. Затем в зараженную систему устанавливался руткит (программа для скрытия следов присутствия злоумышленника или вредоносной программы. – Ред.), с помощью которого запускалась программа-шифровальщик. За расшифровку данных злоумышленники требуют заплатить выкуп в размере 600 долларов США в криптовалюте Bitcoin.

Лаборатория Касперского зафиксировала 45 тыс. кибератак в 74 странах мира. Они нанесли ущерб железным дорогам в Германии и Испании. В России пострадали компьютерные системы компании "Мегафон", МВД и Следственного комитета РФ. Были атакованы, но устояли сети Центробанка и Сбербанка.

Очень мощной была кибератака на операционные системы компании "РЖД" 12 мая. С 18 до 20 часов в диспетчерских центрах управления и на станциях дорог началось массовое распространение вирусов по сети передачи данных. Сложная ситуация сложилась на Октябрьской, Московской, Юго-Восточной, Западно-Сибирской и Восточно-Сибирской железных дорогах: нарушилась работа автоматизированных систем управления перевозочным процессом. И было принято решение перевести всю сеть в режим ручного управления.

Незамедлительно было организовано комплексное обследование серверного оборудования на предмет выявления вирусов с выводом из работы критических, зараженных компьютеров.

Наибольший сбой шел в период с 22 до двух часов ночи. В условиях глобального сбоя компьютерных систем компания обеспечила проследование пассажирских и пригородных поездов по расписанию. А формирование поездов проведено с минимальными потерями.

В ОАО "РЖД" был создан оперативный штаб, в который вошли руководители департаментов и отдельных дирекций. Для обеспечения оперативной работы узловых и сортировочных станций на рабочие места были вызваны руководители и персонал. В целях предотвращения возможных сбоев временно вводился режим ручного управления ведением графика. Начальник Департамента информатизации Кирилл Семион оценивает проникновение вирусов в системы ОАО "РЖД" как незначительное. Серверный парк, по его словам, полностью защищен.

– Сейчас работы по уничтожению вируса завершаются, – сказал он, – на окончательное его уничтожение потребуется еще 1–2 дня. По итогам вирусной атаки будет принят определенный набор мер, и сейчас уже есть понимание того, что необходимо предпринять на будущее для защиты от подобных кибератак.

– Из нынешних событий можно сделать два главных вывода, – сказал нам заместитель руководителя Центра кибербезопасности ОАО "НИИАС" Борис Безродный. – Первый: то, о чем давно говорили представители нашего центра, и то, во что верили далеко не все железнодорожники, произошло. Объектами кибератаки на железнодорожном транспорте стали системы диспетчерской и электрической централизации, формирующие маршруты движения поездов, и многие другие. И второй вывод: меры, которые уже были приняты, сработали. Можно считать, что это своеобразная проверка на прочность РЖД, и она прошла успешно. Иммунитет от "вирусной инфекции" у нас уже выработан, но говорить, что раз и навсегда будет найден рецепт вакцины от компьютерных вирусов на все времена, нельзя.

А вот что советует антивирусный эксперт "Лаборатории Касперского" Антон Иванов:

– Мы рекомендуем компаниям для снижения рисков заражения установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость (в частности, уже доступны обновления для версий Windows XP и Windows 2003). Если используется защита "Лаборатории Касперского", надо убедиться, что версия антивирусной программы включает в себя компонент "мониторинг системы" и он активирован. Затем запустить задачу сканирования критических областей в защитном решении "Лаборатории Касперского", чтобы обнаружить возможное заражение как можно раньше. После детектирования Trojan.Win64.EquationDrug.gen произвести перезагрузку системы. А для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.