Архив новостей

22 июня 2016 г.

«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя

22 июня 2016 года

Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это — тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.

Распространяется в виде вложения в сообщения электронной почты с темой:

Subject: У нас сменился БИК банка

и следующим текстом:

Здравствуйте! У нас сменился БИК банка. 
Просим обновить свой классификатор банков. 
Это можно сделать в автоматическом режиме, 
если Вы используете 1С Предприятие 8. 
Файл — Открыть обработку обновления классификаторов из вложения. 
Нажать ДА. Классификатор обновится в атоматическом режиме. 
При включенном интернете за 1-2 минуты.

Вложенный файл имеет следующие имя и расширение: ПроверкаАктуальностиКлассификатораБанков.epf и представляет собой файл внешней обработки для программ семейства 1С:Предприятие. Тело модуля защищено паролем, сама форма имеет следующий вид:

При открытии файла внешней обработки в приложении «1С:Предприятие» отображается следующее диалоговое окно:

При нажатии пользователем любой кнопки троянец запускается на выполнение. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения определяется следующим кодом:

Текст = Письмо.Тексты.Добавить("Здравствуйте, у нас сменился БИК банка.
  |Просим обновить свой классификатор банков.
  |Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
  |Файл - Открыть обработку обновления классификаторов.
  |Нажать ДА. Классификатор обновится в атоматическом режиме.
  |При включенном интернете за 1-2 минуты.");
Письмо.Вложения.Добавить(ИмяФайла, "ОбновитьБИКБанка.epf";

Вместо адреса отправителя троянец использует адрес, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию.

Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть.

1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

  • «Управление торговлей, редакция 11.1»
  • «Управление торговлей (базовая), редакция 11.1»
  • «Управление торговлей, редакция 11.2»
  • «Управление торговлей (базовая), редакция 11.2»
  • «Бухгалтерия предприятия, редакция 3.0»
  • «Бухгалтерия предприятия (базовая), редакция 3.0»
  • «1С:Комплексная автоматизация 2.0»

По окончании рассылки троянец извлекает из собственных ресурсов и запускает на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.567.

– Мы больше не чувствуем себя «еще одной компанией», к нам относятся так, как будто мы – единственные и неповторимые! Анна Сергеевна, ООО «ЭСКО Север» Другие отзывы >
– Мы убедились в качестве предоставляемых бухгалтерских услуг: вся работа выполняется качественно и в срок. Анатолий Иванович, РПК «Зебра» Другие отзывы >

Тариф «Отчетность»

  • одна лицензия на право пользования «облачной» 1С:Бухгалтерией 8
  • ведение учета
  • составление и сдача отчетности через интернет
  • консультации по бухгалтерскому и налоговому учете

Тариф «Комплексный сервис»

  • одна лицензия на право пользования «облачной» 1С:Бухгалтерией 8
  • ведение учета
  • кадровый учет
  • расчет заработной платы
  • составление и сдача отчетности через интернет
  • ведение архива
  • услуги курьера
  • консультации по бухгалтерскому и налоговому учете

Новости

19 июня. Отгул — не повод снижать зарплату По желанию работника, работавшего в выходной или праздничный день, ему может быть предоставлен... Подробнее

18 июня.   Налог с доходов граждан за 2023 год нужно уплатить не позднее 15 июля Подходит время уплаты физлицами НДФЛ за 2023 год, указанный в... Подробнее

17 июня. Отпуск за свой счет в пределах 14 дней включается в стаж для предоставления основного отпуска В Роструд поступил вопрос, нужно ли для... Подробнее

Ещё →


Пользовательское соглашение
Политика в отношении обработки персональных данных