трохи спиздів. Не 1С, а медок

Цитата:

Департамент кіберполіції Національної поліції України 13 год. · #ВАЖЛИВО: На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу) Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189". Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b 8348f57e84ba54. Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт. Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії: - створено файл: rundll32.exe; - звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP; - створення файлу: perfc.bat; - запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”; - створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f787 34761d8edbdcd9f) та його подальший запуск; - створення файлу: dllhost.dat. В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі SMB (яка також використовувалась під час атак WannaCry). Рекомендація: - тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску; Інформація оновлюється!