Новости
23.06.2016
Пользователям 1С угрожает опасный троянец

Исследователи антивирусной компании «Доктор Веб» рассказали об особенностях троянца 1C.Drop.1, который нацелен на компьютеры контрагентов с установленными бухгалтерскими приложениями 1С.

Одна из особенностей этой вредоносной программы состоит в том, что она полностью написана на русском языке, а точнее — на встроенном языке программирования 1С, который использует для записи команд кириллицу. 1C.Drop.1 распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка». К письму прикреплён файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами не представляется возможным. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно с предложением обновить классификатор банков.

Вне зависимости от того, какую кнопку нажмёт пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением двух танцующих котов.

В это же время начинается, собственно, и сам процесс заражения компьютера. Первым делом зловред ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. В качестве адреса отправителя троянец использует e-mail, указанный в учётной записи пользователя 1С, но если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения 1C.Drop.1  прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Попытка открытия такого файла в приложении 1С, приводит к запуску на компьютере жертвы шифровальщика. Эта копия 1C.Drop.1 рассылает по адресам контрагентов повреждённый EPF-файл, который программа «1С:Предприятие» уже не сможет открыть.

После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567, который имеет несколько модификаций, шифрует хранящиеся на дисках заражённого компьютера файлы и требует выкуп за их расшифровку. В настоящее время не существует средств для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, в связи с чем «Доктор Веб» призывает пользователей проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие».

Корзина
В корзине нет товаров
Новости
28.12.2022
Microsoft вернула россиянам возможность скачивать Windows 10 и 11 с официального сайта без VPN
28.12.2022
Главные тренды фишинга в 2022 году
28.12.2022
Корпоративный фишинг и спам в 2022 году: всё чаще атакуют HR-специалистов и бухгалтеров
27.12.2022
Минцифры поддержало проект по развитию мобильной ОС «Аврора» за 480 млрд рублей
30.11.2022
«Доктор Веб»: обзор вирусной активности в ноябре 2022 года
28.08.2019
Специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца Win32.Bolik.2
28.08.2019
Компания «Доктор Веб» представляет новую лицензию для подписчиков услуги «Антивирус Dr.Web»
07.02.2019
Стали известны цены на платную поддержку Windows 7
06.02.2019
Обновление агентской части Dr.Web Enterprise Security Suite 11.0
05.02.2019
«Лаборатория Касперского»: Больше половины пользователей в России переживают за безопасность своих аккаунтов

Отправить
Наш опрос
В каком состоянии ваша компьютерная сеть?