г. Минск, ул. Комсомольская 12-а. МГТС: (+375 17) 28-28-903, Velcom: (+375 29) 128 34 62, МТС: (+375 33) 666 59 03, e-mail: office@jukola.info
 
   

 

Внимание! Опасный вирус-шифровальщик для 1С распространяется через электронные письма с темой "У нас сменился БИК банка".

23.06.2016

Внимание!!! 22 июня 2016 г. был выявлен опасный вирус для программ семейства"1С:Предприятие" – троянец, запускающий шифровальщика-вымогателя.

Просим всех пользователей, использующих платформу "1С:Предприятие", не открывать электронные письма с темой "У нас сменился БИК банка" и не запускать в программах 1С внешние обработки, полученные по электронной почте. Даже если письмо с внешней обработкой пришло к вам от обслуживающего вас партнера 1С или другого хорошо вам знакомого контрагента  – сначала свяжитесь с ним, проверьте, что он действительно направлял вам такую обработку, выясните, какие функции она выполняет до того, как ее запустить.

Троянец самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. 

Троянец распространяется в виде вложения в сообщения электронной почты с темой "У нас сменился БИК банка" и следующим текстом:

Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

К письму прикреплен файл внешней обработки для программы "1С:Предприятие" с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе "1С:Предприятие", на экране отобразится диалоговое окно:

1с2.gif

Какую бы кнопку ни нажал пользователь, троянец будет запущен на выполнение, и в окне программы "1С:Предприятие" появится форма с изображением забавных котиков:

1с3.gif

В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия троянца разошлет по адресам контрагентов поврежденный EPF-файл, который программа "1С:Предприятие" уже не сможет открыть. Троянец поддерживает работу с базами следующих конфигураций 1С:

  • "Управление торговлей, редакция 11.1"
  • "Управление торговлей (базовая), редакция 11.1"
  • "Управление торговлей, редакция 11.2"
  • "Управление торговлей (базовая), редакция 11.2"
  • "Бухгалтерия предприятия, редакция 3.0"
  • "Бухгалтерия предприятия (базовая), редакция 3.0"
  • "1С:Комплексная автоматизация 2.0"

После завершения рассылки троянец извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время нет инструментариев для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении "1С:Предприятие", даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.

Как это предотвратить:

  • Чтобы не допустить проникновения вирусных программ на ваши компьютеры, не открывайте подозрительные файлы из вложений, пришедших по электронной почте! Мы настоятельно рекомендуем копировать базу данных! Копии необходимо делать минимум раз в день, а при большом документообороте – 2 раза, на съемные носители информации - флэшки, съемные жесткие диски или оптические диски. При этом не забывайте отключать съемные носители от компьютеров сети.
  • Если у Вас установлен антивирусный продукт Лаборатории Касперского, необходимо настроить параметры Kaspersky Endpoint Security, перейдя по ссылке: http://support.kaspersky.ru/10905. Для обеспечения защиты против заражение вирусом-шифровальщиком, убедитесь, пожалуйста, что компонент"Мониторинг системы" включен в настройках политики "Антивирусная защита ->Мониторинг системы". Указанные по ссылке настройки предназначены для продуктов Kaspersky Endpoint Security 8 и 10 версии. К сожалению, более ранние версии не имеют механизма защиты и компонентов, которые помогают избежать заражения и несанкционированного шифрования.

Скачать руководство Как защититься от шифрующих программ-вымогателей?

ВНИМАНИЕ!!! Если у Вас заражение и шифрование все же произошло, обратитесь незамедлительно в техническую поддержку!

Мы призываем Вас позаботиться о сохранности Ваших данных. Желаем Вам приятной работы, актуальных резервных копий и сошедшихся балансов.


Количество показов: 6448

Для удобства сохраните эту статью в закладки:

Список новостей