Для «1С:Предприятие» появился опасный вирус-троянец

Компания «1С» сообщила со ссылкой на разработчиков антивирусов «Доктор Веб» о троянце 1C.Drop.1, который распространяется через электронную почту и запускает шифровщика-вымогателя.

Письмо с вирусом для 1С имеет примерно следующее содержание. В теме указано «У нас сменился БИК банка», а текст гласит: «Здравствуйте! У нас сменился БИК банка. Просим обновить свой классификатор банков. Это можно сделать в автоматическом режиме, если Вы используете “1С: Предприятие 8”. Файл – Открыть обработку обновления классификаторов из вложения. Нажать ДА. Классификатор обновится в автоматическом режиме при включенном интернете за 1-2 минуты».

При запуске обработки из приложения, которая имеет имя «ПроверкаАктуальностиКлассификатораБанков.epf», появится диалоговое окно с сообщением «Классификатор банков устарел! Обновить?». Вне зависимости от того, выберет пользователь ответ «Да» или «Нет», вирус будет запущен на выполнение, а в окне программы появится форма с сообщением «Классификатор обновляется! Подождите…» и рисунком танцующих котиков. 

Вредоносная активность заключается в двух аспектах: поиск в базе 1С контрагентов с последующей рассылкой им электронных писем и запуск троянца-шифровальщика Trojan.Encoder.567. «Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку», – сообщает антивирусологи, добавляя, что, «к сожалению, в настоящее время специалисты компании не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567».

Сообщается, что 1C.Drop.1 взаимодействует со следующими конфигурациями:

• «Управление торговлей, редакция 11.1»
• «Управление торговлей (базовая), редакция 11.1»
• «Управление торговлей, редакция 11.2»
• «Управление торговлей (базовая), редакция 11.2»
• «Бухгалтерия предприятия, редакция 3.0»
• «Бухгалтерия предприятия (базовая), редакция 3.0»
• «1С:Комплексная автоматизация 2.0»

Информационно-аналитический центр «Инфостарт» присоединяется к призывам не открывать письма вышеуказанного или похожего вида и не запускать полученные по e-mail внешние обработки – даже если у вас конфигурация, не указанная в списке, а само письмо пришло от надежного партнера. Обязательно свяжитесь с отправителем и уточните, действительно ли вам присылали такую обработку, и для чего конкретно она нужна.