1C.Drop.1 - первый троян для 1С, запускающий трояна-шифровальщика Trojan.Encoder.567


1C.Drop.1 - троянская программа, заражающая компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного трояна-шифровальщика. Троян написан на встроенном языке программирования 1С, который использует для записи команд кириллицу.

1C.Drop.1 code

Распространяется троян 1C.Drop.1 в виде вложения в сообщения электронной почты с темой:

  • Subject: У нас сменился БИК банка


При этом текст данного сообщения следующий:

    Здравствуйте!
    У нас сменился БИК банка.
    Просим обновить свой классификатор банков.
    Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
    Файл - Открыть обработку обновления классификаторов из вложения.
    Нажать ДА. Классификатор обновится в автоматическом режиме.
    При включенном интернете за 1-2 минуты.


Также к письму прикреплен файл внешней обработки для программы "1С:Предприятие" с именем

  • ПроверкаАктуальностиКлассификатораБанков.epf.


Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. При открытии получателем данного файла в программе "1С:Предприятие", на экране отобразится диалоговое окно:

1C.Drop.1 obnovlenie klassifikatora bankov

Не зависимо от того, какую кнопку нажмет пользователь, 1C.Drop.1 будет запущен на выполнение. При этом в окне программы "1С:Предприятие" появится форма с изображением забавных котиков:

1C.Drop.1 process obnovleniya klassifikatora bankov

Параллельно с этим троян начинает свою вредоносную деятельность на компьютере. Сначала он осуществляет поиск в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения определяется следующим кодом:

Текст = Письмо.Тексты.Добавить("Здравствуйте, у нас сменился БИК банка.
    |Просим обновить свой классификатор банков.
    |Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
    |Файл - Открыть обработку обновления классификаторов.
    |Нажать ДА. Классификатор обновится в атоматическом режиме.
    |При включенном интернете за 1-2 минуты.");
Письмо.Вложения.Добавить(ИмяФайла, "ОбновитьБИКБанка.epf");

В качестве адреса отправителя троян использует e-mail, указанный в учетной записи пользователя 1С. Если таковой отсутствует, вместо него подставляется адрес 1cport @ mail . ru. Троян прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. При открытии пользователем такого файла в приложении 1С, также будет активирован шифровальщик. Однако, эта копия 1C.Drop.1 будет рассылать по адресам контрагентов поврежденный EPF-файл, который программа "1С:Предприятие" уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

  • "Управление торговлей, редакция 11.1"
  • "Управление торговлей (базовая), редакция 11.1"
  • "Управление торговлей, редакция 11.2"
  • "Управление торговлей (базовая), редакция 11.2"
  • "Бухгалтерия предприятия, редакция 3.0"
  • "Бухгалтерия предприятия (базовая), редакция 3.0"
  • "1С:Комплексная автоматизация 2.0"


Окончив рассылку, 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает трояна-шифровальщика Trojan.Encoder.567 - опасный энкодер, шифрующий хранящиеся на дисках зараженного компьютера файлы, а затем требует выкуп за их расшифровку.

Примечательно, файлы, зашифрованные данным энкодером, на сегодняшний день расшифровки не подлежат.