俄罗斯犯罪分子利用俄罗斯当地的一款企业会计app文件感染高价值目标并且通过勒索软件锁定企业计算机。
1C是一种程序语言,允许开发人员使用西里尔字母和语言编写代码。1C是1C:Enterprise即俄罗斯市场中各种企业应用的框架的核心。俄罗斯恶意软件开发人员使用1C编程语言创建了一款名为1C.Drop.1的木马,专门在本地1C:Enterprise安装程序下运行。
犯罪分子使用垃圾邮件传播恶意有效负载。邮件使用的主题行为“我们的BIC已被修改”。BIC即企业身份代码,它是用于俄罗斯及其他国家金融交易中的常见身份代码。
邮件收件人可能认为他们的商业伙伴正在更新BIC。邮件附件是一个名为ПроверкаАктуальностиКлассификатораБанков.epf的文件。EPF是1C:Enterprise软件所使用的文件扩展之一,而收件人可能认为它是一款更新1C:Enterprise数据库的自动脚本。
运行文件后会显示出一条提示信息。不管用户点击了“是”还是“否”,1C.Drop.1恶意软件都会执行并展示两只猫跳舞的载入图。
当受害者意识到出现问题时,1C.Drop.1已经被下载而且安装了名为Trojan.Encoder.567的勒索软件变体。安全公司Dr.Web发现了这起攻击活动,表示如不支付赎金将无法解密该数据。
由于1C.Drop.1是用1C编写而成,因此它能够连接到公司的1C:Enterprise软件的本地安装中,偷窃通讯录并且将带有木马副本的垃圾邮件发送到公司的地址薄中。
Dr. Web表示1C.Drop.1跟1C:Enterprise软件的数据库可一起运行如Trade Management 11.1、Trade Management (basic) 11.1、Trade Management 11.2、Trade Management (basic) 11.2、Accounting 3.0、Accounting (basic) 3.0、和1C:Comprehensive Automation 2.0。