昨日、Doctor Webは、この種の暗号ウイルスの最初の出現を発表しました。 このマルウェアの独自性は、1Cプログラミング言語で書かれており、実際には1C:Enterprise 8クライアントアプリケーションの外部処理であるという事実にあります。幸いなことに、1Cが環境で使用されていなければ脅威はありません。 悪いニュースは、ロシアおよび海外の数十万の企業のように、まだ1を使用している場合、脅威は現実以上のものであるということです。
実際、 1C.Drop.1は名前が示すように、スタンドアロンの暗号化プログラムではなく、電子メールを介して被害者のコンピューターに侵入するドロッパーです。 ウイルスの動作に関する詳細は、 Doctor Webサイトで読む必要がありますが、簡単に言えば、次のことが発生します。 1sの外部処理である拡張子.epfのファイルがレターに添付されます。 ユーザーが手紙の指示に従って処理を実行すると、トピックの最初から面白い画像を楽しむことができます。その間、ウイルスはデータベースから電子メールフィールドで相手に自分自身を送信しようとします。 その後、実際のランサムウェアTrojan.Encoder.567が既に起動しています。
怠zyな管理者は、「pffff、SRP / Applockerは実行可能ファイルを起動させない」と言い、正しいでしょう。 実際、Trojan.Encoder.567は破壊的なアクションを引き起こすことはなく、最悪の場合、相手方にメールでマルウェアを送信したことを責めることになります。 これは間違いなく評判を高めるものではありませんが、少なくともそうではありませんが、血はほとんどありません。 しかし...リラックスする時間を待ちます。 これは、外部コンポーネントを使用してファイルを暗号化する最初のバージョンに過ぎません。暗号化ツール自体が1で記述されている場合はどうなりますか? そして、ここでは本当に不安になります。 1cは完全に承認されたアプリケーションであり、問題なく実行されるため、SRPは役に立ちません。 実際、外部処理はMS Officeマクロと比較できます。 1秒の暗号化器が(いつではなく、いつ)出てくると、彼は1つのアンチウイルスの形で空気障壁の邪魔をすることがわかります。 さて、情報セキュリティの問題におけるユーザーの認識に頼るのは特別な愚かさです。
基本的な解決策は、外部処理のインタラクティブな開始の禁止かもしれませんが、実際にはこれはまれです。 リスクを軽減するために、現時点では、ファイルシステムとネットワークリソースに対する権限が最大限に制限されているアプリケーションサーバーを介して、ターミナルサーバーで1秒間だけ作業することを考えています。 当然、誰もがそれを買う余裕はありませんが、まだ他のアイデアはありません。 たぶんあなたが表示されますか?
私は補足します:
BP3 / ZUP3の場合、外部処理をインタラクティブに開始する権利は次のとおりです。
-システム管理者(プロファイルでは選択されず、定義済みのアクセスグループ/プロファイル「管理者」に含まれるユーザーに割り当てられます)
-InteractiveOpeningExternalレポートと処理
-代表者の上書きによるオペレータ送信レポート
「完全な権限」と「管理」という役割だけでは、処理を開始できません。
したがって、プロセスの起動のインタラクティブな起動を禁止するには、 インタラクティブな外部レポートおよびプロセスを開く権限と、担当者を介してレポートを送信するオペレーター(再定義)が削除される新しいプロファイルを作成する必要があります。 「管理者」の権利は、 これがないと、たとえば銀行との交換を設定するなど、いくつかの必要なポークが利用できなくなりますが、この場合、ユーザーは自分で権利を設定できます。