Вирусы в 1С:Підприємство 8 :) !!! Внимание: не запускайте внешние обработки 1С:Підприємство 8, присланные по e-mail!

На пользователей "1С:Підприємство 8" нападают вирусы! Наконец-то, и программа 1С:Підприємство 8 удостоена чести и внимания разработчиков вирусов. Или у 1С:Підприємство 8 новый PR-щик? Вообщем, DR.Web и 1С:Підприємство 8 публикуют новости о тесном сотрудничестве: привлечении и обезвреживании вируса шифровальщика-вымогателя. А если серьезно, то...

Содержание:

Внимание! Опасный вирус-шифровальщик распространяется через электронные письма с темой "У нас сменился БИК банка" среди пользователей 1С:Підприємство. Не запускайте внешние обработки, присланные по электронной почте!

Вниманию пользователей и партнеров!Просим срочно распространить информацию по всем доступным каналам.

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Підприємство – троянец, запускающий шифровальщика-вымогателя.

Далее приводим подробное сообщение компании "Доктор Веб", но сначала просим всех пользователей 1С:Підприємство не открывать электронные письма с темой "У нас сменился БИК банка" и не запускать в программах 1С:Підприємство внешние обработки, полученные по электронной почте. Даже если письмо с внешней обработкой пришло к вам от обслуживающей вас компании или другого хорошо вам знакомого контрагента – сначала свяжитесь с ним, проверьте, что он действительно направлял вам такую обработку, выясните, какие функции она выполняет до того, как ее запустить.

---

"Доктор Веб" сообщает о первом троянце для 1С:Підприємство, запускающем шифровальщика-вымогателя: 1C.Drop.1

22 июня 2016 года

Троянец 1C.Drop.1, исследованный специалистами компании "Доктор Веб", самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С:Підприємство и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании "Доктор Веб" троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С:Підприємство, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С:Підприємство, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам "Доктор Веб" еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.

Троянец распространяется в виде вложения в сообщения электронной почты с темой "У нас сменился БИК банка" и следующим текстом:

К письму прикреплен файл внешней обработки для программы "1С:Підприємство" с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе "1С:Підприємство", на экране отобразится диалоговое окно:

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы "1С:Підприємство" появится форма с изображением забавных котиков:

В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С:Підприємство, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа "1С:Підприємство" уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:Підприємство:

• "Управління торгівлею , редакция 11.1"
• "Управління торгівлею  (базова), редакция 11.1"
• "Управління торгівлею , редакция 11.2"
• "Управління торгівлею (базова), редакция 11.2"
• "Бухгалтерія підприємства, редакция 3.0"
• "Бухгалтерія підприємства (базова), редакция 3.0" "Комплексная автоматизация 2.0"

После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании "Доктор Веб" не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении "1С:Підприємство", даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.

---

Trojan.Encoder.567

Добавлен в вирусную базу Dr.Web: 2014-04-25

Описание добавлено: 2014-05-05

Техническая информация

Для обеспечения автозапуска и распространения: Модифицирует следующие ключи реестра:

• [\Software\Microsoft\Windows\CurrentVersion\Run] '87b5d34' = '%APPDATA%\87b5d34.exe'
• [\Software\Microsoft\Windows\CurrentVersion\Run] '87b5d3' = 'C:\87b5d34\87b5d34.exe'

Создает или изменяет следующие файлы: * %HOMEPATH%\Start Menu\Programs\Startup\87b5d34.exe

Вредоносные функции: Для затруднения выявления своего присутствия в системе блокирует:

• Компонент восстановления системы (SR)

Запускает на исполнение:

• '\vssadmin.exe' Delete Shadows /All /Quiet
• '\svchost.exe' netsvcs
• '%WINDIR%\explorer.exe'

Внедряет код в следующие системные процессы:

• \svchost.exe

Изменения в файловой системе: Создает следующие файлы:

• %APPDATA%\87b5d34.exe
• C:\87b5d34\87b5d34.exe

Сетевая активность:

Подключается к: * 'se###abboy.com':80

UDP:
* DNS ASK se###abboy.com

Другое: Ищет следующие окна:

• ClassName: 'Indicator' WindowName: '(null)'

---

Рекомендации по лечению вируса 1C.Drop.1

---

Рекомендации по лечению троянского 1С:Підприємство вируса для Windows

1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
3. Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь сервисом разблокировки компьютера. Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.

---

Рекомендации по лечению 1С:Підприємство вируса троянца для OS X

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для OS X. Данный продукт можно загрузить с официального сайта Apple App Store.

---

Рекомендации по лечению 1С:Підприємство от вируса троянца для Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

---

Рекомендации по лечению 1С:Підприємство от вируса троянца для Android

1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.

2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:

3. загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);

4. после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
5. выключите устройство и включите его в обычном режиме.

• 
• Контент-маркетолог TQM systems Nataliya Raevskaya
• 6/1/2020 10:11:08 PM
• Украина, news