Украли базу 1с что делать
Как бухгалтеру защитить себя от кражи или изъятия базы 1С
Представьте, что у вас изъяли базу 1С, где ведется бухгалтерский учет, или украли часть финансовой информации оттуда. Согласитесь, это страшно. В статье разберем кто и почему может забрать базу 1С и расскажем как обезопасить себя и сохранить информацию.
Кто может изъять базу или украсть информацию
Как защитить свои данные и в случае нежелательного визита быть во всеоружии
Безопасность компании начинается с ответственности каждого сотрудника. Достаточно следовать простым правилам:
Если размещать 1С в сервисе 42Clouds, то сервера, на которых вы будете работать, в надежных руках инженеров и технических специалистов. Всегда будет свежий бекап базы. Вы сможете в любое время дня и ночи обратится в техподдержку и получить консультацию. И конечно у вас будет своя кнопка экстренного выключения 1С.
Сервис 42Сlouds позволяет размещать собственные 1С-ки, брать конфигурации в аренду и подключать другие полезные сервисы. Так можно расширить свой бизнес в несколько кликов без существенных капиталовложений.
Если при этом обучить работников соблюдать правила безопасности на локальных компьютерах, можно не беспокоиться о сохранности данных.
Трэш. Бухгалтеры платят выкуп: кому, за что и сколько
Уже несколько лет хакеры, применяющие вирус-шифровальщик, держат в страхе бухгалтеров.
На днях очередной жертвой злоумышленников стала участница группы «Красный уголок бухгалтера» на Фейсбуке.
Беда: вирус шифровальщик попал на сервер с данными ( в том числе база 1с). Есть тут такие кто сталкивался? Как лечились? Сколько стоили услуги. Офиц лицензия антивирус есть, в компанию направлен запрос но процесс очень долгий. А надо отправить ответ на требование ИФНС (получено было за день до беды)
Выход
Как показывает практика, цена варьируется от 15 до 50 тыс. рублей.
Причем после выкупа организации нередко подают заявление в полицию, но результата это не приносит. Неизвестно, насколько рьяно полицейские занимаются поисками преступника, но в конечном итоге наши читатели, которые обращались в МВД, констатируют нулевой результат.
Иногда пострадавшим помогает обращение к антивирусной компании. В этом случае удается получить ключ расшифровки, не прибегая к услугам вымогателей. Однако этот процесс может быть небыстрым, да и успех не всегда гарантирован. Кроме того, далеко не все компании используют в своей работе платные антивирусные программы.
Антивирусная компания нам не помогла, заплатили разработчику шифровальщика 50т
Была такая ситуация. Все айтишники оказались бессильны. Отправлять деньги хаккерам не рискнула. Погуглила — нашла услуги по расшифровке именно по моей проблеме. Возможно работают в паре — не знаю. Но 3 часа, 50 000 руб и всё ок.
Дело в том, отмечают коллеги, что если бы никто не платил, то хакерам и смысла не было шифровать. А так получается, что пока фирмы платят, злоумышленники будут продолжать наживаться, делая свое черное дело.
Откуда вирус
Как рассказывают наши читатели, в компанию приходят письма с названием «последние накладные» или «прошу проверить отчет», «акты сверки» и т.д.
Причем иногда на первый взгляд это письма с электронных ящиков действующих контрагентов. Бухгалтер может просто не заметить замену одной буквы или символа.
Я такой вирус сама запустила — его в виде ссылки прислали нам на рабочую почту в виде письма от контрагента с документами. По-хорошему, конечно, я могла бы распознать и не «тыкать». Там и контрагент был какой-то странный, и другие признаки. но руки мои быстрее сработали, чем голова. Этот вирус зашифровал мне абсолютно все на компьютере.
Как уберечься
Защита — только резервное копирование, хотя у нас был случай, когда хакер проник в сервер и прежде чем зашифровать данные, зашел на жесткий диск резервного копирования и удалил и там все.
Кроме того, очень важно ответственно подходить к вскрытию файлов, полученных по электронной почте. Невнимательность или излишнее любопытство кого-то из сотрудников компании, может обернуться огромной проблемой.
Ну и конечно не надо пренебрегать антивирусной защитой компьютеров.
А вам, уважаемые читатели, не приходилось проходить этот малоприятный квест по расшифровке файлов на компьютере? Делитесь своими историями.
СРОЧНО!
Успейте разобраться в ФСБУ 5/2019 «Запасы», пока вас не оштрафовали. Самый простой способ – короткий, но полный курс повышения квалификации от гуру бухгалтерского учета Сергея Верещагина
Тема: Хакерская атака. Потеряна вся 1С. Как объяснить ФНС, ПФР, ФСС.
Опции темы
Поиск по теме
Хакерская атака. Потеряна вся 1С. Как объяснить ФНС, ПФР, ФСС.
Как зафиксировать факт проникновения хакера? Собираюсь написать заявление в полицию, может уже кто-то писал, дайте, плиз, образец заявления, какой текст написать. Уже представляю, как полиция постарается отмахаться даже в попытке подачи заявления.
Кстати, было приложено к зашифрованным файлам письмо. с почтой хакера. понятно, что деньги будут просить. Но я еще не связалась с ними.
Мы готовы заплатить. Вопрос: если кто сталкивался, скажите, дешифратор (код/ключ разблокировки) высылали вам или только деньги получили и в ответ тишина? Вообще, не могу найти информацию, реально ли хакеры высылают пострадавшим дешифратор? На одном сайте только нашла, что «дешифратор выслали, даже дали советы по защите компа, Мы счастливы!» Но именно этот источник выглядит как самореклама самих хакеров.
А мне нужен ответ от обычных людей, попробовавших заплатить хакеру и результат какой.
Конфигурация 7 или 8?
База на сервере или на самом компе?
Лицензионный антивирус стоит?
конфиг 8. (8.2)
базы на компе (в офисе стоит), служил «сервером», один бух работал на нем, а я по удаленке входила и работала..
ативирус стоял Каспер, но бесплатная версия.
Компьютерщики говорят, восстановить невозможно. этот вирус новый.
поэтому два выхода: самый простой: заплатить хакеру. и это проще. директор согласен. Просто вопрос : пришлет ли хакер дешифратор? (восстановить всю бухгалтерию по 20 фирмам очень сложно). нас всего два бухгалтера.
и второй выход: как с ФНС и проч. в связи с утерей всей информации.
Компьютерщики говорят, восстановить невозможно. этот вирус новый.
поэтому два выхода: самый простой: заплатить хакеру. и это проще. директор согласен. Просто вопрос : пришлет ли хакер дешифратор? (восстановить всю бухгалтерию по 20 фирмам очень сложно). нас всего два бухгалтера.
и второй выход: как с ФНС и проч. в связи с утерей всей информации.
Пока не могу сказать с каким расширением. пишу из дома.
системник в офисе. сейчас бухгалтер доедет я попрошу сфоткать.
Подскажите, что именно сфотографировать? как папки зашифрованные выглядят?
Если шифратор спокойно закончил свою работу, то он отослал по мэйлу вымогателям ключ. В этом случае они вышлют Вам ключ для дешифровки после получения денег. Если в процессе шифрования был сбой и ключ не был сформирован, то вымогатели, естественно, ничего не смогут прислать после получения денег.
т.е. ключ выслать могут! уже хоть какая=то надежда!
Спасибо! свяжусь! отпишусь потом.
А им нет смысла не высылать ключ, если таковой у них есть. Они сами заинтересованы в том, чтобы сарафанное радио разносило по инету, что они «честные» вымогатели )
Вы же всё сделали наиболее плохо: ни бэкапов на флэшку, ни лицензионного антивирусника. Детский сад.
Никак. Ни фонды, ни ФНС это не интересует. Отчетность должна быть сдана в срок.
пытаюсь торговаться. жду ответа.
room111, Какая техподдержка при НЕлицензионке?
Можно поплакаться в налоговой и фондах они дадут последние отчеты.
При этом у нас вовсю процветают и сорм-2, и всякие управления с буквами, и «пакет яровой». и роскомпозор бдит и блокирует.
Возможно, что Вы уже решили задачу
Все базы 1С зашифрованы. За расшифровку вымогают деньги
Главбух рассказала, что на сервер проник хакер, после чего все папки с 1С зашифровались. К зашифрованным файлам было приложено письмо с указанием электронного адреса хакера. За расшифровку файлов с компании запросили денежное вознаграждение.
Но что делать, если победить это вирус не удастся, как сдавать отчеты? Эти мысли не дают покоя бухгалтеру. Вопрос. Впереди отчеты в ФНС, ПФР, ФСС.
Как зафиксировать факт атаки?
Как оповестить ФНС и проч., чтобы получить то ли отсрочку, то ли сдать годовую отчетность с данными только 4-го квартала. и не корректными данными за год. Понятно, что распечатаю из СБИСа предыдущие отчеты.
— Angelina V
Компьютерщики говорят, восстановить невозможно. этот вирус новый.
поэтому два выхода: самый простой: заплатить хакеру. и это проще. директор согласен. Просто вопрос : пришлет ли хакер дешифратор? (восстановить всю бухгалтерию по 20 фирмам очень сложно). нас всего два бухгалтера.
и второй выход: как с ФНС и проч. в связи с утерей всей информации.
— Angelina V
Между тем участники обсуждения огорчили бухгалтера, пояснив, что ни ИФНС, ни ПФР, ни ФСС не будут вникать в сложности компании и потребуют своевременной сдачи отчетов с достоверными данными.
Впрочем, бухгалтер вступила в переписку с вымогателями, пытаясь торговаться. Следите за продолжением этой детективной истории в теме форума «Хакерская атака. Потеряна вся 1С. Как объяснить ФНС, ПФР, ФСС».
Желаем нашим читателям никогда не попадать в такие передряги. Делайте резервное копирование базы, используйте лицензионные антивирусные программы, не открывайте файлы, вложенные в подозрительные электронные письма.
СРОЧНО!
Успейте разобраться в ФСБУ 5/2019 «Запасы», пока вас не оштрафовали. Самый простой способ – короткий, но полный курс повышения квалификации от гуру бухгалтерского учета Сергея Верещагина
Кибершпана атакует бухгалтерию. Разбор случаев атак на базы 1С
Все наслышаны про нашумевшие хакерские атаки на финансовые организации. Злоумышленники воруют миллионы долларов, их действия детально разбираются исследователями, целая индустрия кормится на средствах защиты от них. В мире офлайновой преступности тоже широко обсуждаются громкие убийства, а не мелкие кражи. Маленькие компании не представляют интереса для серьезного киберкриминала, но подвергаются они атакам не реже крупных банков. Обычно это различное вредоносное ПО, в частности вирусы-шифровальщики, вымогающие деньги за расшифровку файлов. Но встречаются и реальные «хакеры», которые хотят поживиться за счет незадачливых бизнесменов.
Недавно нам удалось изучить две скомпрометированные системы, на которые были осуществлены схожие атаки. На их примере рассмотрим, как действуют злоумышленники, и какие ошибки позволили им успешно проникнуть на серверы организаций.
Жертва 1
Небольшая компания (менее 50 сотрудников). 1 сервер под управлением Win 2008. На сервере установлена 1С Бухгалтерия, развернуты файловые шары. Домен не развернут, на АРМ и сервере используются локальные учетные записи для сотрудников. Бухгалтеры могут заходить из дома по RDP на сервер для удаленной работы в 1С. Администратор приходящий. В целом, картина довольно характерная.
В понедельник утром у бухгалтеров не стартует 1С. Такое бывает. По инструкции администратора бухгалтер заходит в папку с базами 1С, чтобы их «передернуть». Не знаю, что это за режим работы 1С, который требует «передергивать» базы, и что это вообще значит, но баз в папке не обнаруживается. Вместо них лежит файл «ЧИТАТЬ. txt». В нем написано (без всякого уважения к орфографии и пунктуации), что базы похищены. При желании вернуть базы предлагается обратиться по указанному email-адресу (в стиле vasyanpetrov2001@mail.ru).
Начинается паника. Администратор вызван в компанию и безуспешно пытается разобраться, что случилось, и восстановить работу системы. Директор пишет письмо хакеру. Хакер лаконично запрашивает IP-адрес сервера и требует затем 30 000 руб. за возврат баз. Честно говоря, мы полагали, что требовать должны на порядок больше, но злоумышленники, очевидно, лучше знают своих жертв.
Нашего специалиста попросили помочь. Администратор вернул сервер в офис из дома, куда он увозил его для анализа, и сам присоединился к нашему специалисту. Анализ жесткого диска показал, что восстановить удаленные базы уже затруднительно. Из-за многократного включения сервера, попыток восстановления бекапов и прочих манипуляций, удаленные файлы перезаписались новыми. Никаких следов заражения системы, руткитов и т.п. обнаружено не было. В логах (их не почистили) было ясно видно, что в пятницу вечером стартовал перебор логинов/паролей на RDP. В воскресенье незамысловатый пароль одного из бухгалтеров был подобран. Перебор продолжился и закончился только после логина злоумышленника на машину в ночь на понедельник.
Здравый смысл подсказывал, что логика «бизнеса» злоумышленника не предполагала возврата баз, да и вообще их копирования на удаленный сервер. Вирусам-шифровальщикам нужна хорошая репутация для роста платежей, так как они работают массово и жертвы могут почитать о них в интернете. Здесь же логично было на месте хакера просто потребовать еще денег после получения первого транша. Для проверки этой версии были запрошены данные из биллинга провайдера. Действительно, базы никто не скачивал. Их просто удалили. Общение с не уважающим Розенталя хакером, соответственно, было свернуто.
Дальнейшее исследование показало, что в панике все почему-то решили, что последний бекап был пару месяцев назад. Причем базы бекапа лежали на том же жестком диске, что и боевые базы, и были доступны хакеру, но он не удосужился их поискать. На самом же деле бекап был сделан за 1 рабочий день до взлома и информацию можно быстро восстановить. Все мысленно пожелали хакеру мучительной смерти и радостные разошлись.
Рекомендации, которые можно было бы дать пострадавшей компании (с учетом ее скромного размера):
Жертва 2
Крупная компания, располагающая серверы на коллокации в одном из коммерческих ЦОДов Москвы. От ЦОДа поступает информация, что с одного из белых IP компании фиксируется поток вредоносного трафика (подробностей не предоставили). Нас попросили помочь администраторам разобраться, что происходит.
Анализ показал, что трафик идет с виртуального сервера с консолью управления Антивирусом Касперского. Те, кто работал с этим продуктом, знают, что чаще всего контроль над консолью дает администраторские права на всех машинах, где установлен антивирус. Ясно, что седых волос от такой новости у группы администрирования сильно прибавилось. Немедленно был создан снимок виртуальной машины с сохранением данных оперативной памяти. После этого машину в рабочей сети погасили и начался анализ копии в изолированном сегменте.
Каково же было наше удивление, когда мы обнаружили, что взлом был также осуществлен через перебор пароля на RDP из интернета. Администраторы уверяли, что сервер в интернет не публиковался. Параллельно стали изучать последствия взлома и то, как RDP оказался доступен из внешней сети.
Второе выяснилось быстро. Оказалось, что сетевой администратор редактировал листы доступа (ACL) на граничном маршрутизаторе Cisco через консоль. После окончания работ он накатил ACL на интерфейс… наоборот. То есть входящий и исходящий были перепутаны местами, открыв полный доступ к набору серверов из интернета. Этого никто не заметил.
Пароль был подобран очень быстро. В компании была принята парольная политика, но тут про нее почему-то забыли. Затем на сервере были созданы 4 учетные записи с правами локального администратора (Adm1n, Default User, Register, ASPNET). Через какое-то время злоумышленник зашел под учеткой ASPNET. Не обнаружив баз 1С (далее станет ясно, как мы поняли, что здесь также орудовали охотники на 1С), хакер вручную открыл браузер, запустил speedtest.net для понимания пропускной способности канала к серверу, и залил на сервер утилиту для перебора паролей на RDP. Вручную пошаманив с настройками, хакер запустил атаку на внешние серверы. Никаких следов попыток развить атаку на внутреннюю сеть или воспользоваться консолью Касперского не было. Если бы злоумышленник хоть немного пораскинул мозгами, он бы смог в итоге вымогать у жертвы куда больше, чем 30 000 руб.
Для брута паролей использовалась утилита, скаченная с популярного «хакерского» форума. Хакер вручную загрузил словари для перебора и стартовал атаку. Перебор шел для учеток с говорящими именами: Администратор, User1, User2, Buh, Buh1, Buh2, Buhgalter, Glbuh.
Можно посмеяться над примитивностью подходов, полным отсутствием автоматизации и слабыми техническими знаниями взломщика, но все это оказалось достаточно эффективным. За время работы утилиты были взломаны 4 реальных сервера российских компаний (с паролями вроде 12345). Злоумышленник вручную заходил на взломанный сервер, с которого шла атака, и проверял улов, который складывался в файл в папке с утилитой.
В целом, компания сделала выводы после инцидента:
Заключение
Причиной обоих взломов являются скорее не жадные до легких денег скрипткидди, а безалаберность или ошибки самих администраторов. Будет возможность поживиться, найдутся и желающие. Особенно, если для этого не требуется особых усилий. Да и поверхностный подход к взломам можно объяснить не ленью и непрофессионализмом хакеров, а потоковым подходом к атакам: проще перебрать лишнюю сотню серверов, чем копаться с одним.
В любом случае, даже такие простые атаки могут стоить компании любого размера очень дорого. В оффлайне банки строят подземные сейфы, а на ларек на ночь вешают амбарный замок.
Нараспашку двери никто не оставляет. В интернете же до сих пор все несколько иначе. На радость злоумышленникам всех мастей и уровней профессионализма.