M.E.Doc після кібератаки: аналіз подій

27 червня велика кількість українських компаній та державних установ постраждали від вірусної атаки. У списки постраждалих від кібератаки також потрапив і розробник програмного забезпечення M.E.Doc. І ось ранок 29 червня, робочий день і закономірно серед користувачів постає питання що роботи, чому вірити, а що ігнорувати?

Перш за все, хочемо зауважити наступне. Програма M.E.Doc, за офіційною заявою розробника, працює, так як сервери (в тому числі і сервер оновлень) НЕ постраждали і їх робота відновлена. Веб-сервіс СОТА відновить свою роботу в другій половині дня. ДФС також ліквідувала наслідки вірусної атаки і сьогодні працює в штатному режимі. Тож кожен із користувачів програми M.E.Doc, комп’ютер якого працює, можуть працювати. В разі, якщо виникли питання служба технічної підтримки клієнтів компанії «Оптимальні ІТ-рішення» готова відповісти на запитання та допомогти у вирішенні проблем.

Для тих клієнтів, які все ж потрапили під дію вірусу-здирника буде актуальним скористатися послугами з ІТ-підтримки:

  • рекомендації спеціалістів антивірусної компанії ESET для захисту від програм-шифрувальників читайте за цим посиланням, а від компанії Zillya ось тут

  • департамент кіберполіції України радить “оновлюватися і відключити протокол SMBv1″, а також відправляє за інструкціями на офіційний сайт компанії «Microsoft». Також у кіберполіції рекомендують встановити програмне забезпечення для захисту головного завантажувального запису (MBR) від внесення несанкціонованих змін. Наприклад, «Mbrfilter»

  • поради щодо захисту комп’ютерів від кібератаки від СБУ дивіться тут

  • свої рекомендації також оприлюднили Фахівці з американської компанії з виробництва ПЗ в галузі інформаційної безпеки Symantec. Зазначається, що під час атаки вірус шукає на комп’ютері файл C: \ Windows \ perfc. Якщо такий файл вже існує, то вірус завершує свою роботу без зараження. Саме тому створення заздалегідь такого файлу застереже від його шкідливої дії.

Розуміючи занепокоєння користувачів програми M.E.Doc в світі останніх подій, розберемо наявні факти і аргументи.

Попередньо експерти Департаменту кіберполіції України встановили, що вірусна атака на українські компанії виникла через оновлення програми M.E.Doc. “Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: “upd.medoc.com.ua” (92.60.184.55) за допомогою User Agentmedoc1001189″, – йдеться у повідомленні Кіберполіції. Щоправда, пізніше з`явилося ще три повідомлення: «Варто додати, що зараження чезер M.E.Doc – це лише один із векторів атаки. Фіксується також і фішинг», «Звертаємо увагу, що ми не звинувачуємо компанію M.E.Doc, лише констатуємо виявлені факти, які слід детально перевірити», «На теперішній час встановлено два основних способи ураження. Це «фішинг» та оновлення ПЗ M.E.Doc». У блозі Microsoft була розміщена стаття, що вірус розповсюджувався через ПЗ M.E.Doc, однак уразливість самої операційної системи у статті до уваги не бралось.

Тепер давайте проаналізуємо відповіді розробника ПЗ M.E.Doc на ФБ-сторінках та офіційних джерелах.

У користувачів, які заразилися вірусом, також була пошкоджена програма M.E.Doc. Цей збіг послужив приводом провести асоціацію між вірусом і програмою. Подібні висновки – однозначно помилкові, адже розробник M.E.Doc, як відповідальний постачальник програмного продукту, стежить за безпекою і чистотою власного коду. Для цього укладені договори з великими антивірусними компаніями для надання виконуваних бінарних файлів на аналіз і підтвердження їх безпеки. Це означає, що перед випуском кожного оновлення M.E.Doc передає в антивірусні компанії свої файли для аналізу.

Переконатися в цьому може кожен користувач. За допомогою www.virustotal.com можна перевірити, як ті чи інші антивірусні програми реагують на оновлення. Хеш-коди всіх оновлень знаходяться в прямому доступі на сайті програми.

Розповсюдження вірусу торкнулось і компанії розробника програми M.E.Doc, про що було повідомлено на сайті компанії 27 червня о 14.43 “На наші сервери здійснюється вірусна атака. Просимо вибачення за тимчасові незручності!”.

Розробник ПЗ M.Е.Doc звернувся до Департаменту кіберполіціі з метою повного сприяння в розслідуванні фактів можливого ураження шкідливим програмним забезпеченням.

Стосовно інформації від Департаменту кіберполіції, компанія повідомила наступне “Хотим обратить Ваше внимание: M.E.Doc не распространял вирус, на сервере программы файла обновления, размером в 333Кб нет и не было. Всю необходимую информацию можем предоставить. Касательно адреса 92.60.184.55 – да, это действительно сервер с обновлениями и этот адрес всегда был в списке необходимых соединений программы.

Актуальная версия 10.01.189 ( https://www.virustotal.com/…/76670c7953eab53df08f…/analysis/ ) была размещена на сервере для раздачи 22.06.2017 около 01:00. Больше никаких новых пакетов обновлений не было размещено. Медок точно заинтересован найти виновника торжества”.

Реакція на блог від Microsoft: В статье отсутствует обвинение программы M.E.Doc как источника заражения. Единственное, о чём говорит статья – это иллюстрация того, что программа M.E.Doc запущена на ранее заражённом компьютере, и соответственно, сама подверглась заражению”.

Також вчора ввечері відбулася прес-конференція представників компанії розробника ПЗ M.E.Doc, наразі ми очікуємо на офіційний прес-реліз.

Ми намагалися висвітити події об’єктивно та аргументовано. Тож думайте, аналізуйте і слідкуйте за останніми новинами.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.