Вниманию пользователей и партнеров!
Партнеров просим срочно довести информацию до пользователей по всем доступным каналам.

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя (https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0).

http://1c.ru/news/info.jsp?id=21537

Котики уже добрались и до вирусов ))

(53)
1. Конфигурацией железа и квалификацией сисадмина, отвечающего за безопасность доступа к данным.
2. ???
3. понимаем.

(53) >2. ???

ЭЦП/ЭП это подпись файла, его хеш по сути. Она даже отдельно от файла может передаваться. Исходный файл+подпись это обычно контейнер.
Но обычно в реализации совмещают и делают криптоконтейнер где зашифрованный файл+подпись.

(54)
> Конфигурацией железа и квалификацией сисадмина, отвечающего
> за безопасность доступа к данным.
угу, в рамках мягкой "as is" прокладки, не?

(55) спасибо. Но вопрос остался: как тупому прогеру обезопасить себя от того, что он сразу НЕ ВМДИТ, что есть текущие (пришедшие х.з. откуда) ДвоичныеДАнные?

НЕ ВМДИТ -НЕ ВИДИТ

(57) Не открывать почту, пришедшую с неизвестных адресов? Да, жестоко.

+(58) Или теперь на платформу 1С надо ещё наделять функциями Касперского??? Тогда точно на железа денег никаких не хватит.

(59) +1. Уже разослал своим ДацЗыБао. А остальные??? Ведь откроют...

(61) Денег принесут или вымогателям или нам, че волноваться то?
Если нет прямой ответственности, вот тогда да попку лучше поднять ненадолго от креслица.

+(59) "Даже если письмо ... пришло к вам от обслуживающего вас партнера 1С или другого хорошо вам знакомого контрагента" (0) - точно откроют

(62)+ И уже начать делать бэкапы.

ЗЫ Кстати придумал недорогую/надежную/шуструю систему бэкапирования, кому идею продать? Опытный образец работает.

(62) :))) И это правда! На том и консенсус! ©

(64)+ Самое главное то забыл, система бэкапирования с защитой от доступа троянами.

(64) Я так понял, что на втором этапе шифровальщик начинает херачить всё попадя - архивы не архивы - ему до пи..ды.

(66) Вот это главное!

А кто 1С крышует? Думаю, уже десяток крепких парней и пяток очкариков ищут злоумышленника. Через пару дней по ТВ покажут как его в кандалах в позе зю заталкивают в милицейский бобик.

(68) Угу, причем внешне это обычный сетевой диск в локалке с доступом и на запись и на чтение.
Но пока места хватает ничего стереть/затереть низзя, как место скончается скоро то оно пищит и письма/смс/сообщения в телеграм пишет.

У нас бакапы скидываются на шифрованный трукриптом окуенно сложным паролем (18 цифробуквенных символов в разном регистре) диск, причем шифруется и сам архив (rar) потом все это дело скидывается в облако.
в облаке хранится история за 10 дней.
Месячные (прости хоспади) архивы хранятся тоже отдельно.
Периодически скачивается оттуда и проверяется на целостность.

(71) Что за облако? Цена вопроса и объем?

(71) В облако каким способом кидается? Случайно не путем записи в папку которую клиент облачный синхронит?

(72)
майловское, объем небольшой, поэтому бесплатно или мало платят, точно не помню счас
(73)
кстати да...
надо проверить точно этот момент.
есть скрипт, который подключается к запаролированной общей папке и скидывает все туда. Это плохо?

зимой кстати бухша запустила полученного по почте шифровальщика, но НОД спас, причем НОД был хз давно не обновленный. Но трояна выцепил и пресек.

(74) От тупого шифровальщика который может испортить только в момент работы скрипта может и спасет.

От умного взлома через троян с последующим изучением и зачисткой всего хакером нет.

(75)
Ну так то роутером с особыми разрешениями там все закрыто.

(76) А как скрипт то доступ получает? И кто/что помешает хакеру подправить скрипт имея доступ к нему?

(76)+
Все подключения не отвечающие стандартным правилам с левых адресов отслеживаются и тут же дропаются.

(77)
Ну так то ничего не помешает.

(78) Чего? Троян изнутри до адреса хакера сконнектится и обеспечит доступ. Как по тимвьюверу только скрытому.
Ammyy для этого любили одно дело юзать с ключиками.

(79) Вот а (64)(66) спасет в этом случае.
Даже получив полный доступ хакер максимум что сможет это забив диск остановить процесс бэкапирования.
Админ увидев сообщения побежит разбираться кто тут хулиганствует.

(80)
Исходящие тоже. если троян пройдет по почте, то скорее всего все рухнет, останутся тока бакапы.
Извне все отслеживается и обрубается.
Бывший сисадмин пытался вскрывать полгода, ничего не получилось у товарища.
Когда я ему написал, что "какие то придурки пытаются долбиться на имена такие-то, но не знают, что эти имена давно переименованы", атаки сразу прекратились.
))

(82) Исходящие если рубить то у вас по сути даже инета нет нормального.
И даже в этом случае троян легко может "по электронной почте" с создателем общаться.

(83)
не не
все отслеживается ежедневно.
даже ежечасно ))
опыт атак в 2014 году после увольнения бывшего админа сделал меня нервным и тревожным

(84) Хорошо самый хреновый вариант взлома.
Сотрудник приносит свой личный смартфон и подрубает его к компу на зарядку.
А в компе дрова есть и в смартфоне использовать как модем стоит.
И дрова "специальные" в комп поставились для смартфона.

(85)+ Или у вас все по нормам и USB порты закрыты и wifi закрыт и т.д.

(85)
в центре все возможности подключения к компам отключены.
филиалам разрешено только по РДП подключаться к сервакам.

(87) Вот это уже ближе к мероприятиям по защите ПДн

Но я проверю еще раз, ибо ты меня заинтриговал.
Всяко есть уязвимости, надо проверить еще раз.

(20) С этим режимом только работать ни как...
Да и то все стартует со стороны самой обработки :)

Нужен не бэкап, а версионная файловая. Та же ntfs с теневыми копиями. Или линуксовая btrfs с автоматическим созданием снапшотов.

(89) безопасности много не бывает

(92) с другой стороны, стоимость защиты, охраны и обороны не должна превышать стоимости объекта защиты.

(22) 1Сники ленивые и жадные. Так что с какого фига они будут что-то бесплатно писать? Заплатили - написали.

(94) а как же теорема БЖ-Соболя?

(89) есть такая древняя утилита от мелкософта, называется типа базалайн, запусти на одном из локальных компом на часок, будешь удивлен состоянием безопасности...

утилите лет 20 уже, правда периодически новые версии клепают, сейчас поищу...

https://technet.microsoft.com/ru-RU/security/cc184924.aspx#XSLTsection124121120120

> понимаешь - заставка с кошками на трояне - не случайно, это подсознательное...

Место встречи изменить нельзя!

ха, ща без проверки кода никто чужие обработки запускать не будет!
это пи..ц инфостарту!

(99) я давно уже проверяю чужой код перед использованием... уже лет 8 наверно...

доверяю только оф релизам 1с.

(100) + и кстати несколько раз находил закладочки... пример в (9)

(99) (100) "Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. "

(32) заплатки будут закрепляться другими заплатками.

(9) Ха, а что ещё есть идиоты, которые верят всему написанному автором в его постах-саморекламе? Читаешь описание к обработке - автор просто-таки гуру 1С, а читаешь код его обработки - студент-недоучка, мелкий вредитель.

тьфу, пост к (99)

(104) ну почему уж сразу "мелкий вредитель"?

(102) такой модуль удаляю и все...

(91) Оно и есть версионная файловая, но для использования внешне просто обычный диск/каталог/общая папка для бэкапов. Вся версионность внутри спрятана.
Управление нажатием кнопочки (показываются папки с версиями старыми), записью специальных командных файлов или вебфейс.

(108)+ Пока главный минус не реализовано экономия места например при простом переименовании файлов.

(107) в офрелизах от 1с тоже есть закрытые модули

(110) несколько релизов были, сейчас вроде все открыто...

Хочу увидеть этот вирусняк. Дайте, у кого есть посмотреть.

(112) К автору обратись ))

(112) На базах своих потестить хочешь?))) Бекапы тока предварительно удали, чтоб эффект круче был))

(111) До сих пор есть. В основном это "платные" модули например модуль работы по подписки 1С:Контрагент

Например ОМ СверкаДанныхУчетаНДС - Текст модуля отсутствует

на самом деле есть у кого?
собственно троян-шифровальщик drweb должен детектировать, так что не так страшно, но хотелось бы немного подробней узнать один нюанс: троян сидит в обработке в бинарном виде и оттуда выгружается или же обработка тянет его из интернета?

(0) я так понимаю сложно поймать вебу его можно было по тому что он использует внутри какие-то стандартные библиотеки шифрования, а код вызова все время меняется.

Для того чтобы такое не получалось нужно.
1. Запретить открытие внешних обработок.(файл)
2. Запретить работу обработок в не безопасном режиме.
3. Поставить на почтовый сервер компании avast или какой-то другой антивирус, который успешно на западе боролся с подобными RANSOME ware ///

(116) если тянет из вне,  то защититься можно белым списком адресов, по которым можно ходить 1с, а вот если он внутри, то тут надежда на антивирусные компании, когда они научатся дедектировать такие объекты внутри обработки. И где запустится троян, пока я так понимаю на клиенте, но не вижу проблемы ему попасть на сервер

(117) если и проверять почту то уж точно не авастом, да и в теле обработки пока что я так понимаю не детектируется он

(119) Звучит смешно конечно, но веб не обнаружил вирь который по почте кто-то прислал, аваст детектировал и удалил. При чем ситуация повторялась не раз. Я сам фанат веба с его рождения. Но аваст очень сильно удивил.

(120) неверное больше случайность, потому как случаев проживания зверинца рядом с авастом в моей праки=тике наверное под тыщу штук. А его последние версии пытаясь защитить и промониторить сетевой трафик мешали работать банальному поиску в гугле, не  говоря уже о другом ПО.

а, еще на сервер 1с. поставить антивирь, опять же по скорости больше понравился аваст. пробовали каспера и веба еще каспер самый тормозной был (121) да я помню такое было лет 5  назад. сейчас качество поднял. да хрен с ним со всем пойду работать )))))

(28) докатились. вирусы уже БСП требуют

Давеча поймал вредонос который залезает в архиватор и далле ты отправляешь архивы, а он к ним дописывает себя преобразуя архив в exe Файл который выглядит как SFX архив однако это не SFX архив ибо WinRar вместо открытия пытается его исполнить. Архивы отправляемые чрез почту также обрастают дерьмищем. Разработан вредонос в Украине. Во всяком случае подцепил я его с украинского сайта. Прогоняю комп касперычем может возьмёт. Если не возьмёт придётся вспоминать хакерскую молодость и чистить руками. Если вычистить руками не удасться, то переставлю систему с чистого листа. По вирью по 1С всё общеизвестно и очевидно. Я в своё время и сам писал демки в которых внутри обработки на комп пользователя пролезает EXE шник который якобы вредонос. Технология то работы с компаоунд файлом в котором хранится вся начинка 1С известна. В том числе и без внешних компонент. Ну и технология инфицирования проста как три копейки.
Пролезает обработка.
Пользователь её открывает и из неё вылезает инфицированный EXE файл
Далее EXE файл делает на Вашем компе всё что душе его автора угодно.
Если автору угодно то он может инфицировать другие обработки и отчёты 1С.
Только я свою демку на эту тему не афишировал особо. Послал Касперскому. И потом радовался как ребёнок наблюдая как майкрософтовский антифирус, который как известно опирается на базы Касперского, стал вдруг залезать при проверке 1С овские обработки. Если есть язык и у языка есть функционал работы с файлами или упаси Бог вызова АПИ ОС, то вирус возможен. В своё время я описывал создание вирус на скриптовом языке антивирусных баз DRWEBa когда он решил у себя завести скриптовый язык как то для партнеров.
Тоже технология была элементарная. Описание вируса включало нахождение по сигнатуре и сценарий лечения. Расширение антивирусника должно было гавкать например на тогдашний command.com и под видом лечения оного собирать инфицированое бинарное приложение. Послле загрузки системы вредонос должен был вытащить оригинальный command.com из копии и инфицировать его уже бинарно. При этом расширение антивирусной базы должно было ругаться как на инфицированные на все неинфицированные файлы и наоборот.
Так что возможно всё. Если кому интересно могу переслать украинский вредонос, но лучше не стоит.
Шутка есть у пентатестеров и хакеров про вредоносы - если я коллекционирую вредоносные инфицированные файлы и случайно запущенный антивирусеник убил вылечив всю мою коллекцию файлов, то является ли антивирусник вредоносной программой?

По поводу обработок. Везде в качестве рекомендаций по настройки совместной работы антивируса и 1С как раз написано максимум исключения 1С в антивирус (это и исполняемые файлы и обработки и всякие темп от 1С). Так что ...

(120) А тут дело не в том какой антивирь лучше.
Тут вся фишка в том у кого сигнатура раньше появиться.
Если вирус новый - банально кому больше повезет.
Кто раньше столкнется, тот и будет детектировать.

(124) Это как понимать?  -"Файл который выглядит как SFX архив однако это не SFX архив ибо WinRar вместо открытия пытается его исполнить"

Любой SFX архив это исполняемый файл, и открыть его это значит выполнить.
А что выполнить - задается при создании, можно сначала распаковку архива запустить, можно перед распаковкой команду системы выполнить, или после распаковки.
Например заворачиваешь в SFX исполняемый файл, поручаешь ему запустить его при распаковке.
Пользователь кликает по архиву и запускается запакованная программа.

Я не понял, 1С таки переходит в разряд "языков программирования"?

А пришлите кто-нибудь, чисто позырить.

(129)+ обещаю, что буду запускать в виртуалке под linux.

> Я не понял, 1С таки переходит в разряд "языков программирования"?

если я правильно понял, 1с только запускает, а сама ничего не делает. никто и раньше не запрещал запускать шифровальщики, только до текущего момента грамотный запускальщик никто не отважился написать.

+131 а чистно на 1с - обработка по раскорячиванию баз уже давно написана, кажется называется "сокрытие конфиденциальной информации", и все зависит от того, кто и когда её применяет.

(128) а раньше она не была языком программирования?

ОООО


в бух 3.0 появилась новость по сабжу, ко мне уже бухи прибежали....

вот она вирусня где :)

(134) +

то есть сидят они и работают в бух 3.0 вдруг окошко это открылось у всех :)

(135) Не были в курсе про рекламу и даже управление БП3 удаленное прямо из офиса 1С?

(135) в БП3 есть окно новостей - наверное 1С туда вывело эту новость.

(136) мне на это пофиг, там где задача стоит сделать запреты - там делаю...

(131) по контрагентам и их контактной информации бегает таки  из 1с

Кто-нибудь код уже видел?

(140) https://st.drweb.com/static/new-www/news/2016/june/1c_5.png

Или код чего обработки?

(141) Если это реальный кусок кода этой обработки, то это какой-то школьник писал, который не знает о существовании функции КаталогВременныхФайлов()

дроппер в epf это фигня.
Если впихнуть в XML
<ПередЗагрузкойДанных>
...
</ПередЗагрузкойДанных>
то можно автоматические обмены нагнуть

1C новость разослала во все типовые конфигурации на БСП.
Сижу такой, пилю ERP в демо-базе - прилетает новость.
Также повесили "баннер" на этот сайт:
https://releases.1c.ru/total

18.05.11 16:46
http://catalog.mista.ru/public/85356/

Проблема что вирусо писателя/распространителя/вымогателя реально не понимают.
Что бить то их будут не виртуально и закопают тоже реально.

А если сильно не повезет нарваться не на тех то живьем закопают.
Представьте что СБ крупной корпорации поймала такого(их) после ущерба на многие лямы и взять с этих убогого(их) нечего.

(146) Что то мне подсказывает, что перед тем как закопать к ним применят вот такую штуку http://4.bp.blogspot.com/_dAK34vcK8Qc/TPqoY77MqSI/AAAAAAAAD1I/V563mD_zczw/s1600/thermorectal.jpg

(146)Вы таки думаете что основную массу шифровальщиков распространяют какие-нибудь студенты хорошо знающие IT?
Да нифига подобного.
Это серьезный криминальный бизнес, имеющий свои каналы отмывания денег.
И найти их не так то просто, а если кого то и поймают - то какого нибудь нарика, который попадется на обналичке.
Хозяевам бизнеса от этого ни горячо, ни холодно, их он не сдаст, ибо не знает, а нового нарика найти не проблема.
А если все-таки найдут хозяев - ну там еще можно посмотреть кто, кого закопает.

Как правило тот кто пишет вирусы, шифровальщики и аналогичный софт - никогда сам его не использует.
Он просто продает вирус, вместе с панелью управления и инфраструктурой за хорошие деньги.

А покупают его те, у кого есть возможность распространять, и главное выводить и обналичивать деньги, а потом их отмывать.

Почему так много паники? Это первый вырус, который распространяется через 1С? Странно, что раньше ни кто до этого не додумался... Может это какая-нибудь гипер пиар акция чтобы поднять продажи антивирусников?)

(148) Гм да тут не поспоришь.

(146) Конечно. Раз нечего взять, тогда имеет смысл крупно потратиться.

1C-ные конфы стали лезть во все дыры, решая за пользователя, что ему нужно.
Вот и вирусы пошли.