Письмо с вирусом для 1С имеет примерно следующее содержание. В теме указано «У нас сменился БИК банка», а текст гласит: «Здравствуйте! У нас сменился БИК банка. Просим обновить свой классификатор банков. Это можно сделать в автоматическом режиме, если Вы используете “1С: Предприятие 8”. Файл – Открыть обработку обновления классификаторов из вложения. Нажать ДА. Классификатор обновится в автоматическом режиме при включенном интернете за 1-2 минуты».
При запуске обработки из приложения, которая имеет имя «ПроверкаАктуальностиКлассификатораБанков.epf», появится диалоговое окно с сообщением «Классификатор банков устарел! Обновить?». Вне зависимости от того, выберет пользователь ответ «Да» или «Нет», вирус будет запущен на выполнение, а в окне программы появится форма с сообщением «Классификатор обновляется! Подождите…» и рисунком танцующих котиков.
Вредоносная активность заключается в двух аспектах: поиск в базе 1С контрагентов с последующей рассылкой им электронных писем и запуск троянца-шифровальщика Trojan.Encoder.567. «Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку», – сообщает антивирусологи, добавляя, что, «к сожалению, в настоящее время специалисты компании не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567».
Сообщается, что 1C.Drop.1 взаимодействует со следующими конфигурациями:
- «Управление торговлей, редакция 11.1»
- «Управление торговлей (базовая), редакция 11.1»
- «Управление торговлей, редакция 11.2»
- «Управление торговлей (базовая), редакция 11.2»
- «Бухгалтерия предприятия, редакция 3.0»
- «Бухгалтерия предприятия (базовая), редакция 3.0»
- «1С:Комплексная автоматизация 2.0»