Российские хакеры нашли очередной способ доставить неприятности предприятиям и организациям, используя весьма популярное приложение 1С. В частности, речь идёт о программе 1C:Предприятие.
Используя язык программирования 1C, злоумышленники создали троян под именем 1C.Drop.1, который работает в 1C:Предприятие. Для распространения вредоносного кода используется спам-рассылка по электронной почте. Письма для привлечения внимания содержат заголовок вроде «Ваш БИК был изменён» (БИК - банковский идентификационный код). Получатели могут подумать, что это письмо от деловых партнёров и что необходимо обновить БИК. В письма вложен файл ПроверкаАктуальностиКлассификатораБанков.epf. EPF является одним из расширений программы 1C:Предприятие, что также призвано придать вложению большую достоверность.
При запуске файла появляется диалоговое окно, однако разницы между кнопками «Да» и «Нет» не существует - вредоносный код начинает свою работу и показывает экран загрузки, как на изображении выше. К моменту, когда пользователь что-то заподозрит, будет установлено приложение-вымогатель Trojan.Encoder.567. Компания Dr.Web говорит, что расшифровать зашифрованные им файлы без выплаты выкупа в настоящее время невозможно.
Приложение способно получить доступ к адресной книге и начать рассылку спама с приложением-вымогателем пользователям из неё. 1C.Drop.1 работает с базами данных Управление торговлей 11.1, Управление торговлей (базовая версия) 11.1, Управление торговлей 11.2, Управление торговлей (базовая версия) 11.2, Бухгалтерия 3.0, Бухгалтерия (базовая версия) 3.0 и 1C:Комплексная автоматизация 2.0.