Будьте осторожны! Через электронные письма распространяется опасный вирус-шифровальщик

Выявлен опасный для 1С:Предприятия вирус - троянец, запускающий шифровальщика-вымогателя

Мы просим пользователей программы 1С:Предприятие не открывать электронные письма, содержащие тему письма "У нас сменился БИК банка". Не рекомендуется запускать в программе 1С те внешние обработки, которые были получены по электронной почте. Даже если Вы получили письмо с внешней обработкой от обслуживающего Вас партнера 1С или хорошо известного контрагента, необходимо сначала связаться с ним и проверить, действительно ли он направлял вам такую обработку. Постарайтесь выяснить, какие функции она имеет, перед тем, как ее запустить.

primer

Троянский вирус 1C.Drop.1, обнаруженный компанией "Доктор Веб", распространяется через электронную почту самостоятельно, сообщает компания 1С. Для этого используются  внесенные в базу контрагенты, происходит заражение компьютеров с установленными бухгалтерскими приложениями 1С, наблюдается запуск опасного троянца-шифровальщика на этих компьютерах. Достаточно редко появляются вирусы, при создании которых использовалась та или иная новая технология или редкий язык программирования. В данном случае это так. 

Как отмечают специалисты "Доктор Веб", 1C.Drop.1 является первым троянцем, попавшим в их вирусную лабораторию, который написан фактически на русском языке. Если точнее, то он создан на встроенном языке программирования 1С, использующем кириллицу для записи команд. Следует отметить, что вредоносные файлы для программы 1С, которые могли заражать или модифицировать иные файлы внешней обработки, изучаются еще с 2005 года. В то же время впервые специалисты стокнулись с полноценным троянцем-дроппером, который скрывает в себе опасного шифровальщика.

1

Обнаруженный троянский вирус распространяется как вложение в письмо электронной почты, имеющее тему "У нас сменился БИК банка". В качестве сопроводительного письма рассылается такой текст:

zdravstvuyte

 

 

 

 

 

 

 

 

 

К письму прикрепляется файл внешней обработки для программы "1С:Предприятие", имеющий имя ПроверкаАктуальностиКлассификатораБанков.epf. Тело самого модуля защищается паролем, в связи с этим нет возможности просмотреть стандартными средствами его исходный код. В случае, если получатель письма будет действовать в соответствии с предлагаемыми инструкциями и откроет данный файл в программе "1С:Предприятие", он увидит на экране диалоговое окно такого вида:

proverka_0

Далее при нажатии любой кнопки пользователем, произойдет запуск 1C.Drop.1 на выполнение. В окне программы "1С:Предприятие" отобразится форма с забавной картинкой:

klassifikator_0

В это время вирус уже начинает губительную деятельность на компьютере. В базе 1С он в первую очередь ищет контрагентов, для которых заполнено поле с e-mail. На эти адреса отправляется письмо с собственной копией. Содержание сообщения аналогично приведенному выше. В качестве адреса отправителя используется адрес почты, указанный в учетной записи пользователя 1С. Если почта не указана, вместо нее проставляется адрес 1cport@mail.ru. Во вложение к письму троянец прикрепляет файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Те пользователи, которые попытаются открыть подобный файл в приложении 1С, тоже пострадают от шифровальщика, запустившегося на их компьютере. Однако данная копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа "1С:Предприятие" открыть уже не сможет. Вирус 1C.Drop.1 поддерживает работу с базами следующих конфигураций:

  • "Управление торговлей (базовая), ред. 11.1"
  • "Управление торговлей, ред. 11.1"
  • "Управление торговлей (базовая), ред. 11.2"
  • "Управление торговлей, ред. 11.2"
  • "Бухгалтерия предприятия (базовая), ред. 3.0"
  • "Бухгалтерия предприятия, ред. 3.0"
  • "1С:Комплексная автоматизация 2.0"

1C.Drop.1 после завершения рассылки извлекает из собственных ресурсов, сохраняет на диск, а также запускает троянца-шифровальщика под названием Trojan.Encoder.567. Данный опасный энкодер, который имеет несколько различных модификаций, шифрует файлы, хранящиеся в зараженном компьютере, а затем требует за их расшифровку выкуп. Специалисты компании "Доктор Веб", к сожалению, пока не располагают необходимым инструментарием для расшифровки файлов, оказавшихся поврежденными этой версией Trojan.Encoder.567. В связи с этим пользователям необходимо проявлять особую внимательность и не открывать файлы, полученные по электронной почте в приложении "1С:Предприятие", даже если в качестве адреса отправителя указан известный получателю контрагент.

 

Проконсультироваться по любым вопросам и трудностям, связанным с программой 1С, Вы можете по телефону  +7(4012)520-818.