Сообщаем Вам о первом троянце для программ 1С

Сообщаем Вам о первом троянце для программ 1С, запускающем шифровальщика-вымогателя. Его впервые обнаружила лаборатория «Доктор Веб» 21 июня 2016 года.

Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:

*******
Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл — Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.
*******

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем «ПроверкаАктуальностиКлассификатораБанков.epf». Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно с предложением обновить классификатор банков.

unnamed

Независимо от того, на какую кнопку далее нажмет пользователь, обработка будет запущена.

unnamed (1)

В первую очередь троянец найдет в базе 1С всех контрагентов с заполненными полями e-mail адреса и разошлет найденным адресатам свои копии. После завершения рассылки троянец запустит в системе скрипт-шифровальщик, который зашифрует все пользовательские данные, в том числе базы 1С, и запросит выкуп за расшифровку.

Ни в коем случае не запускайте обработки для 1С, присланные Вам по электронной почте.

Если Вы уже запустили обработку и Вас посетила мысль о ее вредоносном назначении, сразу же выключите компьютер (либо полностью завершите сеанс на терминальном сервере) и обратитесь в техническую поддержку. Не ждите, пока обработка выполнится.

Вред, нанесенный Вашим данным, может быть оценен в огромную сумму, 100 и более тыс.руб. Расшифровка без наличия ключа шифрования невозможна, следовательно, без оплаты вымогаемой суммы, способов вернуть зашифрованные данные на текущий момент не существует.

Подробнее о троянце можно прочитать на ресурсах компании «Доктор Веб»

Добавить комментарий