Одним холодным вечером февраля, как только я завершил работу и решил прогуляться до дома, меня остановил громкий звонок. Я стараюсь быть на связи со своими клиентами всегда: в отпуске ли я или уже поздний вечер - неважно.
Испуганным голосом мне звонил Михаил, мой постоянный клиент. Он с порога сказал, что кассир при закрытии смены не смог зайти в 1С. Михаил испугавшись сел сам, попробовал войти и тоже уперся в ту же ошибку. И это не начало ужастика. Это история о том, как средний бизнес столкнулся с атакой на базу 1С.
Позже оказалось вот что. Один из сотрудников, пожалев денег на обращение к проверенным специалистам по 1С, решил поправить зависания в 1С самостоятельно. Почитал форум, нашел там архив файла, который, по заверениям комментатора, должен был решить проблему зависания 1С и “ускорить 1С в один клик”.
Позже, разбираясь в проблеме и проверяя каждый шаг вместе с сотрудниками Михаила, почти как детектив, я восстановил последовательность действий злоумышленников. И по чувству долга хочу рассказать эту историю так, чтобы уберечь своих коллег и клиентов.
Содержание
- Как вирус попадает в 1С?
- Что за вирусы и почему они так опасны?
- Как обезопасить ваши данные?
- А что наоборот не поможет спасти учет?
- Итоги
Как вирус попадает в 1С?
Самое обидное: в большинстве таких случаев никто не взламывает вашу 1С через какие-то уязвимости. Сотрудники сами приносят проблему в офис и устанавливают на компьютер.
Так и в истории Михаила в архиве сидел не ускоритель, а вредоносный вирус. На рынке давно есть схемы, где под видом активаторов и “лечилок” для бизнес-софта распространяют стиллеры (воруют пароли) и дальше передают доступы тем, кто уже запускает шифровальщик.
Почему злоумышленники орудуют именно на бухгалтерских и пользовательских форумах? Потому что там сидят люди, у которых:
- Есть доступы к банкам, ЭДО и почте
- В 1С и CRM есть данные о клиентах и денежных договоренностях
- Есть привычка сделать что-то срочно: “надо срочно закрыть смену, чтобы пойти домой”, “срочно закрыть месяц, чтобы не было штрафов”
Что за вирусы и почему они так опасны?
Есть два главных типа гостей, которые чаще всего попадают в учетные программы.
Первый - стиллер. Он может долго не палиться: программа будет работать как обычно, а вирус будет тянуть сохраненные пароли, токены, доступы, иногда переписки и файлы. Это самая мерзкая часть, потому что пользователь еще не знает, что его уже взломали.
Второй - шифровальщик. Он шифрует базу, сервер или рабочие папки и оставляет записку: заплатите, чтобы вернуть свои данные. Такой случай и был у Михаила.
Самое страшное, что многие узнают ценность резервных копий только в самый критический момент. И тогда выясняется, что копия либо старая, либо лежала рядом и тоже пострадала.
Как обезопасить ваши данные?
Тренд на безопасность в бизнесе появился не просто так для галочки. Вирусы и шифровальщики усиливают свои технологии и становятся все хитрее. Но хорошая новость в том, что безопасность не начинается с дорогих систем и сложной технички. Для малого и среднего бизнеса чаще всего хватает 5 базовых шагов:
1) Запрет на скачивание сторонних файлов
Любые ускорители, лечилки, активаторы, файлики и обработки с форумов должны быть под запретом у сотрудников. Еще лучше поставить системно запрет на скачивание файлов и отключение антивируса.
2) Настройка резервных копий
Копия должна быть свежей, храниться отдельно, например, на другом сервере, и иногда проверяться восстановлением.
3) Настройка прав пользователей и разделение ролей
Общие логины “касса/админ/директор” - это как один ключ на весь офис, который лежит под ковриком. Важно раздать необходимые права и выделить сотруднику отдельную учетку.
4) Использование лицензионного ПО
Нелицензионный софт чаще ставят из сомнительных источников, поэтому шанс занести вирус заметно выше. К тому же, для юрлиц это еще и риск получить штраф.
5) Своевременные обновления
1С выпускает обновления не только для отображения законодательных изменений, разработчики в каждой новой версии сильнее укрепляют безопасность системы.
А что наоборот не поможет спасти учет?
Когда база уже полетела, у жертв мошенников появляется две опасные идеи.
Первая: заплатить выкуп
Проблема в том, что вам могут не вернуть ничего, могут вернуть не все, а могут вернуть и прийти снова. Нет никаких гарантий и чеков из магазина.
Вторая: найти “специалистов”, кто расшифрует базу за предоплату
Если кто-то обещает за 15 минут и 10 тысяч рублей все вернуть, не задавая вопросов, не глядя на ситуацию - это мошенники в 99% случаев.
Нормальная работа выглядит иначе: диагностика, понятный план работ и оплата только за результат.
Итоги:
В истории Михаила чудес не случилось. Мы нашли резервную копию с прошлого месяца и подняли базу оттуда. Продажи не пострадали, но один месяц учета восстановить полностью уже не смогли. И не всем везет так, как Михаилу, в моей практике случалось разное.
Помните, что безопасность - это профилактика. Меры нужно предпринять заранее, пока все работает. А покупка лицензионной программы обходится все равно дешевле, чем восстановление учета, простой и разбор завалов.
Все, кто переживает за безопасность учета и не хочет однажды проснуться с шифровальщиком, могут прийти ко мне на аудит безопасности. Я проверю точки риска и настрою меры защиты, чтобы снизить риск заражения.