Обнаружен новый вымогатель-шифровальщик для 1С

Компания «Доктор Веб» обнаружила опасный вредонос, нацеленный на пользователей бухгалтерского приложения 1С. Троян-шифровальщик детектируется антивирусом как 1C.Drop.1.

Вредонос распространятся по электронной почте, используя список контрагентов скомпрометированной системы. Зараженная система начинает рассылать письма с темой «У нас сменился БИК банка» и следующим содержанием:

«Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.»

Вместе с письмом распространяется вложение «ПроверкаАктуальностиКлассификатораБанков.epf». После запуска вложения вредонос начнет почтовую рассылку по контрагентам, а затем приступит к шифрованию файлов на диске. Шифровальщик определяется как Trojan.Encoder.567 по терминологии «Доктор Веб».

1C.Drop.1 умеет работать со следующими базами конфигураций 1С:

• "Управление торговлей, редакция 11.1"
• "Управление торговлей (базовая), редакция 11.1"
• "Управление торговлей, редакция 11.2"
• "Управление торговлей (базовая), редакция 11.2"
• "Бухгалтерия предприятия, редакция 3.0"
• "Бухгалтерия предприятия (базовая), редакция 3.0"
• "1С:Комплексная автоматизация 2.0"

Подробный анализ вредоноса доступен здесь .