Віруси в 1С:Підприємство 8:)!!! Увага: не запускайте зовнішні обробки 1С:Підприємство 8, надіслані по e-mail!

На користувачів "1С:Підприємство 8" нападають віруси! Нарешті, і програма 1С:Підприємство 8 удостоєна честі і уваги розробників вірусів. Або у 1С:Підприємство 8 новий PR-щик? Взагалі, DR.Web і 1С:Підприємство 8 публікують новини про тісну співпрацю: залучення та знешкодження вірусу шифрувальника-вимагача. А якщо серйозно, то...

зміст:

Увага! Небезпечний вірус-шифрувальник поширюється через електронні листи з темою "У нас змінився БІК банку" серед користувачів 1С:Підприємство. Не запускайте зовнішні обробки, надіслані електронною поштою!

Увазі користувачів і партнерів! Просимо терміново поширити інформацію по всіх доступних каналах.

Антивірусна компанія "Доктор Веб" повідомила 22 червня 2016 р. про те, що виявлено небезпечний вірус для 1С:Підприємство – троянець, що запускає шифрувальника-вимагача.

Далі наводимо докладне повідомлення компанії "Доктор Веб", але спочатку просимо усіх користувачів 1С:Підприємство не відкривати електронні листи з темою "У нас змінився БІК банку" і не запускати в програмах 1С:Підприємство зовнішні обробки, отримані по електронній пошті. Навіть якщо лист із зовнішньою обробкою прийшов до вас від обслуговуючої компанії, що вас або іншого добре знайомого вам контрагента – спочатку зв'яжіться з ним, перевірте, що він дійсно направляв вам таку обробку, з'ясуйте, які функції вона виконує до того, як її запустити.

---

"Доктор Веб" повідомляє про перший троян для 1С:Підприємство, що запускає шифровальщика-вимагача: 1C.Drop.1

22 червня 2016 року

Троянець 1C.Drop.1, досліджений фахівцями компанії "Доктор Веб", самостійно поширюється електронною поштою серед зареєстрованих в базі контрагентів, заражає комп'ютери з встановленими бухгалтерськими програмами 1С:Підприємство і запускає на них небезпечного троянця-шифровальщика. Шкідливі програми, при створенні яких вірусописувачі використовували будь-яку нову технологію або рідкісну мову програмування, з'являються нечасто, і це – той самий випадок.

Можна сміливо сказати, що 1C.Drop.1 — це перший потрапив до вірусної лабораторії компанії "Доктор Веб" троянець, фактично написаний російською мовою, вірніше, на вбудованій мові програмування 1С:Підприємство, що використовує для запису команд кирилицю. При цьому шкідливі файли для 1С:Підприємство, які могли модифікувати або заражати інші файли зовнішньої обробки, відомі вірусним аналітикам "Доктор Веб" ще з 2005 року, проте повноцінний троянець-дроппер, що приховує в собі небезпечного шифровальщика, зустрівся їм вперше.

Троянець поширюється у вигляді вкладення в повідомлення електронної пошти з темою "У нас змінився БІК банку" і наступним текстом:

До листа прикріплено файл зовнішньої обробки для програми "1С:Підприємство" з ім'ям ПеревіркаАктуальностіКласифікаторубанків.epf. Тіло цього модуля захищено паролем, тому переглянути його вихідний код стандартними засобами неможливо. Якщо одержувач такого листа буде слідкувати запропонованим інструкціям і відкриє цей файл у програмі "1С:Підприємство", на екрані відобразиться діалогове вікно:

Яку б кнопку Не натиснув Користувач, 1C.Drop.1 буде запущений на виконання, і у вікні програми "1С:Підприємство" з'явиться форма із зображенням кумедних котиків:

В цей же самий час троянець починає свою шкідливу діяльність на комп'ютері. В першу чергу він шукає в базі контрагентів, для яких заповнені поля з адресою електронної пошти, і відправляє за цими адресами лист з власною копією. Текст повідомлення ідентичний наведеному вище. Замість адреси відправника троянець використовує e-mail, вказаний в обліковому записі користувача, а якщо такий відсутній, замість нього підставляється адреса 1cport@mail.ru. Як вкладення троянець прикріплює до листа файл зовнішньої обробки з ім'ям Обновітьбікбанка.epf, що містить його копію. Користувачі, які спробували відкрити такий файл в додатку 1С:Підприємство, також постраждають від шифрувальника, що запустився на їх комп'ютері, проте ця копія 1C.Drop.1 розішле за адресами контрагентів пошкоджений EPF-файл, який програма "1С:Підприємство" вже не зможе відкрити. 1C.Drop.1 підтримує роботу з базами наступних конфігурацій 1С:Підприємство:

• "Управління торгівлею , редакція 11.1"
• "Управління торгівлею  (базова), редакція 11.1"
• "Управління торгівлею , редакція 11.2"
• "Управління торгівлею  (базова), редакція 11.2"
• "Бухгалтерія підприємства, редакція 3.0"
• "Бухгалтерія підприємства (базова), редакція 3.0" "Комплексна автоматизація 2.0"

Після завершення розсилки 1C.Drop.1 витягує зі своїх ресурсів, зберігає на диск і запускає троянця-шифровальщика Trojan.Encoder.567. Цей небезпечний енкодер, що має кілька модифікацій, шифрує файли, які зберігаються на дисках зараженого комп'ютера і вимагає викуп за їх розшифровку. На жаль, в даний час фахівці компанії "Доктор Веб" не володіють інструментарієм для розшифровки файлів, пошкоджених цією версією Trojan.Encoder.567, тому користувачам слід виявляти особливу пильність і не відкривати отримані електронною поштою файли в програмі "1С:Підприємство", навіть якщо в якості адреси відправника значиться адреса одного з відомих одержувачів контрагентів.

---

Trojan.Encoder.567

Додано до вірусної бази Dr.Web: 2014-04-25

Опис додано: 2014-05-05

Технічна інформація

Для забезпечення автозапуску та розповсюдження: Модифікує наступні ключі реєстру:

• [\Software\Microsoft\Windows\CurrentVersion\Run] '87b5d34' = '%APPDATA%\87b5d34.exe'
• [\Software\Microsoft\Windows\CurrentVersion\Run] '87b5d3' = 'C:\87b5d34\87b5d34.exe'

Створює або змінює наступні файли: * %HOMEPATH%\Start Menu\Programs\Startup\87b5d34.exe

Шкідливі функції: Для утруднення виявлення своєї присутності в системі блокує:

• Компонент відновлення системи (SR)

Запускає на виконання:

• '\vssadmin.exe' Delete Shadows /All /Quiet
• '\svchost.exe' netsvcs
• '%WINDIR%\explorer.exe'

Впроваджує код у наступні системні процеси:

• \svchost.exe

Зміни у файловій системі: Створює наступні файли:

• %APPDATA%\87b5d34.exe
• C:\87b5d34\87b5d34.exe

Мережева активність:

Підключається до: * 'se###abboy.com':80

UDP:
* DNS ASK se###abboy.com

Інше: Шукає наступні вікна:

• ClassName: 'Indicator' WindowName: '(null)'

---

Рекомендації щодо лікування вірусу 1C.Drop.1

---

Рекомендації з лікування троянського 1С:Підприємство вірусу для Windows

1. У разі якщо операційна система здатна завантажиться (в штатному режимі або режимі захисту від збоїв), скачайте утиліту ДWeb CureIt!, яка лікує і виконайте з її допомогою повну перевірку вашого комп'ютера, а також використовуваних вами переносних носіїв інформації.
2. Якщо завантаження операційної системи неможливе, змініть налаштування BIOS вашого комп'ютера, щоб забезпечити можливість завантаження ПК з компакт-диска або USB-накопичувача. Скачайте образ аварійного диска відновлення системи Dr.Web LiveDisk або утиліту запису ДWeb LiveDisk на USB-накопичувач, підготуйте відповідний носій. Завантажив комп'ютер з використанням даного носія, виконайте повну перевірку і лікування виявлених загроз.
3. Якщо робота операційної системи заблокована шкідливою програмою сімейства Trojan.Winlock, скористайтеся сервісом розблокування комп'ютера. Якщо підібрати код розблокування не вдалося, дійте згідно з інструкцією, представленою в п. 2.

---

Рекомендації з лікування 1С:Підприємство вірусу троянця для OS X

Виконайте повну перевірку системи з використанням Антивіруса Dr.Web Light для OS X. даний продукт можна завантажити з офіційного сайту Apple App Store.

---

Рекомендації з лікування 1С:Підприємство від вірусу троянця для Linux

На завантаженій ОС виконайте повну перевірку всіх дискових розділів з використанням продукту Антивірус Dr.Web для Linux.

---

Рекомендації з лікування 1С:Підприємство від вірусу троянця для Android

1. Якщо мобільний пристрій функціонує в штатному режимі, завантажте і встановіть на нього безкоштовний антивірусний продукт Dr.Web для Android Light. Виконайте повну перевірку системи і використовуйте рекомендації щодо нейтралізації виявлених загроз.

2. Якщо мобільний пристрій заблоковано троянцем-вимагачем сімейства Android.Locker (на екрані відображається звинувачення в порушенні закону, вимога виплати певної грошової суми або інше повідомлення, що заважає нормальній роботі з пристроєм), виконайте наступні дії:

3. Завантажте свій смартфон або планшет в безпечному режимі (в залежності від версії операційної системи і особливостей конкретного мобільного пристрою ця процедура може бути виконана різними способами; зверніться за уточненням до інструкції, що поставляється разом з придбаним апаратом, або безпосередньо до виробника);

4. Після активації безпечного режиму встановіть на заражений пристрій безкоштовний антивірусний продукт Dr.Web для Android Light і зробіть повну перевірку системи, виконавши рекомендації щодо нейтралізації виявлених загроз;
5. Вимкніть пристрій і увімкніть його в звичайному режимі.

• 
• Контент-маркетолог TQM systems Nataliya Raevskaya
• 6/21/2020 8:12:19 AM
• uanews