Обнаружен новый вымогатель-шифровальщик для 1С

25.06.2016

Вымогатель шифрует файлы на системе и требует выкуп за расшифровку.

Компания «Доктор Веб» обнаружила опасный вредонос, нацеленный на пользователей бухгалтерского приложения 1С. Троян-шифровальщик детектируется антивирусом как 1C.Drop.1.

Вредонос распространятся по электронной почте, используя список контрагентов скомпрометированной системы. Зараженная система начинает рассылать письма с темой «У нас сменился БИК банка» и следующим содержанием:

«Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.»

Вместе с письмом распространяется вложение «ПроверкаАктуальностиКлассификатораБанков.epf». После запуска вложения вредонос начнет почтовую рассылку по контрагентам, а затем приступит к шифрованию файлов на диске. Шифровальщик определяется как Trojan.Encoder.567 по терминологии «Доктор Веб».

1C.Drop.1 умеет работать со следующими базами конфигураций 1С:

 

 

Источник: securitylab.ru