Пользователям 1С угрожает опасный троянец

Одна из особенностей этой вредоносной программы состоит в том, что она полностью написана на русском языке, а точнее — на встроенном языке программирования 1С, который использует для записи команд кириллицу, сообщает "3Dnews".

1C.Drop.1 распространяется в виде вложения в сообщения электронной почты с темой "У нас сменился БИК банка". К письму прикреплён файл внешней обработки для программы "1С:Предприятие" с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами не представляется возможным. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе "1С:Предприятие", на экране отобразится диалоговое окно с предложением обновить классификатор банков.

Вне зависимости от того, какую кнопку нажмёт пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы "1С:Предприятие" появится форма с изображением двух танцующих котов.

В это же время начинается, собственно, и сам процесс заражения компьютера. Первым делом зловред ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. В качестве адреса отправителя троянец использует e-mail, указанный в учётной записи пользователя 1С, но если таковой отсутствует, вместо него подставляется адрес [email protected]. В качестве вложения 1C.Drop.1 прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Попытка открытия такого файла в приложении 1С, приводит к запуску на компьютере жертвы шифровальщика. Эта копия 1C.Drop.1 рассылает по адресам контрагентов повреждённый EPF-файл, который программа "1С:Предприятие" уже не сможет открыть.

После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567, который имеет несколько модификаций, шифрует хранящиеся на дисках заражённого компьютера файлы и требует выкуп за их расшифровку. В настоящее время не существует средств для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, в связи с чем "Доктор Веб" призывает пользователей проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении "1С:Предприятие".

Фото: "3Dnews".