Trojan.Encoder.567 – вирус шифровальщик в 1С. Распространяется в письмах «У нас сменился БИК банка»

Trojan.Encoder.567 – вирус шифровальщик в 1С распространяется через письма с темой «У нас сменился БИК банка», которые рассылаются по базе контактов справочника «Партнёров» и «Контрагентов» инфицированной системы.

О появлении этого троянца под условным названием 1C.Drop.1 антивирусная компания «Доктор Веб» объявила «22» июня 2016 года. Вирус шифрует информацию на жестких дисках инфицированного компьютера и вымогает выкуп за расшифровку. Средств расшифровки в настоящее время НЕТ. Допускаю, что алгоритм постоянно меняется. Однако антивирусы Касперского и Доктор Веб эффективно борются с самим троянцем шифровальщиком Trojan.Encoder.567 на этапе его попадания на компьютер. Т.е. при установленных антивирусных программах вирус не сможет запуститься, а соответственно и нанести вред компьютеру.

Так же информация о появлении этого вируса распространяется фирмой 1С в новостных лентах в конфигурациях 1С и в пресс релизе на сайте 1С.

Trojan.Encoder.567 – вирус шифровальщик в 1С распространяется самостоятельно через E-Mail

Этот вирус шифровальщик распространяется самостоятельно через рассылки электронных писем с темой «У нас сменился БИК банка» по базе контактной информации справочника «Партнёров» и «Контрагентов» из информационных баз 1С.

Вероятно, что в ближайшее время способ распространения может быть модифицирован, поскольку предупреждение о вирусе сейчас активно распространяется компанией 1С и сетью партнёров франчайзи среди пользователей 1С Предприятия.

Пример письма рассылки вируса с темой «У нас сменился БИК банка»

Здравствуйте!

У нас сменился БИК банка.

Просим обновить свой классификатор банков.

Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.

Файл — Открыть обработку обновления классификаторов из вложения.

Нажать ДА. Классификатор обновится в автоматическом режиме.

При включенном интернете за 1-2 минуты.

Как защититься от вируса шифровальщика в 1С?

Во-первых, используйте антивирусные программы с актуальными обновлениями

Стоимость лицензии на антивирусное программное обеспечение не так велико в сравнении с потерями, связанными с заражением рабочих компьютеров вирусом.

Важно понимать, что эффективных инструментов расшифровки файлов после инфицирования вирусом шифровальщиком сейчас НЕТ.

По моим личным наблюдениям наиболее эффективно с подобного рода вирусными угрозами борются:

  1. Антивирус Касперского.
  2. Антивирус Доктор Веб.

Во-вторых, выполняйте регулярное резервное копирование своих данных

Резервные копии желательно хранить на внешних носителях, к которым не будет доступа вредоносного программного обеспечения в случае заражения компьютера.

Делать резервные копии можно встроенными средствами прикладных программ:

  • Выгрузка информационных баз из конфигуратора 1С.
  • Средства резервного копирования SQL сервера.
  • Копирование папок с рабочими файлами и документами.
  • И пр.

Но эффективнее дополнить эти меры резервным копированием с использованием специализированного программного обеспечения:

  1. Встроенные в Microsoft Windows средства резервного копирования.
  2. Acronis True Image – наиболее удобное и эффективное средство резервного копирования. Позволяет делать не только резервные копии отдельных ресурсов, но и сохранять полный образ операционной системы. Образ операционной системы позволяет вернуть полностью компьютер к состоянию на момент создания такого образа.

В-третьих, не запускайте никаких программ из неизвестных источников

Если Вам присылают программы или скрипты по электронной почте, приносят на флеш-носителях и пр., подумайте дважды, прежде чем запустить такую программу.

Если всё же решили её запустить, открыть скрипт или отключить режим чтения в Word/Excel, несмотря на предупреждение системы безопасности, предварительно проверьте файлы антивирусными программами.

Открывая любые новые программы, НЕ ОТКЛЮЧАЙТЕ ЗАЩИТУ антивируса, даже, если программа просит это сделать.

Если антивирус обнаружил угрозу, не разрешайте запускать программу.

Лучше обратитесь к техническим специалистам или программисту 1С, который обслуживает Вашу компанию.

В-четвёртых, не пользуйтесь внешними обработками или отчётами для 1С из неизвестных источников

Несмотря на заверения компании «Доктор Веб», что этот вирус шифровальщик в 1С – первый в своём роде, на самом деле, историй с распространением вредоносных программ с использованием различных внешних обработок и отчётов для 1С очень много.

Цели у авторов таких вредоносных программ могут быть абсолютно разными: от обычного хулиганства и вредительства, когда просто уничтожается или искажается информация в базе жертвы, до откровенно мошеннических действий с воровством денежных средств с расчётных счетов или вымогательства, как это происходит с описываемой версией вируса.

Если Вам не хватает функциональности в программе, лучше закажите доработку 1С у программиста или в компании партнёре 1С. В конечном счёте, это может оказаться дешевле и эффективнее, чем качать из сети непонятные разработки неизвестных авторов, которые никакой ответственности не несут.

Как работает вирус шифровальщик в 1С?

Приходит в виде обычного письма на E-Mail с информацией об изменении банковских реквизитов

Нередко письмо с темой «У нас сменился БИК банка» приходит с электронного адреса вашего контрагента.

Вирус рассылается с электронных адресов вашего контрагента, если почтовые учётные записи у вашего партнёра заведены в 1С.

Если учётных записей почты в 1С у партнёра нет, то рассылка производится с адреса:

1cport@mail.ru

Письмо имеет следующее содержание:

Здравствуйте!

У нас сменился БИК банка.

Просим обновить свой классификатор банков.

Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.

Файл — Открыть обработку обновления классификаторов из вложения.

Нажать ДА. Классификатор обновится в автоматическом режиме.

При включенном интернете за 1-2 минуты.

Так же в письме будет вложение внешней обработки:

ПроверкаАктуальностиКлассификатораБанков.epf

Автор в письме просит вас открыть эту внешнюю обработку в базе 1С.

Открывать вложение КАТЕГОРИЧЕСКИ НЕЛЬЗЯ!

Что делает программа из вложения письма, если вы её запустили у себя в 1С?

Ещё раз обращаю ваше внимание, что открывать вложение КАТЕГОРИЧЕСКИ НЕЛЬЗЯ!

По сути, задача внешней обработки – запустить троянскую программу и выполнить рассылку своего вируса по базе контактов из справочника «Партнёров» и «Контрагентов» вашей базы 1С.

Если посмотреть исходный код внешней обработки:

Исходный код внешней обработки с вирусом 1С

Всё, на первый взгляд, может показаться вполне благовидно.

Важно! Программист 1С никогда не использует при подобных операциях запуск внешних исполняемых файлов: файлы с расширением .exe, .com, .bat, .cmd, .scr!

При открытии внешней обработки в режиме 1С Предприятие вы увидите диалоговое окно:

Диалоговое окно вируса 1С

Неважно, какую кнопку в этом окне нажмёт пользователь, программа будет запущена на выполнение.

Опытные пользователи или программисты сразу заметят странное построение фраз в диалоговом окне: такие упрощённые формулировки редко используются в официальных разработках 1С или тиражируемых решениях партнёров.

После запуска, пользователь увидит на экране окно с изображением двух, как по мне, так пьяных котов.

Trojan.Encoder.567 – вирус шифровальщик в 1С

Именно в этот момент троянская программа начинает свою работу на компьютере жертвы:

  1. Выполняется поиск адресов электронной почты по базе контактов справочника «Партнёров» и справочника «Контрагентов».
  2. Выполняется рассылка по найденным адресам E-Mail вируса с аналогичным содержанием письма, но только уже от имени жертвы. Соответственно, если ваш партнёр откроет эту обработку, которая пришла от вашего имени, то уже его компьютер будет заражён, а по его базе контактов будет разослан вирус дальше.
  3. Если учётных записей электронной почты в 1С нет, то рассылка выполняется с адреса злоумышленника 1cport@mail.ru.
  4. После завершения рассылки вирус 1C.Drop.1 извлекает из своих ресурсов бинарный файл вируса шифровальщика Trojan.Encoder.567 и запускает его. Сложность поиска кода этого вируса заключается в том, что его код содержится в разделе «Макеты» внешней обработки в виде ресурса «Двоичные данные».
  5. Вирус шифровальщик находит на компьютере жертвы и на всех сетевых ресурсах, до которых может «достать» в локальной сети документы, изображения и другие ресурсы, и шифрует их.
  6. После этого вам будет предложено заплатить определённую сумму за расшифровку этих данных.

Вирус 1C.Drop.1 работает наиболее популярными конфигурациями 1С Предприятия

  • «Управление торговлей, редакция 11.1»
  • «Управление торговлей (базовая), редакция 11.1»
  • «Управление торговлей, редакция 11.2»
  • «Управление торговлей (базовая), редакция 11.2»
  • «Бухгалтерия предприятия, редакция 3.0»
  • «Бухгалтерия предприятия (базовая), редакция 3.0»
  • «1С:Комплексная автоматизация 2.0»

Подозреваю, что этот список может очень быстро расшириться. Дело в том, что в компаниях, где используется конфигурация «1С Розница» или «Общепит» чаще всего вообще плюют на вопросы безопасности. Так что для злоумышленников – это просто подарок.

Заключение

Эффективных средств для расшифровки повреждённых файлов сейчас нет, поэтому самая лучшая защита от этого вируса – не допустить его попадания на компьютер.

Об эффективных средствах защиты данных писал выше.