Перейти к содержанию

Троянце для 1С

RK3DNP

Автор RK3DNP,
в Беседка

 Share Подписчики 0

Рекомендуемые сообщения

RK3DNP

RK3DNP 0

Опубликовано
Опубликовано

На сайте Dr. Web имеется информация «Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя. А у Касперского уже есть защита на этот случай или так как это обработка, защититься будет проблемно?

http://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0

22 июня 2016 года

Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.

screen 1C.Drop.1 #drweb

Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:

Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно:

screen 1C.Drop.1 #drweb

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков:

screen 1C.Drop.1 #drweb

В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

"Управление торговлей, редакция 11.1"
"Управление торговлей (базовая), редакция 11.1"
"Управление торговлей, редакция 11.2"
"Управление торговлей (базовая), редакция 11.2"
"Бухгалтерия предприятия, редакция 3.0"
"Бухгалтерия предприятия (базовая), редакция 3.0"
"1С:Комплексная автоматизация 2.0"
После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.
Ссылка на сообщение
Поделиться на другие сайты
ACIK

ACIK 404

Опубликовано
Опубликовано

Эта новость уже давно разошлась в информ-сети 1С с предупреждением не запускать сторонние обработки.

Не секрет, что "болезнь" проще предупредить, чем лечить. Т.е. каждый должен знать, что не стоит запускать неизвестные программы.

Если нормальный админ правильно настроит права в 1С, то и антивирус не понадобится...

Ссылка на сообщение
Поделиться на другие сайты
Kapral

Kapral 1 488

Опубликовано
Опубликовано

Хм... а если идет внедрение 1С, и внешние обработки пересылаются с фирмы разработчика десятками?

Ссылка на сообщение
Поделиться на другие сайты
ACIK

ACIK 404

Опубликовано
Опубликовано

Не отрывать обработки без исходников или на паролях... ;)

 

Опытный программер не запустит "левувую" обработку на "боевой" (рабочей) базе, мало ли какой там "косючий" код.

 

P.S.

Т.к. троян скачивается на диск и запускается, тут антивирус уже должен его "сцапать"...

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Kapral

Kapral 1 488

Опубликовано
Опубликовано

Вот я к тому что у нас сейчас идет внедрение 1С в соседнем кабинете сидят 3 разработчика и им каждые полчаса им скидывают по 2-3 обработки. я например не могу гарантировать что в фирме там все такие умные и предохраняются

 

и это )))

 

 


Опытный программер не запустит "левувую" обработку на "боевой" (рабочей) базе, мало ли какой там "косючий" код.

Лично у меня на старом месте работы была такая фишка запускал на тестовой базе без ошибок, а на рабочей запоролось (ошибку то оно исправило, но наткнулась на другую ошибку и вот на этой новой ошибке славно погуляло по остатку базы )))
Хорошо что копию я сделал перед запуском этой шняги.... и после этого еще сидел потрошил код обработки для исправления...

Ссылка на сообщение
Поделиться на другие сайты
ACIK

ACIK 404

Опубликовано
Опубликовано

 

 


и вот на этой новой ошибке славно погуляло по остатку базы )))

 

Так и нужно, вытянул самый последний CD-шник, запустил, показал бухам... устроило - повторил на рабочей базе, нет - "пилишь" дальше...

P.S. Разработчиков может быть сколь угодно, а внедренец только 1. А то будет как в той поговорке про "нянек".

Ссылка на сообщение
Поделиться на другие сайты
Kapral

Kapral 1 488

Опубликовано
Опубликовано

 

 


устроило - повторил на рабочей базе,
Вот так и действовали ))) и оказалось что нашли еще большие приключения себе на нижние 90 Гб
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Жесть там алго для тех, кто с этим не сталкивался. Главное непонятно, как он извлекает и куда извлекает файл шифратора

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...