Появился вирус-шифровальщик в виде обработки 1С

1. Игорь Полосков (ipoloskov) 44 22.06.16 15:29 Сейчас в теме
Рассылается по почте, в тексте письма написано, что "У банка изменился БИК, для исправления запустите обработку 1С, приложенную к письму". Обработка рассылает себя по адресам контрагентов в базе, после чего шифрует данные на диске.
Ответы
2. Анатолий (aka Любитель XML) 22.06.16 15:42 Сейчас в теме
(1) ipoloskov, у нас никто кроме админов не может открывать внешние обработки, так что не совсем все так плохо... а те у кого есть такие права - сначала посмотрят в код, а потом пять раз подумают - стоит ли открывать сию поделку
3. Xer shi (Xershi) 267 22.06.16 15:44 Сейчас в теме
(1) ipoloskov, сколько требует денег?)
4. Николай (klinik) 22.06.16 15:47 Сейчас в теме
(1) ipoloskov, есть пострадавшие? )))
5. Роберт В е р т и н с к и й (v3rter) 22.06.16 15:48 Сейчас в теме
Обработка или exe-шник с иконкой обработки? На http://virustotal.com прогнали? Образец антивирусным компаниям отправили?
6. anry mc (AnryMc) 713 22.06.16 15:55 Сейчас в теме
(1) ipoloskov,

А это не "персональная любовь"? Больше вроде никто не сообщает...
7. Игорь Полосков (ipoloskov) 44 22.06.16 15:58 Сейчас в теме
(5) v3rter, обработка. Клиенты поймали
8. Xer shi (Xershi) 267 22.06.16 16:10 Сейчас в теме
(7) ipoloskov, в конфигураторе уже поковырял?) Сча научимся сами такие вирусы писать))

Хотя там скорее всего закрытая длл и фиг че сделаешь((
9. Анатолий (aka Любитель XML) 22.06.16 16:17 Сейчас в теме
Выложите код, если он не закрыт. Очень интересно посмотреть что там
10. Антон Стеклов (asved.ru) 33 22.06.16 17:27 Сейчас в теме
11. Антон Стеклов (asved.ru) 33 22.06.16 17:28 Сейчас в теме
Тело выложите плз - любопытно, разработчик совсем ламер или не совсем.
12. Игорь Полосков (ipoloskov) 44 22.06.16 17:30 Сейчас в теме
13. Николай Каверин (Perrojka) 22.06.16 17:41 Сейчас в теме
Забавные котики это не так уж и плохо.
А вообще тоже подпишусь, может кому придет такое письмо счастья. Уж очень хочется посмотреть.
14. Роберт В е р т и н с к и й (v3rter) 22.06.16 17:59 Сейчас в теме
http://1c.ru/news/info.jsp?id=21537
Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно

...

1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

"Управление торговлей, редакция 11.1"
"Управление торговлей (базовая), редакция 11.1"
"Управление торговлей, редакция 11.2"
"Управление торговлей (базовая), редакция 11.2"
"Бухгалтерия предприятия, редакция 3.0"
"Бухгалтерия предприятия (базовая), редакция 3.0"
"1С:Комплексная автоматизация 2.0"
15. Антон Стеклов (asved.ru) 33 22.06.16 18:08 Сейчас в теме
(14) v3rter, Вам же русским по белому написали - стандартными средствами невозможно.
16. Xer shi (Xershi) 267 23.06.16 09:43 Сейчас в теме
(14) v3rter, обратный инжиниринг проведите. Так пожно получить практически весь код.
17. Xer shi (Xershi) 267 23.06.16 09:53 Сейчас в теме
А там уже провели походу.
Что и требовалось доказать. Оболочка запуска 1С, а вот сам вирус это уже экзешник, скомпилированный на С скорее всего.
18. Роберт В е р т и н с к и й (v3rter) 24.06.16 13:49 Сейчас в теме
Аналогичная тема - http://forum.infostart.ru/forum26/topic153973/

Нда, теперь придется все обработки проверять на http://virustotal.com
19. Xer shi (Xershi) 267 24.06.16 14:14 Сейчас в теме
(18) v3rter, тут только поможет эврестический анализ. Двоичные данные же будут везде совпадать!
20. Роберт В е р т и н с к и й (v3rter) 24.06.16 16:43 Сейчас в теме
(19) Xershi, хотелось бы, чтобы способы проверки были заботами антивирусных вендроров, а не головной болью админа )

Если обработки-дропперы примут массовый характер, мы таки придем либо к подписыванию внешних обработок, сначала с закрытым кодом, а затем всех, либо к некоему аналогу AppStore. Со своими блэкджеками и плюхами. В смысле - проблемами и решениями.
21. Игорь Полосков (ipoloskov) 44 24.06.16 17:03 Сейчас в теме
Против WSПрокси.ПолучитьДвоичныйКодВирусаИзЭтихВашихИнтернетов() никакой эвристический анализ не спасет.
Надо закрывать доступ к вызову функции "ЗапуститьПриложение" на уровне платформы. Со всеми сопутствующими прелестями в виде невозможности работать с Excel и проч.
22. Xer shi (Xershi) 267 24.06.16 17:15 Сейчас в теме
(21) ipoloskov, а дальше, то что?
Файл попадает на пк и все пошла проверка антивирусом
23. Роберт В е р т и н с к и й (v3rter) 24.06.16 17:59 Сейчас в теме
(22) Xershi, не факт. Многие антивирусы проверяют файлы перед запуском или при открытии. DrWeb, кстати, умел проверять модули 1С 7.7 еще в далеких 2000-ных, несколько увеличивая при этом время запуска платформы и открытия регламентной отчетности. Тут же всплывает вопрос проверки сохраненных в базе обработок.
24. Игорь Полосков (ipoloskov) 44 24.06.16 18:08 Сейчас в теме
(23) v3rter, в данном вирусе двоичный код предварительно сохраняется в виде EXE-файла на диск. То есть Херши прав, антивирусник такое поймает в момент сохранения или запуска, если распознает. А если не распознает? Хотелось бы гарантий.

Возможно ли настроить запрет запуска приложений для пользователя USR8SVR, или как его там, под которым работает сервер 1С?
25. Xer shi (Xershi) 267 24.06.16 19:38 Сейчас в теме
(24) ipoloskov, поставь виртуалку с антивирусом и узнаешь. Если обработка в наличии. Только сервер тут не причем вся работа интерактавная.
26. Елена Пименова (Bukaska) 122 28.06.16 15:55 Сейчас в теме
Надо всегда смотреть, откуда пришла обработка, что за адрес.Если уже не вложение к письму, а скачать да посмотреть неизвестно откуда. Уже повод задуматься - трогать ли ссылку.
27. Nikolay D (nikolayD) 7 28.06.16 16:05 Сейчас в теме
У меня мои пользователи скорее всего позвонят и спросят "а что такое внешняя обработка?".
Ну, а мне такое присылать вероятность успеха около 0, я от тех кому доверяю, проверяю вначале на тестовом серваке обработки, а чаще ещё и код просматриваю.
28. Ийон Тихий (cool.vlad4) 41 28.06.16 16:31 Сейчас в теме
(24) ipoloskov,
Возможно ли настроить запрет запуска приложений для пользователя USR8SVR, или как его там, под которым работает сервер 1С?
возможно. искать в интернете мануалы по group policy и контролю приложений. там вроде вообще можно сделать так, что запретить запуск любых exe , которые расположены в сомнительных директориях(типа папки Downloads, папки временных файлов программ в том числе 1С). а в нормальных директориях типа Program Files вообще должен быть ограничен доступ на запись не у админов.(запуск bat и т.п. аналогично запретить, аналогично через group policy)
насчет антивирусов есть сомнения в каком плане. они могут задетектить всякие ухищрения в данном случае по попыткам получить повышение прав (через эксплуатацию уязвимостей в ПО). а вот детектят ли они сам процесс шифрования , который запустил пользователь сам, я хз. поскольку с моей точки зрения это вполне легальная процедура в случае если пользователь пожелал этого. а как антивирус определяет. желал или не желал юзер этого , я не знаю. особенно если шифрование производится какой-нибудь нормальной программой типа gnupg, а не левым ПО, как это было в некоторых случаях у этих сраных шифровальщиков. я даже больше скажу. пользователи и раньше запускали и будут запускать куда охотнее не внешние обработки 1С, которые они действительно могут не знать как открыть ;) а банальные exe в интернете, которые будут обещать им изменить заставку, показать котиков и прочую хер-ю
29. Иван Сусанин (IvanSusanin) 28.06.16 16:36 Сейчас в теме
Появился вирус-шифровальщик в виде обработки 1С

ну наконец-то! 1с была ущемленной в этом плане...
30. Xer shi (Xershi) 267 28.06.16 17:03 Сейчас в теме
(29) IvanSusanin, увы нет. Код не на 1С. Так что пока не вышло. А так тема интересная. Хотя что мешает при запуске обработки запустить фоновое задание. Хотя нет, это же конфу нужно поправить. А вот запустить код асинхронно это уже идея.
У кого еще какие мысли по написанию таких штук?)
31. Иван Сусанин (IvanSusanin) 28.06.16 20:02 Сейчас в теме
(30) Xershi,
Код не на 1С.

можно код 1с запустить через Выполнить.

если просто навредить надо,
через метаданные обходишь регистры сведений без регистратора и чистишь по быстрому.))
ну там еще всякие справочники можно почистить, и документы, над константами поизголяться можно.
32. Xer shi (Xershi) 267 28.06.16 20:46 Сейчас в теме
(31) IvanSusanin, так за это денег не получить) Но как баловство и происки конкурентов. Да и бэкапы есть. Эх скукота))
Оставьте свое сообщение