Компьютеры атаковал «троян»

Вышедшая из строя техника парализовала работу некоторых подразделений и на неделю задержала выход заводской газеты

Инцидент с массовым заражением персональных компьютеров работников Завода № 9 с доступом в сеть интернет произошел 22 мая. Часть компьютеров «умерла» сразу, часть удалось «спасти» перезагрузкой системы. С этого времени у работников Центра информационных технологий и связи начались непростые деньки. А выход заводской газеты «Под прицелом» оказался задержан почти на неделю.

 В понедельник, 22 мая, в начале рабочего дня — около 8.10 по местному времени — в ЦИТиС начали поступать звонки о зависаниях компьютеров и появлении «синего экрана» с ошибками.

- Мы оперативно отреагировали на первую появившуюся заявку — примерно через десять минут после ее поступления и обнаружили, что причиной неполадок в работе ряда компьютеров является троян, определяемый антивирусным программным обеспечением Kaspersky Endpoint Security 10, как «HEUR:Trojan-Ransom.Win32.Wanna.a», - рассказывает начальник Центра Сергей Калякин.

По его словам, вскоре было установлено, что данный вирус распространяется в сегменте заводской сети, имеющей выход в международную коммуникационную сеть «интернет» посредством использования уязвимости операционных систем Windows MS17-010.

- Мы также установили тип вредоносной программы — криптовымогатель, известный как «WannaCry», - объясняет Сергей Владимирович.

Сотрудники ЦИТиС предприняли меры по ограничению доступа вируса к остальным сегментам локальной сети завода с целью ограничения дальнейшего его распространения. При этом дополнительно на локальном DNS-сервере были зарегистрированы несколько DNS-записей, блокирующих работу криптовымогателя (специфика работы данного вредоносного ПО).

- После проведения указанных мероприятий в течение нескольких дней происходила постепенная очистка компьютеров сегмента от вредоносных программ средствами антивирусного программного обеспечения Kaspersky Endpoint Security 10 с предварительной установкой обновления, закрывающего уязвимость операционных систем Windows MS17-010, - поясняют технические специалисты, отмечая, что все зараженные компьютеры определялись по журналу событий антивирусной системы Kaspersky Security Center, поскольку с зараженных компьютеров происходили сетевые атаки на соседние компьютеры.

Всего заражено и временно выведено из строя оказалось 120 компьютеров. Впрочем, ущерб от произошедшего инцидента оценивается, как минимальный, так как ни на одном компьютере не зашифровалось ни одного байта информации, но сотрудники бюро технического обслуживания Центра информационных технологий и связи на две недели оказались оторваны от основной работы, занимаясь восстановлением и настройкой вышедших из строя компьютеров.

- Для предотвращения подобных инцидентов в будущем на компьютерах было обновлено антивирусное программное обеспечение, а также настроен локальный сервер обновлений Windows, - отмечает Сергей Калякин.

В числе зараженных и временно неработающих оказался и компьютер редакции заводской газеты «Под прицелом», из-за чего своевременная подготовка очередного номера оказалась частично заблокированной. При этом специалисты ЦИТиС отнеслись к проблеме с пониманием — мало того, что люди пострадали из-за вирусной атаки, они еще остались и без своевременно вышедшей газеты. Однако и редакция предприняла все возможное для оперативной подготовки майского номера, но сделать невозможного не получилось, поэтому вы держите в руках газету, спустя шесть дней после планируемого выхода.

Сергей Калякин отмечает, что на высоком профессиональном уровне сработали несколько технических специалистов — И. Кирпа, А. Двойников, А. Сучков и А. Селянин. Добавим, что, благодаря этим ребятам, работа всех пострадавших от компьютерных поломок подразделений, была возобновлена в максимально-короткие сроки.

 

Максим ГУСЕВ