Антивирусная компания «Доктор Веб» и компания 1С сообщили о том, что выявлена опасная внешняя обработка, которая попадает пользователю через e-mail, а далее через приложение 1С  скачивает и запускает троянец, шифровальщик-вымогатель.

Цель данного вируса — шифрование хранящиеся на дисках зараженного компьютера файлов с последующим требованием выкупа за их расшифровку.

Пример письма с вирусом:

Тема письма: «У нас сменился БИК банка»

Текст письма:

Здравствуйте!

У нас сменился БИК банка.

Просим обновить свой классификатор банков.

Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.

Файл — Открыть обработку обновления классификаторов из вложения.

Нажать ДА. Классификатор обновится в автоматическом режиме.

При включенном интернете за 1-2 минуты.

Всех пользователей 1С:Предприятия просят не открывать электронные письма с темой «У нас сменился БИК банка» и не запускать в программах 1С внешние обработки, полученные по электронной почте!!

Даже если письмо с внешней обработкой пришло к вам от обслуживающего вас партнера 1С или другого хорошо вам знакомого контрагента – сначала свяжитесь с ним, проверьте, что он действительно направлял вам такую обработку, выясните, какие функции она выполняет до того, как ее запустить.

Троянец самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу.

В первую очередь, он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес [email protected].

После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку.

Кроме этого, специалисты ГЕЛИОС-С, официальные партнер фирмы 1С  настоятельно рекомендуют:

1.     Обязательно сохранять данные на съемные накопители и держать их в сейфах, защищенных от краж и пожаров!!!

2.     Включить в операционной системе отображение расширений всех файлов

3.     Использовать современное антивирусное ПО с актуальными вирусными базами

4.     Проверять скачиваемые файлы антивирусом перед их открытием

5.     НЕ ОТКРЫВАТЬ файлы с расширениями SCR, JS, CAB, HTA, EXE.

6.     НЕ ОТКРЫВАТЬ почту от неизвестных адресатов и с подозрительным содержанием. Особое внимание обращайте на контакты, указанные в качестве отправителя 

Для того, чтобы быстро и оперативно получать самую свежую информацию о новых опасностях и новшествах в IT-инфраструктуре, Вы можете зарегистрироваться на сайте www.gelios-s.ru.

Для этого пройдите регистрацию самостоятельно или воспользуйтесь помощью менеджеров. Заявки можно оставлять по телефонам (4942) 422-000, 422-200, либо отправлять на электронную почту [email protected].

По всем возникающим вопросам Вы можете обращаться в офис компании:

·        По телефонам: (4942) 422-000, 422-200

·        По электронной почте: gelios—s@kmtn.ru, uc@gkgelios.ru

При подготовке материала использовались данные с сайтов http://1c.ru/news/info.jsp?id=21537 и https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0