Обнаружена первая вредоносная программа на русском языке

Обнаружена первая вредоносная программа на русском языке

22 июня, буквально неделю назад, инженерами Компании «Dr.Web» был обнаружен вирус-троян, представляющий собой шифровальщик, заражающий ПК с установленными бухгалтерскими программами от Компании «1С» и распространяемый посредством e-mail в среде зарегистрированных контрагентов.

Таким образом можно смело утверждать, что это первый случай, когда троянец использует встроенный язык программирования 1С, то есть де-факто написан на русском языке. Для запуска вируса на ПК данная вредоносная программа применяет методы социальной инженерии, на что указывает текст письма, отправляемого при заражении, с темой «У нас сменился БИК банка»:

Здравствуйте!
У нас сменился БИК банка. Просим обновить свой классификатор банков. Это можно сделать в автоматическом режиме, если вы используете «1С Предприятие 8».
Файл — открыть обработку обновления классификаторов из вложения. Нажать «Да».
Классификатор обновится в автоматическом режиме. При включённом интернете за 1-2 минуты.

После активации вирус 1C.Drop.1 сканирует в базе 1С все адреса e-mail и отправляет на них собственную копию. По завершению таковой рассылки запускается уже дополнительный вирус, шифрующий все важные документы на поражённом ПК. На данный время каких-либо средств для осуществления бесплатной расшифровки заражённых файлов не существует.

Хотя при отправке все e-mail и сканируются антивирусами, а в случае, если в электронном письме имеется исполняемый файл в формате EXE, то такое письмо не доставляется адресату. Но данный троян был создан, как программный модуль к программе 1C, а внутренности его файла были зашифрованы, ввиду чего антивирусы и не смогли своевременно определить вредоносность такого письма.

Вирус на русском языке -1

К вирусному письму прикреплён файл внешней обработки программы «1С: Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Если пользователь ПК будет следовать предложенным инструкциям, открыв этот файл в программе «1С: Предприятие», то на мониторе отобразится диалоговое окно:

Вирус на русском языке -2

После чего, какую бы кнопку ни нажал пользователь ПК, вирус всё равно уже будет запущен на исполнение, а в окошке программы «1С: Предприятие» отобразится форма с изображением танцующих котиков:

Вирус на русском языке -3

Следует отметить, что первые вирусы для программ «1С: Предприятие» были написаны ещё в 2005 году, но не имели реальной угрозы, так как создавались с академическими целями. Теперь же всё серьёзно и наверняка, в случае заражения Вам уже потребуется помощь специалистов!


  • Facebook
  • ¬контакте