До уваги користувачів 1С: Підприємство!
Антивірусна компанія "Доктор Веб" повідомила 22 червня 2016 року про те, що виявлений небезпечний вірус для 1С: Підприємства - троянець, що запускає шифрувальника-здирника ( ru/show/?i=10034&c=5&lng=ru&p=0> https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0 ).
Тема листа: "У нас змінився БИК банку"
Текст листа:
Доброго дня! У нас змінився БИК банку. Просимо оновити свій класифікатор банків. Це можна зробити в автоматичному режимі, якщо Ви використовуєте 1С Підприємство 8. Файл - Відкрити обробку поновлення класифікаторів з вкладення. Натиснути ТАК. Класифікатор оновиться в автоматичному режимі. При включеному інтернеті за 1-2 хвилини.Далі наводимо докладний повідомлення компанії "Доктор Веб", але спочатку просимо всіх користувачів 1С: Підприємства не відкривати електронні листи з темою "У нас змінився БИК банку" і не запускати в програмах 1С зовнішні обробки, отримані по електронній пошті. Навіть якщо лист з зовнішньої обробкою прийшло до вас від обслуговуючого вас партнера 1С або іншого добре вам знайомого контрагента - спочатку зв'яжіться з ним, перевірте, що він дійсно направляв вам таку обробку, з'ясуйте, які функції вона виконує до того, як її запустити.
ru/show/?i=10034&c=5&lng=ru&p=0> "Доктор Веб" повідомляє про перший троянця для 1С, запускає шифрувальника-вимагача
22 червня 2016 року
троянець 1C.Drop.1 , Досліджений фахівцями компанії "Доктор Веб", самостійно поширюється по електронній пошті серед зареєстрованих в базі контрагентів, заражає комп'ютери зі встановленими бухгалтерськими програмами 1С та запускає на них небезпечного троянця-шифрувальника. Шкідливі програми, при створенні яких вирусописатели використовували будь-яку нову технологію або рідкісну мову програмування, з'являються нечасто, і це - той самий випадок.
Можна сміливо сказати, що 1C.Drop.1 - це перший потрапив в вірусну лабораторію компанії "Доктор Веб" троянець, фактично написаний російською мовою, вірніше, на вбудованій мові програмування 1С, який використовує для запису команд кирилицю. При цьому шкідливі файли для 1С, які могли модифікувати або заражати інші файли зовнішньої обробки, відомі вірусним аналітикам "Доктор Веб" ще з 2005 року, проте повноцінний троянець-дроппер, що приховує в собі небезпечного шифрувальника, зустрівся їм вперше.
Троянець поширюється у вигляді вкладення в повідомлення електронної пошти з темою "У нас змінився БИК банку" і наступним текстом:
Доброго дня! У нас змінився БИК банку. Просимо оновити свій класифікатор банків. Це можна зробити в автоматичному режимі, якщо Ви використовуєте 1С Підприємство 8. Файл - Відкрити обробку поновлення класифікаторів з вкладення. Натиснути ТАК. Класифікатор оновиться в автоматичному режимі. При включеному інтернеті за 1-2 хвилини.До листа прикріплено файл зовнішньої обробки для програми "1С: Підприємство" з ім'ям ПроверкаАктуальностіКлассіфікатораБанков.epf. Тіло цього модуля захищено паролем, тому переглянути його вихідний код стандартними засобами неможливо. Якщо одержувач такого листа піде запропонованим інструкціям і відкриє цей файл в програмі "1С: Підприємство", на екрані відобразиться діалогове вікно:
Яку б кнопку ні натиснув користувач, 1C.Drop.1 буде запущений на виконання, і у вікні програми "1С: Підприємство" з'явиться форма з зображенням забавних котиків:
У цей же самий час троянець починає свою шкідливу діяльність на комп'ютері. В першу чергу він шукає в базі 1С контрагентів, для яких заповнені поля з адресою електронної пошти, і відправляє за цими адресами лист з власної копією. Текст повідомлення ідентичний наведеному вище. Замість адреси відправника троянець використовує e-mail, вказаний в обліковому записі користувача 1С, а якщо такий відсутній, замість нього підставляється адреса Ця електронна адреса захищена від спам-ботів. У вас повинен бути включений JavaScript для перегляду. . Як вкладення троянець прикріплює до листа файл зовнішньої обробки з ім'ям ОбновітьБІКБанка.epf, що містить його копію. Користувачі, які спробували відкрити такий файл в додатку 1С, також постраждають від запуститься на їх комп'ютері шифрувальника, однак ця копія 1C.Drop.1 розішле по адресам контрагентів пошкоджений EPF-файл, який програма "1С: Підприємство" вже не зможе відкрити. 1C.Drop.1 підтримує роботу з базами наступних конфігурацій 1С:
- "Управління торгівлею, редакція 11.1"
- "Управління торгівлею (базова), редакція 11.1"
- "Управління торгівлею, редакція 11.2"
- "Управління торгівлею (базова), редакція 11.2"
- "Бухгалтерія підприємства, редакція 3.0"
- "Бухгалтерія підприємства (базова), редакція 3.0"
- "1С: Комплексна автоматизація 2.0"
Після завершення розсилання 1C.Drop.1 витягує зі своїх ресурсів, зберігає на диск і запускає троянця-шифрувальника Trojan.Encoder.567 . Цей небезпечний енкодер, що має кілька модифікацій, шифрує зберігаються на дисках зараженого комп'ютера файли і вимагає викуп за їх розшифровку. На жаль, в даний час фахівці компанії "Доктор Веб" не мають інструментарієм для розшифровки файлів, пошкоджених цією версією Trojan.Encoder.567 , Тому користувачам слід проявляти особливу пильність і не відкривати отримані по електронній пошті файли в додатку "1С: Підприємство", навіть якщо в якості адреси відправника значиться адреса одного з відомих одержувачу контрагентів.
Ru/show/?