Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył pierwszego trojana dla aplikacji księgowych 1C zdolnego do uruchamiania ransomware

22 czerwca 2016

Specjaliści Doctor Web przebadali trojana 1C.Drop.1 rozpowszechnianego poprzez e-maile wśród kontrahentów zarejestrowanych w bazie aplikacji księgowej 1C (oprogramowaniu używanym przez ponad 1000000 firm). Infekuje on komputery z zainstalowaną aplikacją księgową 1C i uruchamia niebezpieczny program ransomware. Jest to jeden z tych rzadkich przypadków, w których agresorzy tworzą złośliwą aplikację używając nowych technik lub rzadkich języków programowania.

Nie ulega wątpliwości, że 1C.Drop.1 jest pierwszym trojanem zanalizowanym przez naszych specjalistów napisanym w języku rosyjskim — będąc bardziej precyzyjnym, w wbudowanym w aplikację 1C językiem używającym do zapisu komend znaków Cyrylicy. Warto zauważyć, że złośliwe pliki dla produktów 1C potrafiące modyfikować lub infekować inne zewnętrzne mechanizmy przetwarzania danych są znane analitykom bezpieczeństwa Doctor Web już od 2005 roku, jednakże tym razem wykryli oni w pełni funkcjonalnego trojana typu dropper zawierającego program ransomware.

screen 1C.Drop.1 #drweb

Trojan jest dystrybuowany jako załącznik do wiadomości e-mail zatytułowanej “Our BIC code has been changed”:

Greetings!
Our BIC code has been changed.
Please update your bank classifier.
The classifier can be updated automatically in 1C Enterprise 8.
File – Open classifier update processor from the attachment.
Click YES to update the classifier automatically.
Within 1-2 minutes if there is Internet connection.

Ta wiadomość e-mail zawiera zewnętrzny moduł przetwarzania danych dla “1C: Enterprise” nazwany ПроверкаАктуальностиКлассификатораБанков.epf. Kod tego modułu jest chroniony hasłem — w ten sposób standardowe metody przeglądania plików nie mogą być użyte do wyświetlenia jego kodu źródłowego. Jeśli użytkownik uruchomi ten plik w trybie 1C:Enterprise, wyświetli się następujące okno:

screen 1C.Drop.1 #drweb

Naciśnięcie dowolnego przycisku w tym oknie uruchomi trojana 1C.Drop.1. Dodatkowo w programie 1C:Enterprise użytkownik zobaczy następujący obrazek:

screen 1C.Drop.1 #drweb

Tymczasem trojan rozpoczyna swoją złośliwą aktywność na komputerze. W pierwszym kroku przeszukuje bazę danych aplikacji 1C pod kątem kontrahentów z podanymi adresami e-mail, a następnie wysyła wymienione powyżej wiadomości tekstowe z załączoną do nich swoją kopią. Trojan używa jako adresu nadawcy adresu e-mail określonego w koncie ofiary w aplikacji 1C. Jeśli użytkownik nie określił swojego e-maila, trojan zastępuje go adresem 1cport@mail.ru i załącza plik zewnętrznego modułu przetwarzania danych pod nazwą ОбновитьБИКБанка.epf zawierający w sobie kopię trojana. Jeśli ten plik zostanie uruchomiony w oprogramowaniu 1C, to komputer będzie zaatakowany również i przez trojana ransomware, ale ta kopia 1C.Drop.1 wyśle kontrahentom uszkodzony plik EPF, którego nie da się otworzyć w programie “1C:Enterprise”. 1C.Drop.1 wspiera następujące bazy danych aplikacji 1C:

  • Trade Management 11.1
  • Trade Management (basic) 11.1
  • Trade Management 11.2
  • Trade Management (basic) 11.2
  • Accounting 3.0
  • Accounting (basic) 3.0
  • 1C:Comprehensive Automation 2.0

Następnie 1C.Drop.1 wypakowuje, zapisuje i uruchamia trojana ransomware Trojan.Encoder.567, który szyfruje pliki na dyskach i żąda pewnych sum pieniędzy za ich odszyfrowanie. Niestety Doctor Web nie opracował jeszcze metody na odszyfrowanie plików zaatakowanych przez to malware. Tym samym usilnie przestrzegamy przed otwieraniem jakichkolwiek załączników w aplikacji 1C:Enterprise, nawet jeśli zostały one otrzymane ze znanego adresu e-mail.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A