Одна из особенностей этой вредоносной программы состоит в том, что она полностью написана на русском языке, а точнее - на встроенном языке программирования 1С, который использует для записи команд кириллицу. 1C.Drop.1 распространяется в виде вложения в сообщения электронной почты с темой "У нас сменился БИК банка". К письму прикреплён файл внешней обработки для программы "1С:Предприятие" с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами не представляется возможным. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе "1С:Предприятие", на экране отобразится диалоговое окно с предложением обновить классификатор банков.
Вне зависимости от того, какую кнопку нажмёт пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы "1С:Предприятие" появится форма с изображением двух танцующих котов.
.png)
В это же время начинается, собственно, и сам процесс заражения компьютера. Первым делом зловред ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. В качестве адреса отправителя троянец использует e-mail, указанный в учётной записи пользователя 1С, но если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения 1C.Drop.1 прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Попытка открытия такого файла в приложении 1С, приводит к запуску на компьютере жертвы шифровальщика. Эта копия 1C.Drop.1 рассылает по адресам контрагентов повреждённый EPF-файл, который программа "1С:Предприятие" уже не сможет открыть.
После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567, который имеет несколько модификаций, шифрует хранящиеся на дисках заражённого компьютера файлы и требует выкуп за их расшифровку. В настоящее время не существует средств для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, в связи с чем "Доктор Веб" призывает пользователей проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении "1С:Предприятие".
|
Dr.Web 11 для Windows, Mac OS X, Linux
Арсенал комплексной защиты Dr.Web 11.0 обогатился рядом технологий, позволяющих усилить защиту от атак с использованием уязвимостей «нулевого дня» и других ухищрений, которые используют злоумышленники сегодня и будут применять в будущем.
|