Вымогатель распространяется через email-рассылку в адрес зарегистрированных в системе контрагентов пользователей с темой письма «У нас сменился БИК банка».
Троянец почти на 100% написан на русском языке и основан на языке программирования 1С, в котором используются кириллические символы.
Профессионалы «Доктор Веб» нашла троянец 1C.Drop.1, который заражает компьютеры с установленными бухгалтерским программами 1С и запускает на них опасного троянца-шифровальщика.
Вне зависимости от того, какую кнопку нажмёт пользователь, 1C.Drop. В тексте письма содержится просьба открыть файл, прикреплённый к письму. В случае если в письме присутствует исполняемый файл в формате EXE, письмо не доставляется адресату. Сперва зловред ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. 1 будет запущен на осуществление, и в окне программы «1С:Предприятие»появится форма с изображением 2-х танцующих котов. 1 запустится на осуществление и начнет рассылать контрагентам такие же «вредные» письма. Он шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку.