«Листи щастя» з вірусом нібито від податкової вбивають всю інформацію тернопільських фірм

Так виглядає екран після зараження вірусом

Бухгалтерам тернопільських підприємств надсилають листи нібито від фіскальної служби.

Протягом листопада принаймні чотири місцевих підприємства втратили значну частину своєї електронної документації та бухгалтерських даних, ставши жертвами нападу хакерів.

Необачно відкривши електронні листи, нібито від працівників Державної фіскальної служби, їх працівники інфікували свої комп’ютери небезпечним вірусом, який заблокував доступ до різноманітної інформації, але  що най важливіше до бухгалтерії підприємства.

• Того дня до нас надійшло дуже багато кореспонденції, і той злощасний вірус теж, - розповів бухгалтер одного із дистриб’юторів фармацевтичної продукції у Тернополі Ігор Козак (ім’я чоловіка змінене на його прохання – прим. авт.) - Бухгалтерам на електронку протягом дня надходить дуже багато листів. Там і документи від партнерів, і рекламні пропозиції, різноманітні публікації спеціалізованих і галузевих видань, скарги клієнтів – словом, вал листів - звичне явище.

Вірус, який шифрує всі файли

Особливо ніхто не приглядається до адрес їх відправників та вмісту, на це просто не має часу, каже пан Ігор. І того разу бухгалтер без всяких підозр відкрив лист, тема якого обіцяла  ознайомити із інформацією про зміни у поданні даних підприємців до податкової служби.

- Зараз досить часто виникають нові нюанси у податковій звітності, для бухгалтерів звична практика отримувати листи від фіскалів із різного роду роз’ясненнями та застереженнями, тому цей лист не викликав у мене перестороги, - розповів пан Козак. - Більш того, до нього була прикріплена програма, яка мала б спростити надсилання даних підприємців до податкової, що, звісно, зацікавило мене.

Після запуску цієї програми комп’ютер був інфікований вірусом, який заблокував доступ до всіх текстових документів і графічних зображень, що зберігалися на жорсткому диску, а робочий стіл комп’ютера прикрасила заставка.

Як згодом пояснили чоловікові програмісти, яких терміново викликали керівники компанії, -  комп’ютер був інфікований вірусом Trojan-Ransom.Win32.Rector, який зашифрував усі файли.

• Вони ще багато чого розповідали про формати і шифрування даних, але єдине, що я зміг зрозуміти - відновити доступ до файлів ні їм, ні кому небудь із їх колег не вдасться, - згадував пан Ігор. - Форматування диску і встановлення якісного антивірусу – єдине, що вони спромоглась запропонувати нам.

Найгірше в цій ситуації те, що всі дані 1С:Бухгалтерії  були безповоротно втрачені, каже бухгалтер. Хто стикався із веденням бухгалтерського обліку, зрозуміє, це - трагедія для бухгалтера. Як і те, скільки зусиль та видатків потребує відновлення втраченого масиву даних.

• Це вже сьогодні я розумію, що фіскальна служба не може розсилати листи із російського поштового сервісу mail.ru, але ця наука далася дуже дорогою ціною, - констатує пан Ігор.

Випадки ураження вірусом почастішали

Як виявилося, аналогічні листи отримали принаймні ще три місцевих підприємства, чия інформація була теж повністю заблокована. Сценарій той же: бухгалтери отримували листи із російських поштових скриньок і необачно запускали «вкрай потрібну» програму.

У компанії «Волошин», яка працює на ринку автоматизації управління бізнесом за допомогою програм 1С, і на постійному супроводі якої перебуває більше 300 компаній, підтвердили інформації про розсилку вірусу.   

• Декілька клієнтів звертались до нас за допомогою після ураження їхніх комп’ютерів  небезпечним вірусом, - підтвердила Галина Костецька, керівник відділу маркетингу компанії «Волошин». - Протягом кількох останніх місяців випадки ураження вірусом почастішали. І нам довелось відновлювати роботу уже кількох підприємств.

Це було зовсім не складно, кажуть спеціалісти, адже кожен пакет послуг на супровід 1С, скажімо, від компанії «Волошин» передбачає сервіс «автоматичного налаштування архівних копій».

• В результаті, весь час потрачений на відновлення - це 10 хв. на  розархівування баз і ще 20 хв. на внесення даних в програму за кілька останніх операцій перед ураженням, - каже Галина Костецька. - Тому, щоб передбачити такі негативні наслідки, ми радимо обов’язково дотримуватись порад і уважно вибирати компанії, що супроводжують 1С.

До поліції не звертаються. А даремно

Ані фірми, ані підприємці, ані окремо бухгалтери про вірусні атаки поліцію не повідомляли.

Про це повідомив заступник начальника Подільського регіонального управління кіберполіції Георгій Кондратюк.  

• З цього приводу ніхто до кіберполіції не звертався, - каже пан Георгій. - Але це глобальна свідома розсилка шкідливого програмного забезпечення. І за таке існує  кримінальна відповідальність за ст. 361 Кримінального кодексу України.

Йдеться про несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку. Санкція статті передбачає від штрафу – до шести років позбавлення волі.

• Користувач сам запускає цей вірус, тому що заходить на посилання, якого не знає, - каже Георгій Кондратюк. – Перша порада: ніколи не відривати листи з адрес, яких ви не знаєте. І не переходити за невідомими посиланнями, тим паче, коли є розширення «ru», яке вказує на країну і, відповідно, російський сервер.

Якщо все ж таки ви вхопили вірус, звертайтесь до поліції – повідомляйте на 102.

• Все, що відбувається, - через погані антивірус, захист самого браузера або електронної пошти, - пояснив пан Георгій. – Частково захистить якісна антивірусна програма. Яку треба вчасно оновлювати.

Довідка

Як відбувається ураження?

Троян  1C.Drop.1, досліджений спеціалістами антивірусних програм, самостійно розпаковується по електронній пошті серед зареєстрованих в базі контрагентів, уражує комп’ютери з встановленими бухгалтерськими програмами 1С і запускає на них небезпечного трояна-шифрувальника, який паралізує роботу.

Вірус розповсюджується не тільки у Тернополі, і найгіршим є те, що ефективних засобів боротьби з ним не існує. Вже відомі випадки, коли компанії для отримання коду доступу до своєї бази і відновлення роботи всього підприємства платили чималі кошти.

Як запобігти вірусу?

1. При виявлені підозрілого листа, навіть з відомих адрес контрагентів, його негайно потрібно видалити.
2. Не запускати в програмах 1С зовнішні обробки, які надійшли електронною поштою.
3. Встановити антивірусний захист.
4. Обов’язково налаштувати автоматичне архівування важливих даних, але на окремий носій, відмінний від того, де зберігається ця інформація.
5. Друкувати первинні бухгалтерські документи, щоб в разі ураження було з чого вносити дані в програму.

Приклад листа з вірусом, які отримали тернополяни:

Тема листа: "У нас сменился БИК банка"

Текст листа: Здравствуйте!

У нас сменился БИК банка.

Просим обновить свой классификатор банков.

Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.

Файл - Открыть обработку обновления классификаторов из вложения.

Нажать ДА. Классификатор обновится в автоматическом режиме.

При включенном интернете за 1-2 минуты.

Стежте за новинами Тернополя у Telegram.