Обнаружен первый троянец для 1С, запускающий шифровальщика–вымогателя

Опубликовано: 24 июня 2016 г., пятница

Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца–шифровальщика.

Вредоносные программы, при создании которых вирусописатели использовали какую–либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец–дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые. 

Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка».

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно:

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков

В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Вместо адреса отправителя троянец использует e–mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF–файл, который программа «1С:Предприятие» уже не сможет открыть.

1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

  • «Управление торговлей, редакция 11.1»
  • «Управление торговлей (базовая), редакция 11.1»
  • «Управление торговлей, редакция 11.2»
  • «Управление торговлей (базовая), редакция 11.2»
  • «Бухгалтерия предприятия, редакция 3.0»
  • «Бухгалтерия предприятия (базовая), редакция 3.0»
  • «1С:Комплексная автоматизация 2.0»

После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца–шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку.

К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов. 

Источник: drweb.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

В Cisco Systems Inc. создают самообороняющуюся сеть для выявления киберугроз

В Cisco Systems Inc. работают над созданием умной системы выявления вредоносного ПО на базе искусственного интеллекта. дальше »

Будущее видео за мобильными устройствами

60% респондентов назвали смартфон основным устройством для просмотра видео, говорится в отчете по результатам опроса, проведенного консалтингово–аналитической компанией PwC. дальше »

Данные 9,5 миллиона пользователей Lynda.com могут быть скомпрометированы

Примерно у 9,5 миллионов пользователей образовательного интернет-ресурса Lynda.com есть явный повод для беспокойства. дальше »

Предстоящий запуск европейской навигационной системы Galileo

Европейская спутниковая навигационная система Galileo будет запущена уже в четверг. дальше »

Мошенники переключились на подделку сообщений от Amazon

ESET: в ходе новой фишинговой кампании мошенники добывают личные данные клиентов, рассылая от лица интернет магазина письма о несуществующей проблеме с заказом. дальше »

Обновленная версия iTunes 12.5.4 с поддержкой приложения TV

Вместе с обновлением настольной операционной системы macOS Sierra Apple выпустила и новую версию своего медиакомбайна iTunes. дальше »

Google анонсировала новую ОС для интернета вещей

Google представила Android Things — новую платформу для интернета вещей, созданную на основе Project Brillo. дальше »

Домены .VIP, .CLUB и .XYZ согласны играть по китайским правилам

Министерство промышленности и информационных технологий КНР сообщило о выдаче лицензий на ведение бизнеса в стране трем зарубежным регистратурам – Minds+Machines, .CLUB Domains и XYZ.com (точнее – их зарегистрированным в Китае дочерним структурам). дальше »

Широкополосный доступ в интернет жизненно важен для жителей Великобритании

Исследование, проведенное в Великобритании, пришло к выводу, что девять из десяти человек считают, что широкополосный доступ в интернет имеет важное значение для их повседневной жизни наряду с другими предметами первой необходимости. дальше »

Во Франции запретят рекламу в телепередачах для детей

Парламент Франции окончательно утвердил запрет рекламы в детских программах государственного телевидения с 2018 года. дальше »