|
Опасный вирус-шифровальщик для 1С распространяется через электронные письма | ☑ | ||
---|---|---|---|---|
0
Artful Den
22.06.16
✎
17:36
|
Вниманию пользователей и партнеров!
Партнеров просим срочно довести информацию до пользователей по всем доступным каналам. Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя (https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0). http://1c.ru/news/info.jsp?id=21537 Котики уже добрались и до вирусов )) |
|||
54
kubik_live
22.06.16
✎
22:09
|
(53)
1. Конфигурацией железа и квалификацией сисадмина, отвечающего за безопасность доступа к данным. 2. ??? 3. понимаем. |
|||
55
Garykom
гуру
22.06.16
✎
22:15
|
(53) >2. ???
ЭЦП/ЭП это подпись файла, его хеш по сути. Она даже отдельно от файла может передаваться. Исходный файл+подпись это обычно контейнер. Но обычно в реализации совмещают и делают криптоконтейнер где зашифрованный файл+подпись. |
|||
56
ifso
22.06.16
✎
22:27
|
(54)
> Конфигурацией железа и квалификацией сисадмина, отвечающего > за безопасность доступа к данным. угу, в рамках мягкой "as is" прокладки, не? |
|||
57
kubik_live
22.06.16
✎
22:27
|
(55) спасибо. Но вопрос остался: как тупому прогеру обезопасить себя от того, что он сразу НЕ ВМДИТ, что есть текущие (пришедшие х.з. откуда) ДвоичныеДАнные?
|
|||
58
kubik_live
22.06.16
✎
22:29
|
НЕ ВМДИТ -НЕ ВИДИТ
|
|||
59
Сниф
22.06.16
✎
22:34
|
(57) Не открывать почту, пришедшую с неизвестных адресов? Да, жестоко.
|
|||
60
kubik_live
22.06.16
✎
22:34
|
+(58) Или теперь на платформу 1С надо ещё наделять функциями Касперского??? Тогда точно на железа денег никаких не хватит.
|
|||
61
kubik_live
22.06.16
✎
22:36
|
(59) +1. Уже разослал своим ДацЗыБао. А остальные??? Ведь откроют...
|
|||
62
Garykom
гуру
22.06.16
✎
22:38
|
(61) Денег принесут или вымогателям или нам, че волноваться то?
Если нет прямой ответственности, вот тогда да попку лучше поднять ненадолго от креслица. |
|||
63
kubik_live
22.06.16
✎
22:38
|
+(59) "Даже если письмо ... пришло к вам от обслуживающего вас партнера 1С или другого хорошо вам знакомого контрагента" (0) - точно откроют
|
|||
64
Garykom
гуру
22.06.16
✎
22:40
|
(62)+ И уже начать делать бэкапы.
ЗЫ Кстати придумал недорогую/надежную/шуструю систему бэкапирования, кому идею продать? Опытный образец работает. |
|||
65
kubik_live
22.06.16
✎
22:40
|
(62) :))) И это правда! На том и консенсус! ©
|
|||
66
Garykom
гуру
22.06.16
✎
22:41
|
(64)+ Самое главное то забыл, система бэкапирования с защитой от доступа троянами.
|
|||
67
kubik_live
22.06.16
✎
22:43
|
(64) Я так понял, что на втором этапе шифровальщик начинает херачить всё попадя - архивы не архивы - ему до пи..ды.
|
|||
68
kubik_live
22.06.16
✎
22:43
|
(66) Вот это главное!
|
|||
69
Сниф
22.06.16
✎
22:44
|
А кто 1С крышует? Думаю, уже десяток крепких парней и пяток очкариков ищут злоумышленника. Через пару дней по ТВ покажут как его в кандалах в позе зю заталкивают в милицейский бобик.
|
|||
70
Garykom
гуру
22.06.16
✎
22:48
|
(68) Угу, причем внешне это обычный сетевой диск в локалке с доступом и на запись и на чтение.
Но пока места хватает ничего стереть/затереть низзя, как место скончается скоро то оно пищит и письма/смс/сообщения в телеграм пишет. |
|||
71
marvak
22.06.16
✎
23:15
|
У нас бакапы скидываются на шифрованный трукриптом окуенно сложным паролем (18 цифробуквенных символов в разном регистре) диск, причем шифруется и сам архив (rar) потом все это дело скидывается в облако.
в облаке хранится история за 10 дней. Месячные (прости хоспади) архивы хранятся тоже отдельно. Периодически скачивается оттуда и проверяется на целостность. |
|||
72
Cyberhawk
22.06.16
✎
23:18
|
(71) Что за облако? Цена вопроса и объем?
|
|||
73
Garykom
гуру
22.06.16
✎
23:18
|
(71) В облако каким способом кидается? Случайно не путем записи в папку которую клиент облачный синхронит?
|
|||
74
marvak
22.06.16
✎
23:26
|
(72)
майловское, объем небольшой, поэтому бесплатно или мало платят, точно не помню счас (73) кстати да... надо проверить точно этот момент. есть скрипт, который подключается к запаролированной общей папке и скидывает все туда. Это плохо? зимой кстати бухша запустила полученного по почте шифровальщика, но НОД спас, причем НОД был хз давно не обновленный. Но трояна выцепил и пресек. |
|||
75
Garykom
гуру
22.06.16
✎
23:30
|
(74) От тупого шифровальщика который может испортить только в момент работы скрипта может и спасет.
От умного взлома через троян с последующим изучением и зачисткой всего хакером нет. |
|||
76
marvak
22.06.16
✎
23:32
|
(75)
Ну так то роутером с особыми разрешениями там все закрыто. |
|||
77
Garykom
гуру
22.06.16
✎
23:34
|
(76) А как скрипт то доступ получает? И кто/что помешает хакеру подправить скрипт имея доступ к нему?
|
|||
78
marvak
22.06.16
✎
23:34
|
(76)+
Все подключения не отвечающие стандартным правилам с левых адресов отслеживаются и тут же дропаются. |
|||
79
marvak
22.06.16
✎
23:36
|
(77)
Ну так то ничего не помешает. |
|||
80
Garykom
гуру
22.06.16
✎
23:36
|
(78) Чего? Троян изнутри до адреса хакера сконнектится и обеспечит доступ. Как по тимвьюверу только скрытому.
Ammyy для этого любили одно дело юзать с ключиками. |
|||
81
Garykom
гуру
22.06.16
✎
23:38
|
(79) Вот а (64)(66) спасет в этом случае.
Даже получив полный доступ хакер максимум что сможет это забив диск остановить процесс бэкапирования. Админ увидев сообщения побежит разбираться кто тут хулиганствует. |
|||
82
marvak
22.06.16
✎
23:41
|
(80)
Исходящие тоже. если троян пройдет по почте, то скорее всего все рухнет, останутся тока бакапы. Извне все отслеживается и обрубается. Бывший сисадмин пытался вскрывать полгода, ничего не получилось у товарища. Когда я ему написал, что "какие то придурки пытаются долбиться на имена такие-то, но не знают, что эти имена давно переименованы", атаки сразу прекратились. )) |
|||
83
Garykom
гуру
22.06.16
✎
23:42
|
(82) Исходящие если рубить то у вас по сути даже инета нет нормального.
И даже в этом случае троян легко может "по электронной почте" с создателем общаться. |
|||
84
marvak
22.06.16
✎
23:45
|
(83)
не не все отслеживается ежедневно. даже ежечасно )) опыт атак в 2014 году после увольнения бывшего админа сделал меня нервным и тревожным |
|||
85
Garykom
гуру
22.06.16
✎
23:47
|
(84) Хорошо самый хреновый вариант взлома.
Сотрудник приносит свой личный смартфон и подрубает его к компу на зарядку. А в компе дрова есть и в смартфоне использовать как модем стоит. И дрова "специальные" в комп поставились для смартфона. |
|||
86
Garykom
гуру
22.06.16
✎
23:48
|
(85)+ Или у вас все по нормам и USB порты закрыты и wifi закрыт и т.д.
|
|||
87
marvak
22.06.16
✎
23:56
|
(85)
в центре все возможности подключения к компам отключены. филиалам разрешено только по РДП подключаться к сервакам. |
|||
88
Garykom
гуру
23.06.16
✎
00:00
|
(87) Вот это уже ближе к мероприятиям по защите ПДн
|
|||
89
marvak
23.06.16
✎
00:02
|
Но я проверю еще раз, ибо ты меня заинтриговал.
Всяко есть уязвимости, надо проверить еще раз. |
|||
90
DrZombi
гуру
23.06.16
✎
06:59
|
(20) С этим режимом только работать ни как...
Да и то все стартует со стороны самой обработки :) |
|||
91
Провинциальный 1сник
23.06.16
✎
07:02
|
Нужен не бэкап, а версионная файловая. Та же ntfs с теневыми копиями. Или линуксовая btrfs с автоматическим созданием снапшотов.
|
|||
92
ildary
23.06.16
✎
07:05
|
(89) безопасности много не бывает
|
|||
93
Mikeware
23.06.16
✎
07:06
|
(92) с другой стороны, стоимость защиты, охраны и обороны не должна превышать стоимости объекта защиты.
|
|||
94
dmpl
23.06.16
✎
08:07
|
(22) 1Сники ленивые и жадные. Так что с какого фига они будут что-то бесплатно писать? Заплатили - написали.
|
|||
95
Mikeware
23.06.16
✎
08:10
|
(94) а как же теорема БЖ-Соболя?
|
|||
96
vde69
23.06.16
✎
08:14
|
(89) есть такая древняя утилита от мелкософта, называется типа базалайн, запусти на одном из локальных компом на часок, будешь удивлен состоянием безопасности...
утилите лет 20 уже, правда периодически новые версии клепают, сейчас поищу... |
|||
97
vde69
23.06.16
✎
08:16
|
||||
98
kumena
23.06.16
✎
08:42
|
> понимаешь - заставка с кошками на трояне - не случайно, это подсознательное...
Место встречи изменить нельзя! |
|||
99
kumena
23.06.16
✎
08:44
|
ха, ща без проверки кода никто чужие обработки запускать не будет!
это пи..ц инфостарту! |
|||
100
vde69
23.06.16
✎
08:48
|
(99) я давно уже проверяю чужой код перед использованием... уже лет 8 наверно...
доверяю только оф релизам 1с. |
|||
101
vde69
23.06.16
✎
08:49
|
(100) + и кстати несколько раз находил закладочки... пример в (9)
|
|||
102
Fish
23.06.16
✎
09:04
|
(99) (100) "Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. "
|
|||
103
Mikeware
23.06.16
✎
09:04
|
(32) заплатки будут закрепляться другими заплатками.
|
|||
104
Serg_1960
23.06.16
✎
09:08
|
(9) Ха, а что ещё есть идиоты, которые верят всему написанному автором в его постах-саморекламе? Читаешь описание к обработке - автор просто-таки гуру 1С, а читаешь код его обработки - студент-недоучка, мелкий вредитель.
|
|||
105
Serg_1960
23.06.16
✎
09:08
|
тьфу, пост к (99)
|
|||
106
Mikeware
23.06.16
✎
09:09
|
(104) ну почему уж сразу "мелкий вредитель"?
|
|||
107
vde69
23.06.16
✎
09:14
|
(102) такой модуль удаляю и все...
|
|||
108
Garykom
гуру
23.06.16
✎
11:17
|
(91) Оно и есть версионная файловая, но для использования внешне просто обычный диск/каталог/общая папка для бэкапов. Вся версионность внутри спрятана.
Управление нажатием кнопочки (показываются папки с версиями старыми), записью специальных командных файлов или вебфейс. |
|||
109
Garykom
гуру
23.06.16
✎
11:23
|
(108)+ Пока главный минус не реализовано экономия места например при простом переименовании файлов.
|
|||
110
Зая Бусечка
23.06.16
✎
11:23
|
(107) в офрелизах от 1с тоже есть закрытые модули
|
|||
111
vde69
23.06.16
✎
11:33
|
(110) несколько релизов были, сейчас вроде все открыто...
|
|||
112
Tateossian
23.06.16
✎
11:36
|
Хочу увидеть этот вирусняк. Дайте, у кого есть посмотреть.
|
|||
113
Garykom
гуру
23.06.16
✎
11:41
|
(112) К автору обратись ))
|
|||
114
Garikus
23.06.16
✎
11:44
|
(112) На базах своих потестить хочешь?))) Бекапы тока предварительно удали, чтоб эффект круче был))
|
|||
115
Aleksey
23.06.16
✎
12:02
|
(111) До сих пор есть. В основном это "платные" модули например модуль работы по подписки 1С:Контрагент
Например ОМ СверкаДанныхУчетаНДС - Текст модуля отсутствует |
|||
116
Звездец
23.06.16
✎
12:12
|
на самом деле есть у кого?
собственно троян-шифровальщик drweb должен детектировать, так что не так страшно, но хотелось бы немного подробней узнать один нюанс: троян сидит в обработке в бинарном виде и оттуда выгружается или же обработка тянет его из интернета? |
|||
117
drumandbass
23.06.16
✎
12:13
|
(0) я так понимаю сложно поймать вебу его можно было по тому что он использует внутри какие-то стандартные библиотеки шифрования, а код вызова все время меняется.
Для того чтобы такое не получалось нужно. 1. Запретить открытие внешних обработок.(файл) 2. Запретить работу обработок в не безопасном режиме. 3. Поставить на почтовый сервер компании avast или какой-то другой антивирус, который успешно на западе боролся с подобными RANSOME ware /// |
|||
118
Звездец
23.06.16
✎
12:14
|
(116) если тянет из вне, то защититься можно белым списком адресов, по которым можно ходить 1с, а вот если он внутри, то тут надежда на антивирусные компании, когда они научатся дедектировать такие объекты внутри обработки. И где запустится троян, пока я так понимаю на клиенте, но не вижу проблемы ему попасть на сервер
|
|||
119
Звездец
23.06.16
✎
12:16
|
(117) если и проверять почту то уж точно не авастом, да и в теле обработки пока что я так понимаю не детектируется он
|
|||
120
drumandbass
23.06.16
✎
12:18
|
(119) Звучит смешно конечно, но веб не обнаружил вирь который по почте кто-то прислал, аваст детектировал и удалил. При чем ситуация повторялась не раз. Я сам фанат веба с его рождения. Но аваст очень сильно удивил.
|
|||
121
Звездец
23.06.16
✎
12:21
|
(120) неверное больше случайность, потому как случаев проживания зверинца рядом с авастом в моей праки=тике наверное под тыщу штук. А его последние версии пытаясь защитить и промониторить сетевой трафик мешали работать банальному поиску в гугле, не говоря уже о другом ПО.
|
|||
122
drumandbass
23.06.16
✎
12:23
|
а, еще на сервер 1с. поставить антивирь, опять же по скорости больше понравился аваст. пробовали каспера и веба еще каспер самый тормозной был (121) да я помню такое было лет 5 назад. сейчас качество поднял. да хрен с ним со всем пойду работать )))))
|
|||
123
drcrasher
23.06.16
✎
13:12
|
(28) докатились. вирусы уже БСП требуют
|
|||
124
Бертыш
23.06.16
✎
13:23
|
Давеча поймал вредонос который залезает в архиватор и далле ты отправляешь архивы, а он к ним дописывает себя преобразуя архив в exe Файл который выглядит как SFX архив однако это не SFX архив ибо WinRar вместо открытия пытается его исполнить. Архивы отправляемые чрез почту также обрастают дерьмищем. Разработан вредонос в Украине. Во всяком случае подцепил я его с украинского сайта. Прогоняю комп касперычем может возьмёт. Если не возьмёт придётся вспоминать хакерскую молодость и чистить руками. Если вычистить руками не удасться, то переставлю систему с чистого листа. По вирью по 1С всё общеизвестно и очевидно. Я в своё время и сам писал демки в которых внутри обработки на комп пользователя пролезает EXE шник который якобы вредонос. Технология то работы с компаоунд файлом в котором хранится вся начинка 1С известна. В том числе и без внешних компонент. Ну и технология инфицирования проста как три копейки.
Пролезает обработка. Пользователь её открывает и из неё вылезает инфицированный EXE файл Далее EXE файл делает на Вашем компе всё что душе его автора угодно. Если автору угодно то он может инфицировать другие обработки и отчёты 1С. Только я свою демку на эту тему не афишировал особо. Послал Касперскому. И потом радовался как ребёнок наблюдая как майкрософтовский антифирус, который как известно опирается на базы Касперского, стал вдруг залезать при проверке 1С овские обработки. Если есть язык и у языка есть функционал работы с файлами или упаси Бог вызова АПИ ОС, то вирус возможен. В своё время я описывал создание вирус на скриптовом языке антивирусных баз DRWEBa когда он решил у себя завести скриптовый язык как то для партнеров. Тоже технология была элементарная. Описание вируса включало нахождение по сигнатуре и сценарий лечения. Расширение антивирусника должно было гавкать например на тогдашний command.com и под видом лечения оного собирать инфицированое бинарное приложение. Послле загрузки системы вредонос должен был вытащить оригинальный command.com из копии и инфицировать его уже бинарно. При этом расширение антивирусной базы должно было ругаться как на инфицированные на все неинфицированные файлы и наоборот. Так что возможно всё. Если кому интересно могу переслать украинский вредонос, но лучше не стоит. Шутка есть у пентатестеров и хакеров про вредоносы - если я коллекционирую вредоносные инфицированные файлы и случайно запущенный антивирусеник убил вылечив всю мою коллекцию файлов, то является ли антивирусник вредоносной программой? |
|||
125
Aleksey
23.06.16
✎
13:44
|
По поводу обработок. Везде в качестве рекомендаций по настройки совместной работы антивируса и 1С как раз написано максимум исключения 1С в антивирус (это и исполняемые файлы и обработки и всякие темп от 1С). Так что ...
|
|||
126
Jump
23.06.16
✎
13:51
|
(120) А тут дело не в том какой антивирь лучше.
Тут вся фишка в том у кого сигнатура раньше появиться. Если вирус новый - банально кому больше повезет. Кто раньше столкнется, тот и будет детектировать. |
|||
127
Jump
23.06.16
✎
13:59
|
(124) Это как понимать? -"Файл который выглядит как SFX архив однако это не SFX архив ибо WinRar вместо открытия пытается его исполнить"
Любой SFX архив это исполняемый файл, и открыть его это значит выполнить. А что выполнить - задается при создании, можно сначала распаковку архива запустить, можно перед распаковкой команду системы выполнить, или после распаковки. Например заворачиваешь в SFX исполняемый файл, поручаешь ему запустить его при распаковке. Пользователь кликает по архиву и запускается запакованная программа. |
|||
128
Asmody
23.06.16
✎
14:48
|
Я не понял, 1С таки переходит в разряд "языков программирования"?
|
|||
129
Asmody
23.06.16
✎
14:50
|
А пришлите кто-нибудь, чисто позырить.
|
|||
130
Asmody
23.06.16
✎
14:51
|
(129)+ обещаю, что буду запускать в виртуалке под linux.
|
|||
131
kumena
23.06.16
✎
15:16
|
> Я не понял, 1С таки переходит в разряд "языков программирования"?
если я правильно понял, 1с только запускает, а сама ничего не делает. никто и раньше не запрещал запускать шифровальщики, только до текущего момента грамотный запускальщик никто не отважился написать. |
|||
132
kumena
23.06.16
✎
15:19
|
+131 а чистно на 1с - обработка по раскорячиванию баз уже давно написана, кажется называется "сокрытие конфиденциальной информации", и все зависит от того, кто и когда её применяет.
|
|||
133
Jump
23.06.16
✎
15:51
|
(128) а раньше она не была языком программирования?
|
|||
134
vde69
23.06.16
✎
16:12
|
ОООО
в бух 3.0 появилась новость по сабжу, ко мне уже бухи прибежали.... вот она вирусня где :) |
|||
135
vde69
23.06.16
✎
16:13
|
(134) +
то есть сидят они и работают в бух 3.0 вдруг окошко это открылось у всех :) |
|||
136
Garykom
гуру
23.06.16
✎
16:24
|
(135) Не были в курсе про рекламу и даже управление БП3 удаленное прямо из офиса 1С?
|
|||
137
ildary
23.06.16
✎
16:25
|
(135) в БП3 есть окно новостей - наверное 1С туда вывело эту новость.
|
|||
138
vde69
23.06.16
✎
16:26
|
(136) мне на это пофиг, там где задача стоит сделать запреты - там делаю...
|
|||
139
1cVandal
23.06.16
✎
17:10
|
(131) по контрагентам и их контактной информации бегает таки из 1с
|
|||
140
Gunner
23.06.16
✎
17:30
|
Кто-нибудь код уже видел?
|
|||
141
Aleksey
23.06.16
✎
17:43
|
||||
142
jk3
24.06.16
✎
11:46
|
(141) Если это реальный кусок кода этой обработки, то это какой-то школьник писал, который не знает о существовании функции КаталогВременныхФайлов()
|
|||
143
Asirius
24.06.16
✎
12:35
|
дроппер в epf это фигня.
Если впихнуть в XML <ПередЗагрузкойДанных> ... </ПередЗагрузкойДанных> то можно автоматические обмены нагнуть |
|||
144
Cyberhawk
24.06.16
✎
12:40
|
1C новость разослала во все типовые конфигурации на БСП.
Сижу такой, пилю ERP в демо-базе - прилетает новость. Также повесили "баннер" на этот сайт: https://releases.1c.ru/total |
|||
145
Tatitutu
24.06.16
✎
21:19
|
18.05.11 16:46
http://catalog.mista.ru/public/85356/ |
|||
146
Garykom
гуру
24.06.16
✎
22:04
|
Проблема что вирусо писателя/распространителя/вымогателя реально не понимают.
Что бить то их будут не виртуально и закопают тоже реально. А если сильно не повезет нарваться не на тех то живьем закопают. Представьте что СБ крупной корпорации поймала такого(их) после ущерба на многие лямы и взять с этих убогого(их) нечего. |
|||
147
Kvant1C
24.06.16
✎
22:23
|
(146) Что то мне подсказывает, что перед тем как закопать к ним применят вот такую штуку http://4.bp.blogspot.com/_dAK34vcK8Qc/TPqoY77MqSI/AAAAAAAAD1I/V563mD_zczw/s1600/thermorectal.jpg
|
|||
148
Jump
24.06.16
✎
22:27
|
(146)Вы таки думаете что основную массу шифровальщиков распространяют какие-нибудь студенты хорошо знающие IT?
Да нифига подобного. Это серьезный криминальный бизнес, имеющий свои каналы отмывания денег. И найти их не так то просто, а если кого то и поймают - то какого нибудь нарика, который попадется на обналичке. Хозяевам бизнеса от этого ни горячо, ни холодно, их он не сдаст, ибо не знает, а нового нарика найти не проблема. А если все-таки найдут хозяев - ну там еще можно посмотреть кто, кого закопает. |
|||
149
Jump
24.06.16
✎
22:30
|
Как правило тот кто пишет вирусы, шифровальщики и аналогичный софт - никогда сам его не использует.
Он просто продает вирус, вместе с панелью управления и инфраструктурой за хорошие деньги. А покупают его те, у кого есть возможность распространять, и главное выводить и обналичивать деньги, а потом их отмывать. |
|||
150
breezee
24.06.16
✎
22:50
|
Почему так много паники? Это первый вырус, который распространяется через 1С? Странно, что раньше ни кто до этого не додумался... Может это какая-нибудь гипер пиар акция чтобы поднять продажи антивирусников?)
|
|||
151
Garykom
гуру
24.06.16
✎
23:27
|
(148) Гм да тут не поспоришь.
|
|||
152
itlikbez
24.06.16
✎
23:38
|
(146) Конечно. Раз нечего взять, тогда имеет смысл крупно потратиться.
|
|||
153
DailyLookingOnA Sunse
25.06.16
✎
16:24
|
1C-ные конфы стали лезть во все дыры, решая за пользователя, что ему нужно.
Вот и вирусы пошли. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |