Внимание! Опасный вирус-шифровальщик для 1С распространяется через электронные письма с темой"У нас сменился БИК банка". Не запускайте внешние обработки, присланные по электронной почте. 1cmustread
ИнформацияN21537для пользователей и партнеров22.06.2016Внимание! Опасный вирус-шифровальщик для 1С распространяется черезэлектронные письма с темой "У нас сменился БИК банка".Не запускайте внешние обработки, присланные по электронной почтеВниманию пользователей и партнеров!Партнеров просим срочно довести информацию до пользователей по всемдоступным каналам.Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, чтовыявлен опасный вирус для 1С:Предприятия — троянец, запускающийшифровальщика-вымогателя(https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0).******Пример письма с вирусом: Тема письма: "У нас сменился БИК банка"Текст письма: Здравствуйте!У нас сменился БИК банка.Просим обновить свой классификатор банков.Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.Файл — Открыть обработку обновления классификаторов из вложения.Нажать ДА. Классификатор обновится в автоматическом режиме.При включенном интернете за 1-2 минуты.******Далееприводимподробноесообщение компании "ДокторВеб",носначалапросим всех пользователей 1С:Предприятия не открывать электронные письма стемой"Унас сменился БИК банка" и не запускать в программах 1Свнешниеобработки,полученные по электронной почте. Даже еслиписьмосвнешнейобработкойпришлок вам от обслуживающего вас партнера1Силидругогохорошовамзнакомого контрагента- сначала свяжитесь с ним,проверьте,чтоондействительнонаправлялвам такуюобработку,выясните,какиефункции она выполняет до того, как ее запустить.————————————————————————-"Доктор Веб" сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя (ссылка на https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0)22 июня 2016 годаТроянец1C.Drop.1,исследованный специалистамикомпании"ДокторВеб",самостоятельнораспространяетсяпоэлектроннойпочте средизарегистрированных в базе контрагентов, заражает компьютерысустановленными бухгалтерскими приложениями 1С и запускает на нихопасноготроянца-шифровальщика.Вредоносныепрограммы, при создании которыхвирусописателииспользовали какую-либо новую технологию илиредкийязыкпрограммирования, появляются нечасто, и это — тот самый случай.Можносмелосказать,что1C.Drop.1 — это первыйпопавшийввируснуюлабораториюкомпании"ДокторВеб"троянец,фактическинаписанныйнарусскомязыке, вернее, на встроенном языке программирования1С,которыйиспользует для записи команд кириллицу. При этом вредоносные файлы для 1С,которыемогли модифицировать или заражать другие файлы внешней обработки,известнывирусныманалитикам"ДокторВеб"ещес2005года,однакополноценныйтроянец-дроппер,скрывающий в себеопасногошифровальщика,встретился им впервые.Троянецраспространяется в виде вложения в сообщения электронной почтыстемой "У нас сменился БИК банка" и следующим текстом:Здравствуйте!У нас сменился БИК банка.Просим обновить свой классификатор банков.Это можно сделать в автоматическом режиме, если Вы используете 1СПредприятие 8.Файл — Открыть обработку обновления классификаторов из вложения.Нажать ДА. Классификатор обновится в автоматическом режиме.При включенном интернете за 1-2 минуты.Кписьму прикреплен файл внешней обработки для программы "1С:Предприятие"сименем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этогомодулязащищенопаролем,поэтомупросмотретьегоисходныйкодстандартнымисредствами невозможно. Если получатель такого письма последуетпредложенным инструкциям и откроет этот файл в программе "1С:Предприятие",на экране отобразится диалоговое окно.Какуюбыкнопкунинажалпользователь,1C.Drop.1будетзапущеннавыполнение,ивокнепрограммы"1С:Предприятие"появится форма сизображением забавных котиков.Вэтожесамое время троянец начинает свою вредоносную деятельностьнакомпьютере.В первую очередь он ищет в базе 1С контрагентов, длякоторыхзаполненыполя с адресом электронной почты, и отправляет по этимадресамписьмо с собственной копией. Текст сообщения идентичен приведенномувыше.Вместоадреса отправителя троянец использует e-mail, указанный вучетнойзаписи пользователя1С,аеслитаковойотсутствует, вместо негоподставляется адрес 1cport@mail.ru.В качестве вложения троянецприкрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf,содержащийегокопию. Пользователи, попытавшиеся открытьтакойфайлвприложении1С,такжепострадаютотзапустившегосянаихкомпьютерешифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентовповрежденныйEPF-файл, который программа "1С:Предприятие" уженесможетоткрыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:* "Управление торговлей, редакция 11.1"* "Управление торговлей (базовая), редакция 11.1"* "Управление торговлей, редакция 11.2"* "Управление торговлей (базовая), редакция 11.2"* "Бухгалтерия предприятия, редакция 3.0"* "Бухгалтерия предприятия (базовая), редакция 3.0"* "1С:Комплексная автоматизация 2.0"После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняетна диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасныйэнкодер,имеющийнесколькомодификаций, шифруетхранящиесянадискахзараженногокомпьютерафайлыитребуетвыкупзаихрасшифровку.Ксожалению,внастоящеевремяспециалистыкомпании"ДокторВеб" нерасполагаютинструментариемдля расшифровкифайлов,поврежденныхэтойверсией Trojan.Encoder.567, поэтому пользователям следует проявлять особуюбдительностьинеоткрывать полученные поэлектроннойпочтефайлывприложении"1С:Предприятие",даже есливкачествеадресаотправителязначится адрес одного из известных получателю контрагентов.—————————————————————————-Постоянный адрес информационного письма на сайте "1С": http://1c.ru/news/info.jsp?id=215371cmustread
