Российские компании атакует троян, написанный на языке 1С

отметили
52
человека
в архиве
источник: xakep.ru

Специалисты компании «Доктор Веб» обнаружили интересный образчик малвари. Троян 1C.Drop.1 нацелен не просто на российских пользователей, но на российские компании. Зловред заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на устройствах криптовымогателя. При этом 1C.Drop.1 — это первый попавший в вирусную лабораторию «Доктор Веб» троян, написанный на русском языке, то есть на встроенном языке программирования 1С.

1C.Drop.1 распространяется посредством электронной почты, среди зарегистрированных в базе контрагентов. Можно скать, что мошенники используют социальную инженерию, так как письма озаглавлены темой «У нас сменился БИК банка» и сопровождаются следующим текстом:

«Здравствуйте!

У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл — Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты».

К письму действительно прикреплен файл внешней обработки для программы «1С: Предприятие» с именем «ПроверкаАктуальностиКлассификатораБанков.epf». Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С: Предприятие», на экране отобразится такое диалоговое окно:

источник: xakep.ru

Какую бы кнопку после этого ни нажал пользователь, троян 1C.Drop.1 будет запущен, а в окне «1С: Предприятие» появится форма с изображением котиков:

источник: xakep.ru

Осуществив заражение, троян приступает к активным действиям. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и рассылает по этим адресам письмо с собственной копией. Вместо адреса отправителя малварь использует email, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru.

В качестве вложения троянец прикрепляет к письму файл с именем «ОбновитьБИКБанка.epf», который и содержит копию малвари. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С: Предприятие» уже не сможет открыть. Специалисты пишут, что 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

«Управление торговлей, редакция 11.1»
«Управление торговлей (базовая), редакция 11.1»
«Управление торговлей, редакция 11.2»
«Управление торговлей (базовая), редакция 11.2»
«Бухгалтерия предприятия, редакция 3.0»
«Бухгалтерия предприятия (базовая), редакция 3.0»
«1С: Комплексная автоматизация 2.0»

Завершив вышеперечисленные операции, троян наконец запускает на зараженной машине шифровальщика Trojan.Encoder.567, а затем требует у жертвы выкуп.

Исследователи «Доктор Веб» пишут, что вредоносные файлы для 1С, которые способны модифицировать или заражать другие файлы внешней обработки, известны еще с 2005 года, но полноценный троян-дроппер, скрывающий в себе шифровальщика, встретился им впервые.
Добавил oleg_ws oleg_ws 24 Июня 2016
проблема (1)
Комментарии участников:
tooZ
+3
tooZ, 24 Июня 2016 , url
Не на 1С он написан, там внутри .exe-шник, который записывается в папку временных файлов и запускается
wasya007
+1
wasya007, 24 Июня 2016 , url
Наверно имелось ввиду, что атакует файлы программы 1С
tooZ
+5
tooZ, 24 Июня 2016 , url
Тут задел на то, что у бухгалтера вирус базу 1С зашифрует.
А база 1С для буха — святая святых, и он живенько побежит денежки отправлять.
wasya007
+2
wasya007, 24 Июня 2016 , url
Как раз с таким случаем сталкивался, бабло просили, контактное мыло, левое какое-то, на рамблере было и всё.
Ладно бекап на сервере под линуксом настроен был раз в неделю, откатили, остальное бухи ручками с бумаги вколачивали, так вот, делайте бекапы.
skrt
+7
skrt, 24 Июня 2016 , url
Надо запрет ставить на выполнение бухами внешних обработок.

Georg7
0
Georg7, 25 Июня 2016 , url
1С может стоять не только у буха.У меня 2 клиента стоят(своей конторы и Заказчика), но хрен я хоть одно левое движение без админа смогу сделать.Мешает, конечно, ругаюсь, когда достучаться не могу.Но, как подумаю, если бы щас все хряпнулось, не, лучше дальше ругаться буду.
Flinky
0
Flinky, 25 Июня 2016 , url
Ну-ну. А бэкапы придумали трусы, правда? :)
Ни один бух никуда не побежит со всех ног деньги отправлять, если у него есть бэкапы.
tooZ
0
tooZ, 25 Июня 2016 , url
если у него есть бэкапы
вы наверное не догадываетесь, но месяц назад сделанный бекап — это не самое лучшее, что может оказаться у буха
Flinky
0
Flinky, 25 Июня 2016 , url
Мне не о чем разговаривать с тем, кто работал в своей жизни максимум с ООО-шками численностью персонала до десяти человек.
tooZ
0
tooZ, 25 Июня 2016 , url
Можно подумать, вы с крупняка начинали. И да, не в каждом замкадье есть пара десятков холдингов.
Flinky
0
Flinky, 26 Июня 2016 , url
Именно с крупняка и начинал. Поработать успел и с конторами в 8к человек, и в 5 человек. Всего вам доброго, здоровья, хорошего настроения.
5422
0
5422, 24 Июня 2016 , url
на forum330.com (миста.рф), mista.ru, infostart.ru уже обсудили, теперь и в широкие массы пошла тема
tooZ
0
tooZ, 25 Июня 2016 , url
одинэсник детектед
5422
0
5422, 25 Июня 2016 , url
не 1снег, ищу работников на этих форумах. Даже на vapaus.ru ходил и на wotmista.ru
devl547
0
devl547, 25 Июня 2016 , url
Нуралиев разрешил

источник: forbes.ru

// Ждём озвучивания предложений Касперским.
vhagen
+1
vhagen, 25 Июня 2016 , url
Тоже мне «троян». Типичный чукотский вирус.
Flinky
0
Flinky, 25 Июня 2016 , url
Спасибо, поржал.
В нормальных конторах эта хуета даже запуститься не сможет, если сможет пролезть через спамфильтр. Потому что там есть нормальные админы, и права там почиканы у бухов по самое небалуй. На крайняк — есть бэкапы. Суточные и разностные.
А ненормальным конторам, экономящим на элементарных вещах, так и надо.
tooZ
0
tooZ, 25 Июня 2016 , url
В нормальных конторах
и каков процент нормальных контор?)
Flinky
0
Flinky, 25 Июня 2016 , url
В моей трудовой практике — шесть из десяти.
all_rus
0
all_rus, 11 Июля 2016 , url
Вот еще об этом helpform.ru/139777


Войдите или станьте участником, чтобы комментировать