Опасный троянец атакует предприятия через «1С»

22 июня 2016 года антивирусная компания «DrWEB» сообщила о появлении опасного вируса, который запускает шифровальщика-вымогателя через управляющую программу «1С:Предприятие». Вредитель проникает в компьютеры пользователей через электронные письма следующего содержания:

Тема письма: «У нас сменился БИК банка»

Текст письма:

Здравствуйте!

У нас сменился БИК банка.

Просим обновить свой классификатор банков.

Это можно сделать в автоматическом режиме, если Вы используете «1С:Предприятие 8».

Файл - Открыть обработку обновления классификаторов из вложения.

Нажать ДА. Классификатор обновится в автоматическом режиме, при включенном Интернете это займет 1-2 минуты.  

Проникнув в управляющую программу, троянец начинает свою вредоносную деятельность на компьютере. В первую очередь, он приступает к поиску в базе «1С» контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет им письмо с собственной копией. Текст сообщения идентичен приведенному выше.

«Удивительно, что такой троянец появился только сейчас. Учитывая популярность платформы «1С:Предприятие», это должно было произойти гораздо раньше. Возможно, нынешнее его появление связано с текущей экономической ситуацией, когда компании в целях экономии средств отказываются от сопровождения официальными партнерами (франчайзи) «1С» и сотрудничают с различными фрилансерами. В большинстве случаев работа происходит удаленно, в том числе с помощью электронной почты. Часто даже без личного знакомства с фрилансером. Тогда объясним тот факт, что пользователи сами открывают какие-то обработки, полученные по электронной почте. Подобная атака в моей практике происходит впервые, при этом с обычными шифровальщиками сталкивался неоднократно. Последствия проникновения вредоносной программы могут быть критическими. Их устранение зачастую возможно лишь одним способом: заплатить разработчикам вредоносной программы. Именно поэтому гораздо лучше не допускать подобных проблем, соблюдая определенную технику безопасности. Во-первых, использовать антивирусное программное обеспечение, которое защитит от уже известных троянцев. Во-вторых, важно соблюдать общую культуру работы пользователей в сети Интернет - загрузку файлов, полученных от неизвестного адресата, можно сравнить с питьем из грязного стакана в инфекционной больнице. В-третьих, лучше вводить ограничения прав пользователей на уровне платформы «1С:Предприятие». Например, запретить пользователям открытие внешних обработок. Кроме того, я поддерживаю рекомендацию «DrWEB» связываться с отправителем (даже известным) и устно подтверждать необходимость использования внешних обработок. Завершающим пунктом отмечу, что очень важно использовать средства резервирования данных. В этом случае при своевременном обнаружении вируса часть информации можно будет восстановить из резервных копий», - рассказал руководитель по внедрению «1С» Владимир Доценко.

«Мила» также призывает всех партнеров и пользователей программы «1С:Предприятие» не открывать электронные письма с темой «У нас сменился БИК банка» и не запускать в программах «1С» внешние обработки, полученные по электронной почте, даже если подобное письмо пришло с хорошо знакомого адреса от обслуживающего вас партнера или контрагента.