Появился вирус-шифровальщик в виде обработки 1С

1. ipoloskov 162 22.06.16 15:29 Сейчас в теме

Рассылается по почте, в тексте письма написано, что "У банка изменился БИК, для исправления запустите обработку 1С, приложенную к письму". Обработка рассылает себя по адресам контрагентов в базе, после чего шифрует данные на диске.

По теме из базы знаний

Сервисы 1С. Часть II

Ответы

Подписаться на ответы Инфостарт бот

Свернуть все

2. aka Любитель XML 22.06.16 15:42 Сейчас в теме

(1) ipoloskov, у нас никто кроме админов не может открывать внешние обработки, так что не совсем все так плохо... а те у кого есть такие права - сначала посмотрят в код, а потом пять раз подумают - стоит ли открывать сию поделку

3. Xershi 1479 22.06.16 15:44 Сейчас в теме

(1) ipoloskov, сколько требует денег?)

4. klinik 22.06.16 15:47 Сейчас в теме

(1) ipoloskov, есть пострадавшие? )))

6. AnryMc 849 22.06.16 15:55 Сейчас в теме

(1) ipoloskov,

А это не "персональная любовь"? Больше вроде никто не сообщает...

5. v3rter 22.06.16 15:48 Сейчас в теме

Обработка или exe-шник с иконкой обработки? На http://virustotal.com прогнали? Образец антивирусным компаниям отправили?

7. ipoloskov 162 22.06.16 15:58 Сейчас в теме

(5) v3rter, обработка. Клиенты поймали

8. Xershi 1479 22.06.16 16:10 Сейчас в теме

(7) ipoloskov, в конфигураторе уже поковырял?) Сча научимся сами такие вирусы писать))

Хотя там скорее всего закрытая длл и фиг че сделаешь((

10. asved.ru 36 22.06.16 17:27 Сейчас в теме

(5) v3rter, http://1c.ru/news/info.jsp?id=21537

9. aka Любитель XML 22.06.16 16:17 Сейчас в теме

Выложите код, если он не закрыт. Очень интересно посмотреть что там

11. asved.ru 36 22.06.16 17:28 Сейчас в теме

Тело выложите плз - любопытно, разработчик совсем ламер или не совсем.

12. ipoloskov 162 22.06.16 17:30 Сейчас в теме

http://1c.ru/news/info.jsp?id=21537

13. Perrojka 22.06.16 17:41 Сейчас в теме

Забавные котики это не так уж и плохо.
А вообще тоже подпишусь, может кому придет такое письмо счастья. Уж очень хочется посмотреть.

14. v3rter 22.06.16 17:59 Сейчас в теме

http://1c.ru/news/info.jsp?id=21537

Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно

...

1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

"Управление торговлей, редакция 11.1"
"Управление торговлей (базовая), редакция 11.1"
"Управление торговлей, редакция 11.2"
"Управление торговлей (базовая), редакция 11.2"
"Бухгалтерия предприятия, редакция 3.0"
"Бухгалтерия предприятия (базовая), редакция 3.0"
"1С:Комплексная автоматизация 2.0"

Показать

15. asved.ru 36 22.06.16 18:08 Сейчас в теме

(14) v3rter, Вам же русским по белому написали - стандартными средствами невозможно.

16. Xershi 1479 23.06.16 09:43 Сейчас в теме

(14) v3rter, обратный инжиниринг проведите. Так пожно получить практически весь код.

17. Xershi 1479 23.06.16 09:53 Сейчас в теме

А там уже провели походу.
Что и требовалось доказать. Оболочка запуска 1С, а вот сам вирус это уже экзешник, скомпилированный на С скорее всего.

18. v3rter 24.06.16 13:49 Сейчас в теме

Аналогичная тема - http://forum.infostart.ru/forum26/topic153973/

Нда, теперь придется все обработки проверять на http://virustotal.com

19. Xershi 1479 24.06.16 14:14 Сейчас в теме

(18) v3rter, тут только поможет эврестический анализ. Двоичные данные же будут везде совпадать!

20. v3rter 24.06.16 16:43 Сейчас в теме

(19) Xershi, хотелось бы, чтобы способы проверки были заботами антивирусных вендроров, а не головной болью админа )

Если обработки-дропперы примут массовый характер, мы таки придем либо к подписыванию внешних обработок, сначала с закрытым кодом, а затем всех, либо к некоему аналогу AppStore. Со своими блэкджеками и плюхами. В смысле - проблемами и решениями.

21. ipoloskov 162 24.06.16 17:03 Сейчас в теме

Против WSПрокси.ПолучитьДвоичныйКодВирусаИзЭтихВашихИнтернетов() никакой эвристический анализ не спасет.
Надо закрывать доступ к вызову функции "ЗапуститьПриложение" на уровне платформы. Со всеми сопутствующими прелестями в виде невозможности работать с Excel и проч.

22. Xershi 1479 24.06.16 17:15 Сейчас в теме

(21) ipoloskov, а дальше, то что?
Файл попадает на пк и все пошла проверка антивирусом

23. v3rter 24.06.16 17:59 Сейчас в теме

(22) Xershi, не факт. Многие антивирусы проверяют файлы перед запуском или при открытии. DrWeb, кстати, умел проверять модули 1С 7.7 еще в далеких 2000-ных, несколько увеличивая при этом время запуска платформы и открытия регламентной отчетности. Тут же всплывает вопрос проверки сохраненных в базе обработок.

24. ipoloskov 162 24.06.16 18:08 Сейчас в теме

(23) v3rter, в данном вирусе двоичный код предварительно сохраняется в виде EXE-файла на диск. То есть Херши прав, антивирусник такое поймает в момент сохранения или запуска, если распознает. А если не распознает? Хотелось бы гарантий.

Возможно ли настроить запрет запуска приложений для пользователя USR8SVR, или как его там, под которым работает сервер 1С?

25. Xershi 1479 24.06.16 19:38 Сейчас в теме

(24) ipoloskov, поставь виртуалку с антивирусом и узнаешь. Если обработка в наличии. Только сервер тут не причем вся работа интерактавная.

28. cool.vlad4 2 28.06.16 16:31 Сейчас в теме

(24) ipoloskov,

Возможно ли настроить запрет запуска приложений для пользователя USR8SVR, или как его там, под которым работает сервер 1С?

возможно. искать в интернете мануалы по group policy и контролю приложений. там вроде вообще можно сделать так, что запретить запуск любых exe , которые расположены в сомнительных директориях(типа папки Downloads, папки временных файлов программ в том числе 1С). а в нормальных директориях типа Program Files вообще должен быть ограничен доступ на запись не у админов.(запуск bat и т.п. аналогично запретить, аналогично через group policy)
насчет антивирусов есть сомнения в каком плане. они могут задетектить всякие ухищрения в данном случае по попыткам получить повышение прав (через эксплуатацию уязвимостей в ПО). а вот детектят ли они сам процесс шифрования , который запустил пользователь сам, я хз. поскольку с моей точки зрения это вполне легальная процедура в случае если пользователь пожелал этого. а как антивирус определяет. желал или не желал юзер этого , я не знаю. особенно если шифрование производится какой-нибудь нормальной программой типа gnupg, а не левым ПО, как это было в некоторых случаях у этих сраных шифровальщиков. я даже больше скажу. пользователи и раньше запускали и будут запускать куда охотнее не внешние обработки 1С, которые они действительно могут не знать как открыть ;) а банальные exe в интернете, которые будут обещать им изменить заставку, показать котиков и прочую хер-ю

26. Bukaska 140 28.06.16 15:55 Сейчас в теме

Надо всегда смотреть, откуда пришла обработка, что за адрес.Если уже не вложение к письму, а скачать да посмотреть неизвестно откуда. Уже повод задуматься - трогать ли ссылку.

27. nikolayD 5 28.06.16 16:05 Сейчас в теме

У меня мои пользователи скорее всего позвонят и спросят "а что такое внешняя обработка?".
Ну, а мне такое присылать вероятность успеха около 0, я от тех кому доверяю, проверяю вначале на тестовом серваке обработки, а чаще ещё и код просматриваю.

29. IvanSusanin 28.06.16 16:36 Сейчас в теме

Появился вирус-шифровальщик в виде обработки 1С

ну наконец-то! 1с была ущемленной в этом плане...

30. Xershi 1479 28.06.16 17:03 Сейчас в теме

(29) IvanSusanin, увы нет. Код не на 1С. Так что пока не вышло. А так тема интересная. Хотя что мешает при запуске обработки запустить фоновое задание. Хотя нет, это же конфу нужно поправить. А вот запустить код асинхронно это уже идея.
У кого еще какие мысли по написанию таких штук?)

31. IvanSusanin 28.06.16 20:02 Сейчас в теме

(30) Xershi,

Код не на 1С.

можно код 1с запустить через Выполнить.

если просто навредить надо,
через метаданные обходишь регистры сведений без регистратора и чистишь по быстрому.))
ну там еще всякие справочники можно почистить, и документы, над константами поизголяться можно.

32. Xershi 1479 28.06.16 20:46 Сейчас в теме

(31) IvanSusanin, так за это денег не получить) Но как баловство и происки конкурентов. Да и бэкапы есть. Эх скукота))

Внимание! Тема сдана в архив