Архив новостей

22 июня 2016 г.

«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя

22 июня 2016 года

Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это — тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.

Распространяется в виде вложения в сообщения электронной почты с темой:

Subject: У нас сменился БИК банка

и следующим текстом:

Здравствуйте! У нас сменился БИК банка. 
Просим обновить свой классификатор банков. 
Это можно сделать в автоматическом режиме, 
если Вы используете 1С Предприятие 8. 
Файл — Открыть обработку обновления классификаторов из вложения. 
Нажать ДА. Классификатор обновится в атоматическом режиме. 
При включенном интернете за 1-2 минуты.

Вложенный файл имеет следующие имя и расширение: ПроверкаАктуальностиКлассификатораБанков.epf и представляет собой файл внешней обработки для программ семейства 1С:Предприятие. Тело модуля защищено паролем, сама форма имеет следующий вид:

При открытии файла внешней обработки в приложении «1С:Предприятие» отображается следующее диалоговое окно:

При нажатии пользователем любой кнопки троянец запускается на выполнение. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения определяется следующим кодом:

Текст = Письмо.Тексты.Добавить("Здравствуйте, у нас сменился БИК банка.
  |Просим обновить свой классификатор банков.
  |Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
  |Файл - Открыть обработку обновления классификаторов.
  |Нажать ДА. Классификатор обновится в атоматическом режиме.
  |При включенном интернете за 1-2 минуты.");
Письмо.Вложения.Добавить(ИмяФайла, "ОбновитьБИКБанка.epf";

Вместо адреса отправителя троянец использует адрес, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию.

Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть.

1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

  • «Управление торговлей, редакция 11.1»
  • «Управление торговлей (базовая), редакция 11.1»
  • «Управление торговлей, редакция 11.2»
  • «Управление торговлей (базовая), редакция 11.2»
  • «Бухгалтерия предприятия, редакция 3.0»
  • «Бухгалтерия предприятия (базовая), редакция 3.0»
  • «1С:Комплексная автоматизация 2.0»

По окончании рассылки троянец извлекает из собственных ресурсов и запускает на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.567.

– Мы больше не чувствуем себя «еще одной компанией», к нам относятся так, как будто мы – единственные и неповторимые! Анна Сергеевна, ООО «ЭСКО Север» Другие отзывы >
– Мы убедились в качестве предоставляемых бухгалтерских услуг: вся работа выполняется качественно и в срок. Анатолий Иванович, РПК «Зебра» Другие отзывы >

Тариф «Отчетность»

  • 1 лицензия1С:Бухгалтерия 8 ред.3;
  • контроль данных, введенных клиентом в учетную базу без контроля оформления первичных документов;
  • формирование сводных учетных регистров, расчет налогов;
  • устные консультации по бухгалтерскому и налоговому учету;
  • услуги курьера для получения/передачи документов по договору.
Итого: от 3 000 p./кв.
тарифный калькулятор

Тариф «ИП без работников»

  • 1 лицензия1С:Бухгалтерия 8 ред.3;
  • учет доходов и расходов, ведение кассовых операций, расчет налогов;
  • составление и сдача отчетности по электронным каналам связи первичных документов;
  • формирование сводных учетных регистров, расчет налогов;
  • устные консультации по бухгалтерскому и налоговому учету;
  • услуги курьера для получения/передачи документов по договору.
Итого: от 2 250 p./мес.
тарифный калькулятор

Тариф «Комплексный сервис»

  • 1 лицензия1С:Бухгалтерия 8 ред.3;
  • ведение учета;
  • кадровый учет для количества работников, определенных для тарифа;
  • расчет заработной платы для количества работников, определенных для тарифа;
  • составление и сдача отчетности по электронным каналам связи;
  • формирование сводных учетных регистров, расчет налогов;
  • устные консультации по бухгалтерскому и налоговому учету;
  • услуги курьера для получения/передачи документов по договору.
Итого: от 3 650 p./мес.
тарифный калькулятор

Новости

20 сентября. Утверждена новая форма заявления на получение патента в электронной форме     Федеральная налоговая служба России... Подробнее

14 сентября. Подходит срок уплаты 1/3 суммы НДС за II квартал 2017 год Налогоплательщики НДС, а также налоговые агенты до 25 сентября (понедельник)... Подробнее

20 августа. ИП устанавливает домофоны в многоквартирных домах, а также обслуживает их: можно ли перейти на Патент? В силу Налогового кодекса РФ... Подробнее

Ещё →