Имя: Пароль:
   
1C
Как страшно жить
Опасный вирус-шифровальщик для 1С распространяется через электронные письма
0 Artful Den
 
22.06.16
17:36
Вниманию пользователей и партнеров!
Партнеров просим срочно довести информацию до пользователей по всем доступным каналам.

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя (https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0).

http://1c.ru/news/info.jsp?id=21537

Котики уже добрались и до вирусов ))
1 Builder
 
22.06.16
17:47
И таки ведь откроют же! Если права есть....
2 Smallrat
 
22.06.16
18:03
>>Однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл,

Это какой-то позор, 1С-ники запороли свой единственный вирус.
3 zak555
 
22.06.16
18:05
надо сидеть на лине
4 vde69
 
22.06.16
18:17
Кстати подобную фигню придумал один перс с ником "Кошки рулят" и выкладывал это на инфостарте (типа какой-то игрушки или прикола лежало), а учитывая, что в сабже на картинке кошки - можно сказать, что это его дело...

в старые времена на мисте был один харек - БД, мое личное расследование привело меня именно к нику "КошкиРулят", а учитывая все эти факты и психологический портрет вероятность, что БД, КошкиРулят и автор вируса одно лицо стремится к 99%
5 Garykom
 
22.06.16
18:21
(4) Ну можно найти и демонстративно наказать.
Возможно поможет понять горехацкерам что от 1С и учетных систем лучше подальше держаться.
6 Mihenius
 
22.06.16
18:21
(4) Он и на 1cpp светился вроде

Но его "поделку" мог взять кто-то другой и доработать
7 Garykom
 
22.06.16
18:23
(6) А чем это помешает демонстративно наказать?
8 vde69
 
22.06.16
18:23
(6) понимаешь - заставка с кошками на трояне - не случайно, это подсознательное...
9 vde69
 
22.06.16
18:25
10 Cyberhawk
 
22.06.16
18:25
И тут котики ))))))
11 MRAK
 
22.06.16
19:46
(4) он решил пойти по статье 273 УК РФ?
12 Провинциальный 1сник
 
22.06.16
19:52
(3) Как линукс поможет, если шифровальщик будет работать непосредственно из 1с?
13 Йохохо
 
22.06.16
19:57
(12) в вирусе только экзешник есть
14 Провинциальный 1сник
 
22.06.16
19:58
(13) Сейчас на 1с написан только дроппер, но что мешает написать на нем и шифратор, с учетом новых технологий http://v8.1c.ru/o7/201602bin/index.htm ?
15 GROOVY
 
22.06.16
19:59
(12) Так там в двоичных данных ехешник, который себя еще и в корень С: пишет. Даже у моего виндоуго ноуте нет прав на запись туда.
Попадос только для совсем мелких контор, где сын бухгалтера и 1с-программист и картриджи заправляет и машину для начальника моет.
16 GROOVY
 
22.06.16
20:00
Расслабляемся, действия не приводят к запросу пароля суперюзера.
17 Провинциальный 1сник
 
22.06.16
20:01
Тут надо что-то в платформе менять.. Придумать подпись внешних обработок, например. Чтобы по умолчанию пользователю можно было открывать только подписанные администратором внешние обработки.
ЗЫ В общем, в 1с наблюдаем то же самое что в начале двухтысячных было с макросами мсофиса.
18 Провинциальный 1сник
 
22.06.16
20:05
(15) Факт того, что этот конкретный экземпляр вредоноса оказался недостаточно полноценным, не должен расслаблять. Дальше будет хуже.
19 hhhh
 
22.06.16
20:08
(16) базы 1с в общедоступных папках лежат.
20 GROOVY
 
22.06.16
20:09
(17) Защищенный режим и контроль целостности для кого придумали?
21 GROOVY
 
22.06.16
20:10
(19) Ну и что. Пусть лежат. Права юзера позволяют внешние обработки открывать? -1 в карму.
Права юзеров позволяют писать в корень системного диска? -2 в карму.
22 Glenas
 
22.06.16
20:12
(5) Почему же? Запуск вн. обработок это такая же дырка, как и MS Office, только тут даже уязвимость искать не надо.
Уже давно описана возможность взлома через файл-открыть в 1С, удивлён, что только сейчас написали
23 Glenas
 
22.06.16
20:18
(17) Не проще ли воспользоваться простыми ограничениями интерфейса в конф
24 vde69
 
22.06.16
20:22
(21) 1с наделало столько дырок с возможнотью удаленого доступа, что жуть, начиная с кладра и заканчивая регл отчетностью и драйверами внешних устройств...
25 vde69
 
22.06.16
20:23
по этому мне видится подпись ЭЦП для всего что можно запускать или выполнять - логичным... да и подпись самого текста в 1с то-же было-бы полезно реализовать...
26 Glenas
 
22.06.16
20:33
(25) Особенно в обработке "Загрузка Банков" в процедуре ПолучитьФайлРБК() заменить СерверИсточник на свой и подождать, пока юзер инициирует обновление.
27 zak555
 
22.06.16
20:59
(24) не пользуйся кладером, пользуйся сервисом с фиас
28 kubik_live
 
22.06.16
21:05
1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

"Управление торговлей, редакция 11.1"
"Управление торговлей (базовая), редакция 11.1"
"Управление торговлей, редакция 11.2"
"Управление торговлей (базовая), редакция 11.2"
"Бухгалтерия предприятия, редакция 3.0"
"Бухгалтерия предприятия (базовая), редакция 3.0"
"1С:Комплексная автоматизация 2.0"

Судя по набору, БП 2.0 и УТ10 (не УФ, не такси) живчики, так?
29 Провинциальный 1сник
 
22.06.16
21:10
Вопрос. А как обработка умудряется запуститься в небезопасном режиме через Файл-Открыть?
30 kubik_live
 
22.06.16
21:15
Мне кажется, что мания внедрения в продукты 1С всяких вэб-вкусностей будет порочна. Сей пример - первый звоночек. Бухгалтерия как и деньги любят тишину.
31 marvak
 
22.06.16
21:17
(30)
Заплаток нашлепают и продолжат.
32 kubik_live
 
22.06.16
21:20
(31) Заплатки имеют свойство отрываться в самый неподходящий момент :(
33 oslokot
 
22.06.16
21:23
(0) Нам показывают скрины с котиками для обычных форм, а цели заявлены на управляемых.
34 marvak
 
22.06.16
21:24
(32)
Это развитие. Принцип снаряда и брони.
35 kubik_live
 
22.06.16
21:27
(34) :))))
Итог: "...четыре трупа возле танка" ©
36 marvak
 
22.06.16
21:28
(35)
))
А вообще хорошо сказано " Бухгалтерия как и деньги любят тишину". ))
Но ведь сейчас во всех банках есть онлайн платежки через шифрованные соединения и все такое подобное.
Это мэйнстрим и никуда не деться от этого.
37 kubik_live
 
22.06.16
21:31
(36) Цена вопроса такой защиты?

Т.е. каждое р/м бухии оснастить системой безопасности как в банке? ЗАО, ООО и ИП разорятся...
38 kubik_live
 
22.06.16
21:33
Резюме: удалить ДвоичныеДанные как класс
39 Garykom
 
22.06.16
21:34
(37) По закону оно уже давно так, гуглить 152-ФЗ.
40 kubik_live
 
22.06.16
21:36
(39) Это, я так понимаю, относится к системам Клиент-Банк - это проблкмы банков.
"При чем тут 1С?" ©
41 marvak
 
22.06.16
21:37
(37)
Это вопрос времени и опыта, в том числе и такого, как в (0).
Технологии сначала дорогие, а потом мы пользуемся ими и даже не помним, что это было не всем по карману сначала.
Ну вспомни, кто пользовался мобильной связью в 90-х.
А сейчас - все привыкли.
42 Garykom
 
22.06.16
21:38
(40) Неа, если БД есть персональные данные (работников, клиентов и т.д.) то её нуна "защищать".
43 Garykom
 
22.06.16
21:39
(42 *в БД есть
и банки тут не причем
44 Сниф
 
22.06.16
21:43
(0) А зачем создатели вируса каких-то котиков отображают? Не логично. Если цель - вымогательство денег после заражения, то сам процесс заражения нужно делать похожим на штатное обновление классификаторов.
45 marvak
 
22.06.16
21:45
(44)
Рассчитано наверное на женскую психику, т.к. бухи в основном женщины.
дебет/кредит, цифры, все зае..ло, а тут - котики, как приятно отвлечься от рутины. ))
46 kubik_live
 
22.06.16
21:46
(41) Полностью согласен, нет вопросов.
(42) ПерсДанные работников мы передаем из 1С в ПФР и пр., используя как правило системы электронной отчетности, защищенной ЭЦП.
(45) +100.
47 marvak
 
22.06.16
21:47
Я своим всем разослал на всяк случай письма про (0).
А то у некоторых был зимой опыт попадоса на шифровальщика, хорошо бакапы были.
48 kubik_live
 
22.06.16
21:49
(47) У меня бух качнула крипто-про с левого ресурса. Успели сервак выдернуть из стойки.
49 Сниф
 
22.06.16
21:50
(45) Вывод -  1С так мало дарит котиков своим поклонницам, что те уже рады первым попавшимся со стороны.
50 kubik_live
 
22.06.16
21:54
(49) :)))))))))
Надо подать идею в отдел ИТС 1С:
С очередным выпуском ИТС выдавать меховые желто-оранжевые котики с липучкой на комп в подарок (как были когда-то дракончики к НГ)!
51 marvak
 
22.06.16
21:59
(50)
Нее, лучше живого котенка рыжего цвета. )))
52 kubik_live
 
22.06.16
22:02
(51) :)))))))

Но: предполагаю, что разработчики вируса здесь тоже пасутся, как бы не оказалось как в том старом сексуальном анекдоте:
"бычки в окурки превратились!"
53 Garykom
 
22.06.16
22:04
(46) >ПерсДанные работников мы передаем из 1С в ПФР и пр., используя как правило системы электронной отчетности, защищенной ЭЦП.

1. Пока ПД у вас в 1С как они защищены от (0)?
2. ЭЦП/ЭП не всегда подразумевает шифрование а только целостность данных.
3. Понимаете что в группе риска за неисполнение 152-ФЗ?
54 kubik_live
 
22.06.16
22:09
(53)
1. Конфигурацией железа и квалификацией сисадмина, отвечающего за безопасность доступа к данным.
2. ???
3. понимаем.
55 Garykom
 
22.06.16
22:15
(53) >2. ???

ЭЦП/ЭП это подпись файла, его хеш по сути. Она даже отдельно от файла может передаваться. Исходный файл+подпись это обычно контейнер.
Но обычно в реализации совмещают и делают криптоконтейнер где зашифрованный файл+подпись.
56 ifso
 
22.06.16
22:27
(54)
> Конфигурацией железа и квалификацией сисадмина, отвечающего
> за безопасность доступа к данным.
угу, в рамках мягкой "as is" прокладки, не?
57 kubik_live
 
22.06.16
22:27
(55) спасибо. Но вопрос остался: как тупому прогеру обезопасить себя от того, что он сразу НЕ ВМДИТ, что есть текущие (пришедшие х.з. откуда) ДвоичныеДАнные?
58 kubik_live
 
22.06.16
22:29
НЕ ВМДИТ -НЕ ВИДИТ
59 Сниф
 
22.06.16
22:34
(57) Не открывать почту, пришедшую с неизвестных адресов? Да, жестоко.
60 kubik_live
 
22.06.16
22:34
+(58) Или теперь на платформу 1С надо ещё наделять функциями Касперского??? Тогда точно на железа денег никаких не хватит.
61 kubik_live
 
22.06.16
22:36
(59) +1. Уже разослал своим ДацЗыБао. А остальные??? Ведь откроют...
62 Garykom
 
22.06.16
22:38
(61) Денег принесут или вымогателям или нам, че волноваться то?
Если нет прямой ответственности, вот тогда да попку лучше поднять ненадолго от креслица.
63 kubik_live
 
22.06.16
22:38
+(59) "Даже если письмо ... пришло к вам от обслуживающего вас партнера 1С или другого хорошо вам знакомого контрагента" (0) - точно откроют
64 Garykom
 
22.06.16
22:40
(62)+ И уже начать делать бэкапы.

ЗЫ Кстати придумал недорогую/надежную/шуструю систему бэкапирования, кому идею продать? Опытный образец работает.
65 kubik_live
 
22.06.16
22:40
(62) :))) И это правда! На том и консенсус! ©
66 Garykom
 
22.06.16
22:41
(64)+ Самое главное то забыл, система бэкапирования с защитой от доступа троянами.
67 kubik_live
 
22.06.16
22:43
(64) Я так понял, что на втором этапе шифровальщик начинает херачить всё попадя - архивы не архивы - ему до пи..ды.
68 kubik_live
 
22.06.16
22:43
(66) Вот это главное!
69 Сниф
 
22.06.16
22:44
А кто 1С крышует? Думаю, уже десяток крепких парней и пяток очкариков ищут злоумышленника. Через пару дней по ТВ покажут как его в кандалах в позе зю заталкивают в милицейский бобик.
70 Garykom
 
22.06.16
22:48
(68) Угу, причем внешне это обычный сетевой диск в локалке с доступом и на запись и на чтение.
Но пока места хватает ничего стереть/затереть низзя, как место скончается скоро то оно пищит и письма/смс/сообщения в телеграм пишет.
71 marvak
 
22.06.16
23:15
У нас бакапы скидываются на шифрованный трукриптом окуенно сложным паролем (18 цифробуквенных символов в разном регистре) диск, причем шифруется и сам архив (rar) потом все это дело скидывается в облако.
в облаке хранится история за 10 дней.
Месячные (прости хоспади) архивы хранятся тоже отдельно.
Периодически скачивается оттуда и проверяется на целостность.
72 Cyberhawk
 
22.06.16
23:18
(71) Что за облако? Цена вопроса и объем?
73 Garykom
 
22.06.16
23:18
(71) В облако каким способом кидается? Случайно не путем записи в папку которую клиент облачный синхронит?
74 marvak
 
22.06.16
23:26
(72)
майловское, объем небольшой, поэтому бесплатно или мало платят, точно не помню счас
(73)
кстати да...
надо проверить точно этот момент.
есть скрипт, который подключается к запаролированной общей папке и скидывает все туда. Это плохо?

зимой кстати бухша запустила полученного по почте шифровальщика, но НОД спас, причем НОД был хз давно не обновленный. Но трояна выцепил и пресек.
75 Garykom
 
22.06.16
23:30
(74) От тупого шифровальщика который может испортить только в момент работы скрипта может и спасет.

От умного взлома через троян с последующим изучением и зачисткой всего хакером нет.
76 marvak
 
22.06.16
23:32
(75)
Ну так то роутером с особыми разрешениями там все закрыто.
77 Garykom
 
22.06.16
23:34
(76) А как скрипт то доступ получает? И кто/что помешает хакеру подправить скрипт имея доступ к нему?
78 marvak
 
22.06.16
23:34
(76)+
Все подключения не отвечающие стандартным правилам с левых адресов отслеживаются и тут же дропаются.
79 marvak
 
22.06.16
23:36
(77)
Ну так то ничего не помешает.
80 Garykom
 
22.06.16
23:36
(78) Чего? Троян изнутри до адреса хакера сконнектится и обеспечит доступ. Как по тимвьюверу только скрытому.
Ammyy для этого любили одно дело юзать с ключиками.
81 Garykom
 
22.06.16
23:38
(79) Вот а (64)(66) спасет в этом случае.
Даже получив полный доступ хакер максимум что сможет это забив диск остановить процесс бэкапирования.
Админ увидев сообщения побежит разбираться кто тут хулиганствует.
82 marvak
 
22.06.16
23:41
(80)
Исходящие тоже. если троян пройдет по почте, то скорее всего все рухнет, останутся тока бакапы.
Извне все отслеживается и обрубается.
Бывший сисадмин пытался вскрывать полгода, ничего не получилось у товарища.
Когда я ему написал, что "какие то придурки пытаются долбиться на имена такие-то, но не знают, что эти имена давно переименованы", атаки сразу прекратились.
))
83 Garykom
 
22.06.16
23:42
(82) Исходящие если рубить то у вас по сути даже инета нет нормального.
И даже в этом случае троян легко может "по электронной почте" с создателем общаться.
84 marvak
 
22.06.16
23:45
(83)
не не
все отслеживается ежедневно.
даже ежечасно ))
опыт атак в 2014 году после увольнения бывшего админа сделал меня нервным и тревожным
85 Garykom
 
22.06.16
23:47
(84) Хорошо самый хреновый вариант взлома.
Сотрудник приносит свой личный смартфон и подрубает его к компу на зарядку.
А в компе дрова есть и в смартфоне использовать как модем стоит.
И дрова "специальные" в комп поставились для смартфона.
86 Garykom
 
22.06.16
23:48
(85)+ Или у вас все по нормам и USB порты закрыты и wifi закрыт и т.д.
87 marvak
 
22.06.16
23:56
(85)
в центре все возможности подключения к компам отключены.
филиалам разрешено только по РДП подключаться к сервакам.
88 Garykom
 
23.06.16
00:00
(87) Вот это уже ближе к мероприятиям по защите ПДн
89 marvak
 
23.06.16
00:02
Но я проверю еще раз, ибо ты меня заинтриговал.
Всяко есть уязвимости, надо проверить еще раз.
90 DrZombi
 
23.06.16
06:59
(20) С этим режимом только работать ни как...
Да и то все стартует со стороны самой обработки :)
91 Провинциальный 1сник
 
23.06.16
07:02
Нужен не бэкап, а версионная файловая. Та же ntfs с теневыми копиями. Или линуксовая btrfs с автоматическим созданием снапшотов.
92 ildary
 
23.06.16
07:05
(89) безопасности много не бывает
93 Mikeware
 
23.06.16
07:06
(92) с другой стороны, стоимость защиты, охраны и обороны не должна превышать стоимости объекта защиты.
94 dmpl
 
23.06.16
08:07
(22) 1Сники ленивые и жадные. Так что с какого фига они будут что-то бесплатно писать? Заплатили - написали.
95 Mikeware
 
23.06.16
08:10
(94) а как же теорема БЖ-Соболя?
96 vde69
 
23.06.16
08:14
(89) есть такая древняя утилита от мелкософта, называется типа базалайн, запусти на одном из локальных компом на часок, будешь удивлен состоянием безопасности...

утилите лет 20 уже, правда периодически новые версии клепают, сейчас поищу...
97 vde69
 
23.06.16
08:16
98 kumena
 
23.06.16
08:42
> понимаешь - заставка с кошками на трояне - не случайно, это подсознательное...

Место встречи изменить нельзя!
99 kumena
 
23.06.16
08:44
ха, ща без проверки кода никто чужие обработки запускать не будет!
это пи..ц инфостарту!
100 vde69
 
23.06.16
08:48
(99) я давно уже проверяю чужой код перед использованием... уже лет 8 наверно...

доверяю только оф релизам 1с.
101 vde69
 
23.06.16
08:49
(100) + и кстати несколько раз находил закладочки... пример в (9)
102 Fish
 
23.06.16
09:04
(99) (100) "Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. "
103 Mikeware
 
23.06.16
09:04
(32) заплатки будут закрепляться другими заплатками.
104 Serg_1960
 
23.06.16
09:08
(9) Ха, а что ещё есть идиоты, которые верят всему написанному автором в его постах-саморекламе? Читаешь описание к обработке - автор просто-таки гуру 1С, а читаешь код его обработки - студент-недоучка, мелкий вредитель.
105 Serg_1960
 
23.06.16
09:08
тьфу, пост к (99)
106 Mikeware
 
23.06.16
09:09
(104) ну почему уж сразу "мелкий вредитель"?
107 vde69
 
23.06.16
09:14
(102) такой модуль удаляю и все...
108 Garykom
 
23.06.16
11:17
(91) Оно и есть версионная файловая, но для использования внешне просто обычный диск/каталог/общая папка для бэкапов. Вся версионность внутри спрятана.
Управление нажатием кнопочки (показываются папки с версиями старыми), записью специальных командных файлов или вебфейс.
109 Garykom
 
23.06.16
11:23
(108)+ Пока главный минус не реализовано экономия места например при простом переименовании файлов.
110 Зая Бусечка
 
23.06.16
11:23
(107) в офрелизах от 1с тоже есть закрытые модули
111 vde69
 
23.06.16
11:33
(110) несколько релизов были, сейчас вроде все открыто...
112 Tateossian
 
23.06.16
11:36
Хочу увидеть этот вирусняк. Дайте, у кого есть посмотреть.
113 Garykom
 
23.06.16
11:41
(112) К автору обратись ))
114 Garikus
 
23.06.16
11:44
(112) На базах своих потестить хочешь?))) Бекапы тока предварительно удали, чтоб эффект круче был))
115 Aleksey
 
23.06.16
12:02
(111) До сих пор есть. В основном это "платные" модули например модуль работы по подписки 1С:Контрагент

Например ОМ СверкаДанныхУчетаНДС - Текст модуля отсутствует
116 Звездец
 
23.06.16
12:12
на самом деле есть у кого?
собственно троян-шифровальщик drweb должен детектировать, так что не так страшно, но хотелось бы немного подробней узнать один нюанс: троян сидит в обработке в бинарном виде и оттуда выгружается или же обработка тянет его из интернета?
117 drumandbass
 
23.06.16
12:13
(0) я так понимаю сложно поймать вебу его можно было по тому что он использует внутри какие-то стандартные библиотеки шифрования, а код вызова все время меняется.

Для того чтобы такое не получалось нужно.
1. Запретить открытие внешних обработок.(файл)
2. Запретить работу обработок в не безопасном режиме.
3. Поставить на почтовый сервер компании avast или какой-то другой антивирус, который успешно на западе боролся с подобными RANSOME ware ///
118 Звездец
 
23.06.16
12:14
(116) если тянет из вне,  то защититься можно белым списком адресов, по которым можно ходить 1с, а вот если он внутри, то тут надежда на антивирусные компании, когда они научатся дедектировать такие объекты внутри обработки. И где запустится троян, пока я так понимаю на клиенте, но не вижу проблемы ему попасть на сервер
119 Звездец
 
23.06.16
12:16
(117) если и проверять почту то уж точно не авастом, да и в теле обработки пока что я так понимаю не детектируется он
120 drumandbass
 
23.06.16
12:18
(119) Звучит смешно конечно, но веб не обнаружил вирь который по почте кто-то прислал, аваст детектировал и удалил. При чем ситуация повторялась не раз. Я сам фанат веба с его рождения. Но аваст очень сильно удивил.
121 Звездец
 
23.06.16
12:21
(120) неверное больше случайность, потому как случаев проживания зверинца рядом с авастом в моей праки=тике наверное под тыщу штук. А его последние версии пытаясь защитить и промониторить сетевой трафик мешали работать банальному поиску в гугле, не  говоря уже о другом ПО.
122 drumandbass
 
23.06.16
12:23
а, еще на сервер 1с. поставить антивирь, опять же по скорости больше понравился аваст. пробовали каспера и веба еще каспер самый тормозной был (121) да я помню такое было лет 5  назад. сейчас качество поднял. да хрен с ним со всем пойду работать )))))
123 drcrasher
 
23.06.16
13:12
(28) докатились. вирусы уже БСП требуют
124 Бертыш
 
23.06.16
13:23
Давеча поймал вредонос который залезает в архиватор и далле ты отправляешь архивы, а он к ним дописывает себя преобразуя архив в exe Файл который выглядит как SFX архив однако это не SFX архив ибо WinRar вместо открытия пытается его исполнить. Архивы отправляемые чрез почту также обрастают дерьмищем. Разработан вредонос в Украине. Во всяком случае подцепил я его с украинского сайта. Прогоняю комп касперычем может возьмёт. Если не возьмёт придётся вспоминать хакерскую молодость и чистить руками. Если вычистить руками не удасться, то переставлю систему с чистого листа. По вирью по 1С всё общеизвестно и очевидно. Я в своё время и сам писал демки в которых внутри обработки на комп пользователя пролезает EXE шник который якобы вредонос. Технология то работы с компаоунд файлом в котором хранится вся начинка 1С известна. В том числе и без внешних компонент. Ну и технология инфицирования проста как три копейки.
Пролезает обработка.
Пользователь её открывает и из неё вылезает инфицированный EXE файл
Далее EXE файл делает на Вашем компе всё что душе его автора угодно.
Если автору угодно то он может инфицировать другие обработки и отчёты 1С.
Только я свою демку на эту тему не афишировал особо. Послал Касперскому. И потом радовался как ребёнок наблюдая как майкрософтовский антифирус, который как известно опирается на базы Касперского, стал вдруг залезать при проверке 1С овские обработки. Если есть язык и у языка есть функционал работы с файлами или упаси Бог вызова АПИ ОС, то вирус возможен. В своё время я описывал создание вирус на скриптовом языке антивирусных баз DRWEBa когда он решил у себя завести скриптовый язык как то для партнеров.
Тоже технология была элементарная. Описание вируса включало нахождение по сигнатуре и сценарий лечения. Расширение антивирусника должно было гавкать например на тогдашний command.com и под видом лечения оного собирать инфицированое бинарное приложение. Послле загрузки системы вредонос должен был вытащить оригинальный command.com из копии и инфицировать его уже бинарно. При этом расширение антивирусной базы должно было ругаться как на инфицированные на все неинфицированные файлы и наоборот.
Так что возможно всё. Если кому интересно могу переслать украинский вредонос, но лучше не стоит.
Шутка есть у пентатестеров и хакеров про вредоносы - если я коллекционирую вредоносные инфицированные файлы и случайно запущенный антивирусеник убил вылечив всю мою коллекцию файлов, то является ли антивирусник вредоносной программой?
125 Aleksey
 
23.06.16
13:44
По поводу обработок. Везде в качестве рекомендаций по настройки совместной работы антивируса и 1С как раз написано максимум исключения 1С в антивирус (это и исполняемые файлы и обработки и всякие темп от 1С). Так что ...
126 Jump
 
23.06.16
13:51
(120) А тут дело не в том какой антивирь лучше.
Тут вся фишка в том у кого сигнатура раньше появиться.
Если вирус новый - банально кому больше повезет.
Кто раньше столкнется, тот и будет детектировать.
127 Jump
 
23.06.16
13:59
(124) Это как понимать?  -"Файл который выглядит как SFX архив однако это не SFX архив ибо WinRar вместо открытия пытается его исполнить"

Любой SFX архив это исполняемый файл, и открыть его это значит выполнить.
А что выполнить - задается при создании, можно сначала распаковку архива запустить, можно перед распаковкой команду системы выполнить, или после распаковки.
Например заворачиваешь в SFX исполняемый файл, поручаешь ему запустить его при распаковке.
Пользователь кликает по архиву и запускается запакованная программа.
128 Asmody
 
23.06.16
14:48
Я не понял, 1С таки переходит в разряд "языков программирования"?
129 Asmody
 
23.06.16
14:50
А пришлите кто-нибудь, чисто позырить.
130 Asmody
 
23.06.16
14:51
(129)+ обещаю, что буду запускать в виртуалке под linux.
131 kumena
 
23.06.16
15:16
> Я не понял, 1С таки переходит в разряд "языков программирования"?

если я правильно понял, 1с только запускает, а сама ничего не делает. никто и раньше не запрещал запускать шифровальщики, только до текущего момента грамотный запускальщик никто не отважился написать.
132 kumena
 
23.06.16
15:19
+131 а чистно на 1с - обработка по раскорячиванию баз уже давно написана, кажется называется "сокрытие конфиденциальной информации", и все зависит от того, кто и когда её применяет.
133 Jump
 
23.06.16
15:51
(128) а раньше она не была языком программирования?
134 vde69
 
23.06.16
16:12
ОООО


в бух 3.0 появилась новость по сабжу, ко мне уже бухи прибежали....

вот она вирусня где :)
135 vde69
 
23.06.16
16:13
(134) +

то есть сидят они и работают в бух 3.0 вдруг окошко это открылось у всех :)
136 Garykom
 
23.06.16
16:24
(135) Не были в курсе про рекламу и даже управление БП3 удаленное прямо из офиса 1С?
137 ildary
 
23.06.16
16:25
(135) в БП3 есть окно новостей - наверное 1С туда вывело эту новость.
138 vde69
 
23.06.16
16:26
(136) мне на это пофиг, там где задача стоит сделать запреты - там делаю...
139 1cVandal
 
23.06.16
17:10
(131) по контрагентам и их контактной информации бегает таки  из 1с
140 Gunner
 
23.06.16
17:30
Кто-нибудь код уже видел?
141 Aleksey
 
23.06.16
17:43
(140) https://st.drweb.com/static/new-www/news/2016/june/1c_5.png

Или код чего обработки?
142 jk3
 
24.06.16
11:46
(141) Если это реальный кусок кода этой обработки, то это какой-то школьник писал, который не знает о существовании функции КаталогВременныхФайлов()
143 Asirius
 
24.06.16
12:35
дроппер в epf это фигня.
Если впихнуть в XML
<ПередЗагрузкойДанных>
...
</ПередЗагрузкойДанных>
то можно автоматические обмены нагнуть
144 Cyberhawk
 
24.06.16
12:40
1C новость разослала во все типовые конфигурации на БСП.
Сижу такой, пилю ERP в демо-базе - прилетает новость.
Также повесили "баннер" на этот сайт:
https://releases.1c.ru/total
145 Tatitutu
 
naïve
24.06.16
21:19
146 Garykom
 
24.06.16
22:04
Проблема что вирусо писателя/распространителя/вымогателя реально не понимают.
Что бить то их будут не виртуально и закопают тоже реально.

А если сильно не повезет нарваться не на тех то живьем закопают.
Представьте что СБ крупной корпорации поймала такого(их) после ущерба на многие лямы и взять с этих убогого(их) нечего.
147 Kvant1C
 
24.06.16
22:23
(146) Что то мне подсказывает, что перед тем как закопать к ним применят вот такую штуку http://4.bp.blogspot.com/_dAK34vcK8Qc/TPqoY77MqSI/AAAAAAAAD1I/V563mD_zczw/s1600/thermorectal.jpg
148 Jump
 
24.06.16
22:27
(146)Вы таки думаете что основную массу шифровальщиков распространяют какие-нибудь студенты хорошо знающие IT?
Да нифига подобного.
Это серьезный криминальный бизнес, имеющий свои каналы отмывания денег.
И найти их не так то просто, а если кого то и поймают - то какого нибудь нарика, который попадется на обналичке.
Хозяевам бизнеса от этого ни горячо, ни холодно, их он не сдаст, ибо не знает, а нового нарика найти не проблема.
А если все-таки найдут хозяев - ну там еще можно посмотреть кто, кого закопает.
149 Jump
 
24.06.16
22:30
Как правило тот кто пишет вирусы, шифровальщики и аналогичный софт - никогда сам его не использует.
Он просто продает вирус, вместе с панелью управления и инфраструктурой за хорошие деньги.

А покупают его те, у кого есть возможность распространять, и главное выводить и обналичивать деньги, а потом их отмывать.
150 breezee
 
24.06.16
22:50
Почему так много паники? Это первый вырус, который распространяется через 1С? Странно, что раньше ни кто до этого не додумался... Может это какая-нибудь гипер пиар акция чтобы поднять продажи антивирусников?)
151 Garykom
 
24.06.16
23:27
(148) Гм да тут не поспоришь.
152 itlikbez
 
24.06.16
23:38
(146) Конечно. Раз нечего взять, тогда имеет смысл крупно потратиться.
153 DailyLookingOnA Sunse
 
25.06.16
16:24
1C-ные конфы стали лезть во все дыры, решая за пользователя, что ему нужно.
Вот и вирусы пошли.
Выдавать глобальные идеи — это удовольствие; искать сволочные маленькие ошибки — вот настоящая работа. Фредерик Брукс-младший