Вымогатель шифрует файлы на системе и требует выкуп за расшифровку.
Компания «Доктор Веб» обнаружила опасный вредонос, нацеленный на пользователей бухгалтерского приложения 1С. Троян-шифровальщик детектируется антивирусом как 1C.Drop.1.
Вредонос распространятся по электронной почте, используя список контрагентов скомпрометированной системы. Зараженная система начинает рассылать письма с темой «У нас сменился БИК банка» и следующим содержанием:
«Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл — Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.»
Вместе с письмом распространяется вложение «ПроверкаАктуальностиКлассификатораБанков.epf». После запуска вложения вредонос начнет почтовую рассылку по контрагентам, а затем приступит к шифрованию файлов на диске. Шифровальщик определяется как Trojan.Encoder.567 по терминологии «Доктор Веб».
1C.Drop.1 умеет работать со следующими базами конфигураций 1С:
- «Управление торговлей, редакция 11.1»
- «Управление торговлей (базовая), редакция 11.1»
- «Управление торговлей, редакция 11.2»
- «Управление торговлей (базовая), редакция 11.2»
- «Бухгалтерия предприятия, редакция 3.0»
- «Бухгалтерия предприятия (базовая), редакция 3.0»
- «1С:Комплексная автоматизация 2.0»