Ученые противовирусной компании «Врач Интернет» сообщили об отличительных чертах троянца 1C.Drop.1, который нацелен на ПК контрагентов с поставленными бухгалтерскими дополнениями 1С.

Одна из отличительных черт данной вредной платформы заключается в том, что она целиком опубликована на российском языке, а конкретнее — на интегрированном языке программирования 1С, который применяет для записи команд кириллицу. 1C.Drop.1 разносится в качестве вложения в сведения e-mail с проблемой «У нас поменялся БИК банка». К посланию прикреплён документ внутренней обработки для платформы «1С:Предприятие» под названием ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля предохранено паролем, из-за этого посмотреть его начальный код обычными средствами не представляется вероятным. Если получатель такого послания последует представленным наставлениям и раскроет данный документ в платформе «1С:Предприятие», на дисплее отобразится интерактивное окно с предложением обновить классификатор банков.

Независимо от того, какую кнопочку нажмёт клиент, 1C.Drop.1 запустят на исполнение, и в окне платформы «1С:Предприятие» будет выкройка со снимком 2-ух пляшущих котов.

В это время стартует, фактически, и сам процесс инфицирования ПК. Для начала зловред ищет в основе 1С контрагентов, для которых заполнены поля с адресом e-mail, и посылает по этим адресам послание с своей копией. В роли адреса отправителя троянец применяет e-mаil, обозначенный в учётной записи клиента 1С, но в случае если такой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В роли вложения 1C.Drop.1  прикрепляет к посланию документ внутренней обработки под названием ОбновитьБИКБанка.epf, имеющий его копию. Попытка открытия такого документа в дополнении 1С, ведет к запуску на ПК жертвы шифровальщика. Данная копия 1C.Drop.1 рассылает по адресам контрагентов повреждённый EPF-файл, который платформа «1С:Предприятие» не может раскрыть.

После окончания рассылки 1C.Drop.1 извлекает из собственных ресурсов, сохраняет на диск и пускает троянца-шифровальщика Trojan.Encoder.567, имеющий несколько версий, шифрует хранимые на дисках заражённого ПК документы и требует выкуп за их шифровку. Сейчас нет средств для расшифровки документов, испорченных данной модификацией Trojan.Encoder.567, в связи с чем «Врач Интернет» призывает клиентов показывать особенную внимательность и не открывать приобретенные по e-mail документы в дополнении «1С:Предприятие».