Просим всех пользователей 1С:Предприятия не открывать электронные письма с темой «У нас сменился БИК банка» и не запускать в программах 1С внешние обработки, полученные по электронной почте.
Даже если письмо с внешней обработкой пришло к вам от обслуживающего вас партнера 1С или другого хорошо вам знакомого контрагента – сначала свяжитесь с ним, проверьте, что он действительно направлял вам такую обработку, выясните, какие функции она выполняет до того, как ее запустить.
Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:
Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.
К письму прикреплен файл внешней обработки для программы 1С:Предприятие с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе 1С:Предприятие, на экране отобразится диалоговое окно:
Какую бы кнопку ни нажал пользователь, вирус будет запущен на выполнение, и в окне программы 1С:Предприятие появится форма с изображением забавных котиков:
В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией.
Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию.
Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия вируса разошлет по адресам контрагентов поврежденный EPF-файл, который программа 1С:Предприятие уже не сможет открыть. Вирус поддерживает работу с базами следующих конфигураций 1С:
- Управление торговлей, редакция 11.1
- Управление торговлей (базовая), редакция 11.1
- Управление торговлей, редакция 11.2
- Управление торговлей (базовая), редакция 11.2
- Бухгалтерия предприятия, редакция 3.0
- Бухгалтерия предприятия (базовая), редакция 3.0
- 1С:Комплексная автоматизация 2.0
После завершения рассылки вирус извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку.
К сожалению, в настоящее время специалисты компании Доктор Веб не располагают инструментарием для расшифровки файлов, поврежденных этой версией вируса, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении 1С:Предприятие, даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.