1. ipoloskov 64 22.06.16 15:29 Сейчас в теме

Появился вирус-шифровальщик в виде обработки 1С

Рассылается по почте, в тексте письма написано, что "У банка изменился БИК, для исправления запустите обработку 1С, приложенную к письму". Обработка рассылает себя по адресам контрагентов в базе, после чего шифрует данные на диске.
MaxDavid; +1 Ответить
Ответы
Избранное Подписка Сортировка: Древо
2. aka Любитель XML 22.06.16 15:42 Сейчас в теме
(1) ipoloskov, у нас никто кроме админов не может открывать внешние обработки, так что не совсем все так плохо... а те у кого есть такие права - сначала посмотрят в код, а потом пять раз подумают - стоит ли открывать сию поделку
3. Xershi 417 22.06.16 15:44 Сейчас в теме
(1) ipoloskov, сколько требует денег?)
4. klinik 22.06.16 15:47 Сейчас в теме
(1) ipoloskov, есть пострадавшие? )))
6. AnryMc 720 22.06.16 15:55 Сейчас в теме
(1) ipoloskov,

А это не "персональная любовь"? Больше вроде никто не сообщает...
5. v3rter 22.06.16 15:48 Сейчас в теме
Обработка или exe-шник с иконкой обработки? На http://virustotal.com прогнали? Образец антивирусным компаниям отправили?
7. ipoloskov 64 22.06.16 15:58 Сейчас в теме
(5) v3rter, обработка. Клиенты поймали
8. Xershi 417 22.06.16 16:10 Сейчас в теме
(7) ipoloskov, в конфигураторе уже поковырял?) Сча научимся сами такие вирусы писать))

Хотя там скорее всего закрытая длл и фиг че сделаешь((
9. aka Любитель XML 22.06.16 16:17 Сейчас в теме
Выложите код, если он не закрыт. Очень интересно посмотреть что там
11. asved.ru 36 22.06.16 17:28 Сейчас в теме
Тело выложите плз - любопытно, разработчик совсем ламер или не совсем.
13. Perrojka 22.06.16 17:41 Сейчас в теме
Забавные котики это не так уж и плохо.
А вообще тоже подпишусь, может кому придет такое письмо счастья. Уж очень хочется посмотреть.
14. v3rter 22.06.16 17:59 Сейчас в теме
http://1c.ru/news/info.jsp?id=21537
Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно

...

1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

"Управление торговлей, редакция 11.1"
"Управление торговлей (базовая), редакция 11.1"
"Управление торговлей, редакция 11.2"
"Управление торговлей (базовая), редакция 11.2"
"Бухгалтерия предприятия, редакция 3.0"
"Бухгалтерия предприятия (базовая), редакция 3.0"
"1С:Комплексная автоматизация 2.0"
Показать
15. asved.ru 36 22.06.16 18:08 Сейчас в теме
(14) v3rter, Вам же русским по белому написали - стандартными средствами невозможно.
16. Xershi 417 23.06.16 09:43 Сейчас в теме
(14) v3rter, обратный инжиниринг проведите. Так пожно получить практически весь код.
17. Xershi 417 23.06.16 09:53 Сейчас в теме
А там уже провели походу.
Что и требовалось доказать. Оболочка запуска 1С, а вот сам вирус это уже экзешник, скомпилированный на С скорее всего.
18. v3rter 24.06.16 13:49 Сейчас в теме
Аналогичная тема - http://forum.infostart.ru/forum26/topic153973/

Нда, теперь придется все обработки проверять на http://virustotal.com
19. Xershi 417 24.06.16 14:14 Сейчас в теме
(18) v3rter, тут только поможет эврестический анализ. Двоичные данные же будут везде совпадать!
20. v3rter 24.06.16 16:43 Сейчас в теме
(19) Xershi, хотелось бы, чтобы способы проверки были заботами антивирусных вендроров, а не головной болью админа )

Если обработки-дропперы примут массовый характер, мы таки придем либо к подписыванию внешних обработок, сначала с закрытым кодом, а затем всех, либо к некоему аналогу AppStore. Со своими блэкджеками и плюхами. В смысле - проблемами и решениями.
21. ipoloskov 64 24.06.16 17:03 Сейчас в теме
Против WSПрокси.ПолучитьДвоичныйКодВирусаИзЭтихВашихИнтернетов() никакой эвристический анализ не спасет.
Надо закрывать доступ к вызову функции "ЗапуститьПриложение" на уровне платформы. Со всеми сопутствующими прелестями в виде невозможности работать с Excel и проч.
22. Xershi 417 24.06.16 17:15 Сейчас в теме
(21) ipoloskov, а дальше, то что?
Файл попадает на пк и все пошла проверка антивирусом
23. v3rter 24.06.16 17:59 Сейчас в теме
(22) Xershi, не факт. Многие антивирусы проверяют файлы перед запуском или при открытии. DrWeb, кстати, умел проверять модули 1С 7.7 еще в далеких 2000-ных, несколько увеличивая при этом время запуска платформы и открытия регламентной отчетности. Тут же всплывает вопрос проверки сохраненных в базе обработок.
24. ipoloskov 64 24.06.16 18:08 Сейчас в теме
(23) v3rter, в данном вирусе двоичный код предварительно сохраняется в виде EXE-файла на диск. То есть Херши прав, антивирусник такое поймает в момент сохранения или запуска, если распознает. А если не распознает? Хотелось бы гарантий.

Возможно ли настроить запрет запуска приложений для пользователя USR8SVR, или как его там, под которым работает сервер 1С?
25. Xershi 417 24.06.16 19:38 Сейчас в теме
(24) ipoloskov, поставь виртуалку с антивирусом и узнаешь. Если обработка в наличии. Только сервер тут не причем вся работа интерактавная.
28. cool.vlad4 43 28.06.16 16:31 Сейчас в теме
(24) ipoloskov,
Возможно ли настроить запрет запуска приложений для пользователя USR8SVR, или как его там, под которым работает сервер 1С?
возможно. искать в интернете мануалы по group policy и контролю приложений. там вроде вообще можно сделать так, что запретить запуск любых exe , которые расположены в сомнительных директориях(типа папки Downloads, папки временных файлов программ в том числе 1С). а в нормальных директориях типа Program Files вообще должен быть ограничен доступ на запись не у админов.(запуск bat и т.п. аналогично запретить, аналогично через group policy)
насчет антивирусов есть сомнения в каком плане. они могут задетектить всякие ухищрения в данном случае по попыткам получить повышение прав (через эксплуатацию уязвимостей в ПО). а вот детектят ли они сам процесс шифрования , который запустил пользователь сам, я хз. поскольку с моей точки зрения это вполне легальная процедура в случае если пользователь пожелал этого. а как антивирус определяет. желал или не желал юзер этого , я не знаю. особенно если шифрование производится какой-нибудь нормальной программой типа gnupg, а не левым ПО, как это было в некоторых случаях у этих сраных шифровальщиков. я даже больше скажу. пользователи и раньше запускали и будут запускать куда охотнее не внешние обработки 1С, которые они действительно могут не знать как открыть ;) а банальные exe в интернете, которые будут обещать им изменить заставку, показать котиков и прочую хер-ю
26. Bukaska 127 28.06.16 15:55 Сейчас в теме
Надо всегда смотреть, откуда пришла обработка, что за адрес.Если уже не вложение к письму, а скачать да посмотреть неизвестно откуда. Уже повод задуматься - трогать ли ссылку.
27. nikolayD 5 28.06.16 16:05 Сейчас в теме
У меня мои пользователи скорее всего позвонят и спросят "а что такое внешняя обработка?".
Ну, а мне такое присылать вероятность успеха около 0, я от тех кому доверяю, проверяю вначале на тестовом серваке обработки, а чаще ещё и код просматриваю.
29. IvanSusanin 28.06.16 16:36 Сейчас в теме
Появился вирус-шифровальщик в виде обработки 1С

ну наконец-то! 1с была ущемленной в этом плане...
30. Xershi 417 28.06.16 17:03 Сейчас в теме
(29) IvanSusanin, увы нет. Код не на 1С. Так что пока не вышло. А так тема интересная. Хотя что мешает при запуске обработки запустить фоновое задание. Хотя нет, это же конфу нужно поправить. А вот запустить код асинхронно это уже идея.
У кого еще какие мысли по написанию таких штук?)
31. IvanSusanin 28.06.16 20:02 Сейчас в теме
(30) Xershi,
Код не на 1С.

можно код 1с запустить через Выполнить.

если просто навредить надо,
через метаданные обходишь регистры сведений без регистратора и чистишь по быстрому.))
ну там еще всякие справочники можно почистить, и документы, над константами поизголяться можно.
32. Xershi 417 28.06.16 20:46 Сейчас в теме
(31) IvanSusanin, так за это денег не получить) Но как баловство и происки конкурентов. Да и бэкапы есть. Эх скукота))
Оставьте свое сообщение
Новые вопросы с вознаграждением
Автор темы объявил вознаграждение за найденный ответ, его получит тот, кто первый поможет автору.

Вакансии

Программист 1С
Москва
зарплата от 80 000 руб.
Полный день

Senior 1C Developer ЛЮБОЙ ГОРОД
Москва
зарплата от 80 000 руб.
Полный день

Консультант-аналитик 1С
Москва
зарплата от 120 000 руб. до 120 000 руб.
Полный день

Удаленный ИТ-журналист
Санкт-Петербург
По совместительству

Программист 1С
Санкт-Петербург
зарплата до 120 000 руб.
По совместительству