Появился новый троянец-вымогатель, созданный специально для пользователей популярного среди российских бухгалтеров приложения 1С. Зловреда обнаружили аналитики компании «Доктор Веб».

Троянец практически полностью написан на русском языке, точнее, на языке программирования 1С, в котором используются кириллические символы.

Вымогатель распространяется через email-рассылку в адрес зарегистрированных в системе контрагентов пользователей с темой письма «У нас сменился БИК банка». Текст письма способен легко ввести в заблуждение даже сведущего в кибербезопасности пользователя:

«Здравствуйте!

У нас сменился БИК банка.

Просим обновить свой классификатор банков.

Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.

Файл — Открыть обработку обновления классификаторов из вложения.

Нажать ДА. Классификатор обновится в автоматическом режиме.

При включенном Интернете за 1–2 минуты».

В сообщении содержится вредоносное вложение «ПроверкаАктуальностиКлассификатораБанков.epf», расширение которого легко спутать со всем знакомым PDF.

Если пользователь откроет вложение, запускается исполняемый файл 1C.Drop.1, а на время его выполнения на экране демонстрируется изображение котиков. Троянец не теряет времени и в ходе «обновления» рассылает другие письма с собственной копией по адресам из базы, используя в качестве отправителя электронный адрес жертвы.

По окончании рассылки запускается сам шифровальщик Trojan.Encoder.567, который шифрует файлы и требует выкуп за их расшифровку. Пока специалисты не смогли разработать дешифратор и призывают пользователей 1С проявлять бдительность.

Категории: Вредоносные программы, Главное, Спам