Хотелось бы чтобы представители Медка проинформировали здесь этот вопрос так как есть 100 % уверенность в том что вирус пришел через обмен файлами ( налоговыми накладными ? ) через почту и был затянут Медком

для справки - на компьютере бухгалтера стоит официально купленный антивирус ESET и по настоянию специалистов медка сама папка медка была убрана в исключения чтобы антивирус медок не проверял

вот официальное объяснение появилось

[biz.liga.net]

Атака возникла из-за программы M.E.doc - Киберполиция

Киберполиция сообщила новые сведения о вирусной атаке на сети украинских компаний

Вирусная атака на украинские компании возникла из-за программы M.E.doc (программное обеспечение для отчетности и документооборота). Об этом Киберполиция сообщает на официальной странице в Facebook.

"Это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".
Обновление имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Большинство легитимных "пингов" (обращений к серверу) равна примерно 300 байт.
Этим утром, в 10:30, программу M.E.doc обновили. Обновление составляло примерно 333 кб, и после его загрузки происходили следующие действия:
- создание файла: rundll32.exe;
- обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP;
- создание файла: perfc.bat;
- запуск cmd.exe с последующей командой: / c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35 " ;
- создание файла: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
- создание файла: dllhost.dat.
В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry)", - уточняет Киберполиция.

Рекомендуется временно не применять обновления M.E.doc, которые предлагаются при запуске.

P S Уважаемые бухгалтера - все те кто пострадал от вируса - думаю есть смысл обращаться в суд для возмещения ущерба

у меня подруга-коллега вчера пострадала, комп навернулся полностью, черный экран и все
Медоком не пользуюсь, но нас вчера 15-00 предупредили, чтоб компы выключили, так мы домой пошли

но Медок опровергает эту информацию, сегодня где-то читала в новостях, что последнее обновление было 22.06.17, т.е. за пять дней до ЭТОГО дня. Хотя подруга говорила, что каждый день что-то грузится и действительно, что в антивируснике, при установке и настройке, настраивали, что б Медок работал.

Quote
buh!


но Медок опровергает эту информацию, сегодня где-то читала в новостях, что последнее обновление было 22.06.17, т.е. за пять дней до ЭТОГО дня. Хотя подруга говорила, что каждый день что-то грузится и действительно, что в антивируснике, при установке и настройке, настраивали, что б Медок работал.

Так обновлять не обязательно, достаточно проверить уведомления в Медке.

да, просто сделала запросы и получила ответы в Медке, и все накрылось. Так что хватит врать. Во всех пострадавших фирмах началось с бухгалтерии, а те работали в Медке.
Пусть те, кто работал в других аналогичных программах и схватил вирус, напишут.

[24tv.ua]
У Microsoft підтвердили, що через M.E.Doc сталася масована кібератака
==========================================================
и кто бы мог подумать, что такое может быть
а могло же случиться и с другими программами, ведь не в одном Медке бухгалтера работают и никто не может гарантировать 100% защиту
ужас просто, а ведь два дня осталось до заключительной регистрации налоговых выписанных до 15.06.17 и ровно столько же дней до окончаний полугодия и как теперь выходить из ситуации......

вот еще статья тех спеца
[medium.com]

копи пастну - на всяк случай если затрут

Серверы обновлений M.E.Doc оказались на хостинге WNet

Решил поковыряться в сетевой структуре сервиса M.E.Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.
Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост:
$dig -t any upd.me-doc.com.ua
; <<>> DiG 9.8.2rc1-RedHat-9.8.2–0.62.rc1.el6_9.2 <<>> -t any upd.me-doc.com.ua
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10
;; QUESTION SECTION:
;upd.me-doc.com.ua. IN ANY
;; ANSWER SECTION:
upd.me-doc.com.ua. 59 IN A 92.60.184.55
;; AUTHORITY SECTION:
com.ua. 66991 IN NS ho1.ns.com.ua.
com.ua. 66991 IN NS nix.ns.ua.
com.ua. 66991 IN NS ba1.ns.ua.
com.ua. 66991 IN NS k.ns.com.ua.
com.ua. 66991 IN NS sns-pb.isc.org.
Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.
В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.
Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?
Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги.
Ок, идем дальше, а на чьей площадке располагается этот хост для обновления такого критичного приложения, как M.E.Doc:
whois 92.60.184.55
[Querying whois.arin.net]
[Redirected to whois.ripe.net]
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See [www.ripe.net]
% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.
% Information related to ‘92.60.184.0–92.60.184.255’
% Abuse contact for ‘92.60.184.0–92.60.184.255’ is ‘abuse@wnet.ua’
inetnum: 92.60.184.0–92.60.184.255
netname: Wnet-Kiev-COLO
descr: Kiev colocation
country: UA
admin-c: WNET2-RIPE
tech-c: WNET2-RIPE
status: ASSIGNED PA
mnt-by: WNET-MNT
created: 2011–01–04T13:40:08Z
last-modified: 2011–01–04T13:40:08Z
source: RIPE
role: W NET NOC
address: Wnet LLC
address: Bohdana Khmelnitskoho 50-b
address: Kyiv, 01030
address: Ukraine
phone: +380 44 5900800
fax-no: +380 44 2892817
abuse-mailbox: abuse@wnet.ua
remarks: troubles: [support.wnet.ua]
remarks: troubles: noc@wnet.ua
Ба, знакомые все лица — это же WNet, которого недавно трусило СБУ ))) Именно тот WNet, которого поймали на левых интернет-канал в Крым. Ну конечно мы верим что это чисто коммерческий контракт был и ФСБ абсолютно никакого отношения к этому интернет-каналу отношения не имел, а WNet никакого сотрудничества с ФСБ РФ не вел ))).
Ау, WNet — неужели мы давали повод считать себя идиотами?
Интелект-Сервис «крест на пузе» клянется, что никаких апдейтов с вирусами он не выкладывал. Окей, я лично — верю. Потому что им и не надо было выкладывать. За них это сделали админы дата-центра WNet.
Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.
Итого: идеальное кибер-преступление.
Никаких следов, никаких взломов, никаких логов, предьявлять — нечего.
Идеально, но кроме одной мелочи. Если сопоставить лог обновления медка с зараженного, но восстановленного компьютера, с логами на серверах обновления медка, то легко будет выявить разницу — на бухгалтерском компьютере будут записи о скачке апдейта с вирусом, а на серверах медка таких обращений не будет. А это будет однозначным подтверждением того, что WNet «вмочил свои рога» в эту атаку по полной.
Напомню, что во второй половине марта Украина уже пережила одну атаку вируса XData. И тогда словацкая компания ESet обвинила в распространении этого вируса M.E.Doc через свои апдейты. Подробнее читайте здесь: [ain.ua]
Скорее всего то была пробная попытка использовать их сервис обновлений для распространения вируса. После этого они просто решили «поднакопить силы», что бы ударить массово, в строго определенное время.

P S Как вариант - убираете в антивирусе Медок из исключений , проверяете компьютер - если антивирус распознал медок как вирус - звоните в тех поддержку Медка и записываете все то что скажут работники тех поддержки 

Quote
KontoraB
P S Как вариант - убираете в антивирусе Медок из исключений , проверяете компьютер - если антивирус распознал медок как вирус - звоните в тех поддержку Медка и записываете все то что скажут работники тех поддержки 

так комп у бухгалтера уже не работает, поздно уже что-то включать-выключать, убирать и проверять
это разве что уже после восстановления....., но это ж нада все восстановить

Медок можно понять, огромное количество пользователей и все-таки они опровергают
[epodatok.com.ua]

Уважаемые бухгалтера - если у вас эта беда таки случилась - обязательно напишите заяву в полицию !!!

о там что на ваш комп произошла вирусная атака и вы далее не можете работать ( более красиво ваши юристы думаю могут оформить )

дабы далее избежать недоразумений с контролирующими органами ( в 2 х экз. - 1 в полицию а другой вам с отметкой принято )

Quote
KontoraB
Уважаемые бухгалтера - если у вас эта беда таки случилась - обязательно напишите заяву в полицию !!!

о там что на ваш комп произошла вирусная атака и вы далее не можете работать ( более красиво ваши юристы думаю могут оформить )

дабы далее избежать недоразумений с контролирующими органами ( в 2 х экз. - 1 в полицию а другой вам с отметкой принято )

А куда относить, по месту регистрации или по месту нахождения офиса? И нужно ли заключение еще каких-то специалистов?

акт выполненых работ с указанием вида работ можете потом донести к поданной заяве

Доброго дня

Можливо вже хтось зустрічав офіційні роз'яснення органів щодо заяви про втрату бази даних обліку ?

Яку саме заяву і куди подавати.

Що до неї необхідно додати та ін.

Комп у меня пострадал во время работы как раз с Медком 27 числа где-то в 13:30-13:40. Плюс все компы по локальной сетке, на которых был уставлен виндовс. Компы с юбунту не пострадали. Данным теперь можно сказать "досвидания", восстановить не реально. Да и с самим винчестером непонятно, что теперь делать. 30 числа позвонили на линию МВД, Приехали местные менты из райотдела, приняли заяву, сфотографировали, сказали до внесут все в "Єдиний реєстр досудових розслідувань", и этим будет заниматься киберполиция. И ВСЕ)) Тоже виню Медок.

ПС. Еще менты добавили, что таких заявлений по Украине очень много.

Quote
KontoraB
P S Как вариант - убираете в антивирусе Медок из исключений , проверяете компьютер - если антивирус распознал медок как вирус - звоните в тех поддержку Медка и записываете все то что скажут работники тех поддержки 

Не вариант, в поддержке сказали только ставить в исключение, по другому работать не будет.

ESET официально сегодня заявила что МЕДОС является вирусом

[www.welivesecurity.com]

Сервери M.E.Doc вилучили у справі про кібератаку

[www.bbc.com]

и как отсылать налоговые ?

Медок будет возмещать ущерб???? Сомневаюсь...
Давно нужно было переходить на Еком. На предыдущем месте работе работала с ними, бывшие коллеги говорят, что никаких проблем с вирусами нет. Надёжные ребята.

Решили новых ботов подключить? Что, не идут продажи?
Ну неужели нельзя без лжи обойтись? Неужели нельзя прямо сказать: "Мы - представители такой-то компании, предлагаем такую-то программу / сервис, может ответить на любые вопросы, форумчанам - скидка"?

Quote
olex
Решили новых ботов подключить? Что, не идут продажи?
Ну неужели нельзя без лжи обойтись? Неужели нельзя прямо сказать: "Мы - представители такой-то компании, предлагаем такую-то программу / сервис, может ответить на любые вопросы, форумчанам - скидка"?

Quote
Anna_Nik
Медок будет возмещать ущерб???? Сомневаюсь...
Давно нужно было переходить на Фуфлоком. На предыдущем месте работе работала с ними, бывшие коллеги говорят, что никаких проблем с вирусами нет. Надёжные ребята.

На каком предыдущем месте? Какие бывшие коллеги? Вы же работаете прямо там. Интересно, в Москве или в киевском офисе?
Уж хотя бы не врали....

_______________
Корисна інформація для бухгалтера

Quote
Монна Нонна

Quote
Anna_Nik
Медок будет возмещать ущерб???? Сомневаюсь...
Давно нужно было переходить на Фуфлоком. На предыдущем месте работе работала с ними, бывшие коллеги говорят, что никаких проблем с вирусами нет. Надёжные ребята.

На каком предыдущем месте? Какие бывшие коллеги? Вы же работаете прямо там. Интересно, в Москве или в киевском офисе?
Уж хотя бы не врали....

что оно забыло здесь это Anna_Nik с фуфлокомом? заблокировать может можна

Кіберполіція заявила про можливість нових атак через M.E.Doc
15/07/2017 - 22:21

Кіберполіція порекомендувала в жодному разі не дотримуватися порад виробників програмного забезпечення M.E.Doc, якими намагаються приховати недосконалість коду.

Погоджуючись на використання програмного забезпечення, яке потребує адміністративних повноважень та включення до «білих списків» систем захисту, користувачі ставлять під загрозу не лише свій комп’ютер, а й комп’ютерну мережу підприємства, установи чи організації, у тому числі об’єктів критичної інфраструктури, – сказано у повідомленні.

факти поширення у мережі Інтернет рекомендацій про налаштування антивірусів та фаєрволів, які примушують системи захисту комп’ютера користувача ігнорувати будь-яку підозрілу активність чи код у вітчизняному бухгалтерському програмному забезпеченні. Такі рекомендації поширюються деякими партнерами компаній-розробників бухгалтерського ПЗ, а також безпосередньо компаніями-розробниками через технічну підтримку.

Спеціалісти з інформаційної безпеки Департаменту кіберполіції попереджають, що у разі виконання цих рекомендацій користувач несвідомо заборонить системам захисту комп’ютера правильно та вчасно реагувати на шкідливу діяльність програмного забезпечення доданого у «список виключення».

Слідуючи таким рекомендаціям користувач відкриває зловмисникам доступ до свого комп’ютера через вказане програмне забезпечення в обхід системи захисту, піддаючи небезпеці не лише власний комп’ютера, а і всю локальну мережу.

Нагадаємо, останнім часом Україна пережила декілька кібератак, так нещодавно хакери опублікували на сайті Міносвіти порнографічні фото.

[informator.news]

Добрый день! На злобу дня есть интересное видео, очень даже актуальное [vid.me]

Quote
VIKshap
Добрый день! На злобу дня есть интересное видео, очень даже актуальное [vid.me]

Quote
VIKshap

и вот никого не смущает что данное ЛИЦО зарегистрировалось на ДтКт пару дней назад и строчит именно на тему медка!!!

><

Конечно смущает, как и то видео, но за этим "лицом" не поспеешь во всех темах ему отвечать.
Видео действительно очень интересное, но в плане того, как можно переворачивать все с ног на голову.
Ай, какие медковцы нехорошие, хотят свое детище сохранить, на которое 17 лет работы положили. ><

Видео предназначено для полных олигофренов. Если уж взялись уничтожить Медок, не притягивайте за уши то, чего нет (на видео сотрудник рассказывает совершенно адекватно), а используйте имеющиеся факты.

даааа
реклама - двигатель торговли
очень многие присели на Медок на веки и даже если будет уже вообще капец, все-равно будут в нем сидеть и работать и "хай все горит и ломается, а все-равно будем работать в Медке!" мучаться и работать

не бывает дыма без огня, раз Медок обвиняют, значит "рыльце в пуху" и нечего себе придумывать сказу про хорошую программу

При чем здесь реклама?
Рыльце-то в пуху, да и недостатков в Медке много. И мне очень не понравилось их поведение после вирусной атаки. Выложили 188 дистрибутив, посоветовали им пользоваться, а как откатить с предыдущей версии - ни слова.
Анализировала другие программы, спрашивала совета здесь, но лучше Медка программы так никто и не посоветовал. Может Вы посоветуете? Только чтоб в одной программе и формировать, и отправлять, и чтоб ключи "Украины" поддерживала.

Quote
Blick
При чем здесь реклама?
Рыльце-то в пуху, да и недостатков в Медке много. И мне очень не понравилось их поведение после вирусной атаки. Выложили 188 дистрибутив, посоветовали им пользоваться, а как откатить с предыдущей версии - ни слова.
Анализировала другие программы, спрашивала совета здесь, но лучше Медка программы так никто и не посоветовал. Может Вы посоветуете? Только чтоб в одной программе и формировать, и отправлять, и чтоб ключи "Украины" поддерживала.

За много-много лет работы, когда электронная отчетность начиналась еще с примитивного Нотаря, пользуюсь Арт-Звит+ с самого начала появления на рынке. когда-то была просто Арт-Звит. И из всего, что было опробовано (медковские разработки в т.ч.), остаюсь на Арт-Звите.
"...в одной программе и формировать, и отправлять, и чтоб ключи "Украины" поддерживала..." и это работает без проблем
но у каждого свой выбор и свои предпочтения

Quote
Blick
При чем здесь реклама?
Рыльце-то в пуху, да и недостатков в Медке много. И мне очень не понравилось их поведение после вирусной атаки. Выложили 188 дистрибутив, посоветовали им пользоваться, а как откатить с предыдущей версии - ни слова.
Анализировала другие программы, спрашивала совета здесь, но лучше Медка программы так никто и не посоветовал. Может Вы посоветуете? Только чтоб в одной программе и формировать, и отправлять, и чтоб ключи "Украины" поддерживала.

реклама очень даже при чем, самые первые пользователи 100% подвязались под Медок именно с рекламы в ДПИ от девочек. которые сидели за отдельным столом, с компом, с принтером. с кучей рекламных буклетов
вспомните, как Медковцы заполонили все ДПИ Украины консультантами, ведь поначалу туда больше никаких др. разработчиков и не пускали