1C.Drop.1: «Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя

1. amaksimov 22.06.16 20:02 Сейчас в теме
«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя
22 июня 2016 года

Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.

screen 1C.Drop.1 #drweb

Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:

Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.
К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно:

screen 1C.Drop.1 #drweb

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков:

screen 1C.Drop.1 #drweb

В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

"Управление торговлей, редакция 11.1"
"Управление торговлей (базовая), редакция 11.1"
"Управление торговлей, редакция 11.2"
"Управление торговлей (базовая), редакция 11.2"
"Бухгалтерия предприятия, редакция 3.0"
"Бухгалтерия предприятия (базовая), редакция 3.0"
"1С:Комплексная автоматизация 2.0"
После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.

Подробнее о троянце
Ответы
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
6. cool.vlad4 45 22.06.16 21:57 Сейчас в теме
(1) crabzzy,
однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть
господи, даже отправку не осилили.
(5) CaptainMorgan, согласен. но с другой стороны не долюбливал никогда ЗапуститьПриложение, поскольку многие коллеги абсолютно не проверяют что туда передают в качестве аргумента. вон, где-то в соседней ветке обсуждалось как открыть сайт, использовали ЗапуститьПриложение без какой-либо проверки url передается или не url. с другой стороны это не дело 1С, но имхо должно быть тогда оповещение, типа - вы точно хотите запустить такую фиговину?.
MrsMastersan; +1 Ответить
10. AnryMc 789 23.06.16 09:42 Сейчас в теме
3. CaptainMorgan 22.06.16 20:52 Сейчас в теме
Так то забавная штука.
Я про
троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу


Если у кого есть эта программа киньте здесь - было бы интересно изучить данный шедевр.
Наверняка код скрыт и автор неизвестен. Ну Что же - придется потрудиться.
4. Cooler 22 22.06.16 21:19 Сейчас в теме
(3) CaptainMorgan,
Ну Что же - придется потрудиться.
Да невелик труд - почитать приведенные ссылки.
Там русским по белому написано:
Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно.

Ну, а тех, кто владеет "нестандартными" средствами, ждет большое разочарование, скриншот части кода приведен:

И над чем тут "трудиться"? Ведь очевидно, что само шифрование делается не средствами 1С, а исполняемым приложением, код которого хранится в обработке и при ее запуске сохраняется в обычный EXE-файл.

А использование 1С - всего лишь способ распространения кодировщика.
5. CaptainMorgan 22.06.16 21:31 Сейчас в теме
То есть громкие слова "«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя"
Это всего лишь маркетинговый ход. Только чей ход не понятно.
Вирусы-шифровальщики существуют достаточно давно, просто какой-то затейник узнал, то что программу можно запустить из 1С.

Так теперь Доктор-Веб будет орать на любой файл EPF в котором есть последовательность символов
ЗапуститьПриложение

Ну-ну.
Теперь будет как АдобРидером - Ваша безопасность под угрозой - срочно купите Доктор-Веб!
7. makfromkz 14 23.06.16 06:52 Сейчас в теме
Вообще: автоматизация типо скриптов предполагает появление дыр в безопасности, с другой стороны какая же автоматизация без скриптов.
Вот она единство и борьба противоположностей. Т.е. делать зло в виде вирусов, троянов и т.д. таки легче чем написать полезную прогу.
Наверное единственное спасение от шифровальщиков - это архивация всего и вся в недоступное для вирусов место на компе или в локальной сети.
8. makfromkz 14 23.06.16 06:57 Сейчас в теме
Я в DOS времена писал прогу на Си которая увидев измененный command.com тут же восстанавливала его из архива, наверное аналогично можно ввести что-то наподобие ДатыЗапретаРедактирования для ОС и не давать изменять\удалять файлы старее этой даты, а также в папках ввести разрешенные расширения имен файлов, остальные запретить, например папка DOC только для вордовских .doc и .docx и т.д.
9. vovan_victory 63 23.06.16 08:38 Сейчас в теме
А может просто запретить пользователям интерактивно запускать внешние обработки? Это разве не решение? Да и навряд ли Др.Вэб будет анализировать просто расширение или ключевое "ЗапуститьПриложение". Наверно, все таки, есть какой то другой принцип определения вирус это или нет..
11. CaptainMorgan 23.06.16 17:01 Сейчас в теме
(9)
Наверно, все таки, есть какой то другой принцип определения вирус это или нет

Самое интересное, вирус это или добропорядочная программа не возможно понять пока не будет выявлено злотворное действие.
Вот вопрос, если программист нечаянно допустил ошибку в алгоритме в результате которой какие-то данные уничтожились - это вирус?
А если тоже самое, но преднамеренно?

А вот на счёт этого:
Просим обновить свой классификатор банков. 
Это можно сделать в автоматическом режиме


Это как же работа на фирме должна быть построена, чтобы любой бухгалтер прочитав письмо не понятно от кого и без согласования с IT-специалистом начинал обновление классификаторов.

По мне, так этот "1C.Drop.1" - санитар нашего леса.
12. vovan_victory 63 24.06.16 08:12 Сейчас в теме
CaptainMorgan, а что тут странного? Больше половины юзеровв не знаю(ни плохо , ни хорошо.. ни как) инструмент с которым работают. Их научили делать какую то последовательность действий, они и делают, а то, что обновление классификаторов банков - это типовой функционал, они даже об этом и не подозревают. Конечно, на счет "санитар нашего леса" , согласиться можно бы, если бы ни одно НО!. Последствия то деятельности "санитаров" кому потом устранять придется?? Ну конечно же нам(программерам, админам).
P/S
Ну это все так... лирика.. Просто пару месяцев назад подхватывали эту мерзость. Которую , к стати , я потом обнаружил в загрузках в профиле пользователя и единственный кто ну хотя бы попытался помочь - это «Доктор Веб»(не реклама,а ИМХО)
14. CaptainMorgan 24.06.16 11:40 Сейчас в теме
(12) AnryMc Очень интересно:
"единственный кто ну хотя бы попытался помочь - это «Доктор Веб»"

Если можно поподробнее.
Похоже ключевое слово "попытался". Результат положительный был?

Пользователь нынче пошёл, где надо шибко грамотный, а чуть что "мы народ тёмный не ругайте сильно". Поэтому Мне кажется, что резервное копирование всё и вся - это единственная панацея от нежелательных инцидентов.
13. AnryMc 789 24.06.16 09:40 Сейчас в теме
Тема поднятая ранее http://forum.infostart.ru/forum1/topic153960/message1577225/#message1577225 (22.06.16 15:29) заглохла...

А эта - жива...

Наверно потому что там "OFF » Life" а эта "1C:Предприятие 8 » Программирование 1С 8.2", хотя причем программирование к вирусу?

ЗЫ Да и $m - в той не дают...
15. vovan_victory 63 24.06.16 11:57 Сейчас в теме
CaptainMorgan, я направил письмо с просьбой о помощи им(др. вэбу) и карсперычу(на тот момент, у меня была еще активная лицензия касперского). Др.вэб попросили для анализа пару зашифрованных вордовых файлов и если есть сам шифровальщик. Но, админы все потерли(хотя и просил их не торопиться). По этому, отправить было нечего и обращение пришлось закрыть. Это я и назвал "попытались". А от касперыча до сих пор ни ответа, ни привета хотя на протяжении 8 лет исправно, каждый год, покупал ключи продления.
А по базам... нашли не очень старую локальную копию и ее актуализировали.

Поэтому Мне кажется, что резервное копирование всё и вся - это единственная панацея от нежелательных инцидентов


++100500.. В общем то копий было всего и много, но "супер админы" HDD для копий подключили вторым диском. Финал, я думаю, понятен. Ключевой момент в резервном копировании - это не складывать все яйца в одну корзину. Этот принцип был нарушен, за что и поплатились.
16. v3rter 24.06.16 14:40 Сейчас в теме
"Супер одмины" ещё и могут не знать, что внешний носитель в сервере может влиять на производительность. Диск "для архивов" в сервере - это нормально, ненормально, когда он единственный и нет аварийных копий, защищенных от физического и юридического форс-мажора.

По ходу, теперь придется все обработки проверять или на http://virustotal.com или на https://vms.drweb.ru/online/ , пока не подтянутся остальные антивирусы
Оставьте свое сообщение
Вопросы с вознаграждением