Рекламу показываем только НЕзарегистрированным пользователям. Войдите или зарегистрируйтесь на Бухфоруме
    .

Медок

Вопросы использования бухгалтерских программ (МЕДОК, 1С и т.д.)

UNREAD_POST alex88 » 07 июл 2017, 11:51

Власники мереж, які зазнали впливу цієї кібератаки, навіть відновивши комп’ютери після атаки, можуть стати потенційним об’єктом повторної атаки: існує висока ймовірність того, що зловмисникам відома інформація про мережі, паролі до облікових записів користувачів, адміністраторські паролі, приблизні схеми мереж, паролі до електронних поштових скриньок, ЕЦП тощо.
Для зниження означених ризиків та попередження повторного ураження вірусом Команда CERT-UA рекомендує:
1. Припинити використання ПЗ «M.E.Doc» до офіційного оголошення про вирішення проблеми, відключити від мережі комп’ютери, на яких воно було чи є встановленим. Рекомендуємо провести перезавантаження операційної системи на таких комп’ютерах.
2. Змініть всі паролі, які функціонують в мережі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі – схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.
3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat.
Для попередження шифрування потрібно створити файл C:\Windows\perfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc в папці C:\Windows\, якщо файл вже існує вірус завершує роботу і не шифрує файли.
4. Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
Рішення Cisco Talos https://www.talosintelligence.com/mbrfilter
вихідні коди доступні тут: https://github.com/Cisco-Talos/MBRFilter
Рішення Greatis http://www.greatis.com/security/
Свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguar ... ansomware/
5. Переконайтеся, що на всіх комп’ютерах встановлено антивірусне програмне забезпечення, воно функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановіть та/або проведіть оновлення антивірусного програмного забезпечення.
6. Встановіть офіційний патч MS17-010.
7. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445.
8. Обмежте можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
9. Відключіть застарілий протокол SMB1.
Інструкція з відключення SMB1 в TechBlog компанії Microsoft:
https://blogs.technet.microsoft.com/fil ... sing-smb1/

http://cert.gov.ua/?p=2771
“Taxation is just a sophisticated way of demanding money with menaces.”(с)
Аватар пользователя
alex88
 
Сообщений: 819
Зарегистрирован: 16 дек 2011, 09:45
Благодарил (а): 398 раз.
Поблагодарили: 423 раз.

UNREAD_POST vikakool » 07 июл 2017, 17:35

Компания-разработчик бухгалтерского программного обеспечения "M.E.Doc" устранила проблему с программой и восстановлении работы сайта.

Об этом сообщает пресс-служба компании.

"M.E.Doc" возобновил работу сайта.

"Можно регистрировать налоговые накладные и подавать отчеты. Рекомендуемая версия к использованию - 10.01.188", - отмечается в сообщении.

Разработчик гарантирует, что обновленное программное обеспечение не содержит вирусов.

...А чем гарантирует, не сообщают...

За это сообщение автора vikakool поблагодарил:
lutishka
vikakool
 
Сообщений: 4081
Зарегистрирован: 18 янв 2011, 10:56
Благодарил (а): 879 раз.
Поблагодарили: 618 раз.

UNREAD_POST Вотруба » 07 июл 2017, 22:05

vikakool писал(а):...А чем гарантирует, не сообщают...
Гарантию дает только и исключительно страховой полис. :) Других гарантий не бывает.

Зараженными были версии 176, 181 и 189 (промежуточные не зараженные). По этому поводу см. в частности https://habrahabr.ru/company/eset/blog/332472/
Если откатить до версии 188, то можно работать.

Как это сделать см. https://www.facebook.com/kostya.crisp/p ... cation=ufi или http://forum.autoua.net/showthreaded.ph ... age=0&vc=1

Дистрибутив 188 версии по моему разумению лучше скачивать отсюда: http://www.medoc.ua/uk/page/distr

Я сегодня до обеда работал в МЕДке - отправлял отчеты, приходили квитанциии. После обеда обновился антивирусник и сразу же выдал: "Файл C:\ProgramData\Medoc\Medoc\ZvitPublishedObjects.dll заблокирован и помещен в карантин". Сейчас собираюсь заниматься откатом до 188 версии.

Добавлено. Руководствуясь приведенными инструкциями все сделал: установил 188-ю версию и проверил ее работу (получил, в частности, квитанции, не полученные ранее). Антивирусник на 188-ю не реагирует (при том, что 189-ю он среагировал).
Если мы с Вами думаем одинаково, то мы вообще не думаем.

За это сообщение автора Вотруба поблагодарил:
vikakool
Аватар пользователя
Вотруба
 
Сообщений: 1990
Зарегистрирован: 30 мар 2011, 19:35
Благодарил (а): 603 раз.
Поблагодарили: 2000 раз.

UNREAD_POST lutishka » 10 июл 2017, 10:31

VOA писал(а): или там есть возможность "создать на основе ..." и выбираете любой предыдущий период даже, если сдавали в другом ПО
Спасибо, раньше из других ПО отчеты, вроде, не копировались
Аватар пользователя
lutishka
 
Сообщений: 2290
Зарегистрирован: 24 ноя 2012, 11:47
Благодарил (а): 947 раз.
Поблагодарили: 1052 раз.

UNREAD_POST lutishka » 10 июл 2017, 10:33

А кто в соте работает - там безопасно сейчас?
Аватар пользователя
lutishka
 
Сообщений: 2290
Зарегистрирован: 24 ноя 2012, 11:47
Благодарил (а): 947 раз.
Поблагодарили: 1052 раз.

UNREAD_POST VOA » 10 июл 2017, 11:28

lutishka писал(а):
VOA писал(а): или там есть возможность "создать на основе ..." и выбираете любой предыдущий период даже, если сдавали в другом ПО
Спасибо, раньше из других ПО отчеты, вроде, не копировались

Копировались давно, просто я долго не могла понять - как добавлять строки в создаваемых отчётах (удалялись легко), а у меня то состав работников менялся, то виды начислений. Поэтому приходилось в другом ПО создавать и втягивать.
http://stopfake.org/ Бывают такие решения, после принятия которых тараканы в голове аплодируют стоя.
Аватар пользователя
VOA
 
Сообщений: 5227
Зарегистрирован: 07 сен 2012, 21:37
Благодарил (а): 1806 раз.
Поблагодарили: 2036 раз.

UNREAD_POST minibuh » 10 июл 2017, 12:25

lutishka писал(а):А кто в соте работает - там безопасно сейчас?

О беззаботности пусть судят си.админи и специалисты по безопасности компьютерных сетей. Могу сказать из личного опыта :
В день первой и второй атаки работала в СОТЕ пока она не пропала. С компами все норм...
Только СОТУ пока еще не восстановили :( Наверное ждут моего "волшебного" звонка в тех.поддержку. :)

За это сообщение автора minibuh поблагодарил:
lutishka
minibuh
 
Сообщений: 2252
Зарегистрирован: 28 дек 2011, 14:00
Благодарил (а): 1247 раз.
Поблагодарили: 897 раз.

UNREAD_POST Вотруба » 14 июл 2017, 17:53

Медок выпустил обновление - версия 190.
Расписали, что сделано для усиления защиты от несанкционированого доступа.
https://www.medoc.ua/uk/news/shanovn-kl ... ja-1001190

В этой версии есть "функціонал для системи моніторингу критеріїв ризиків".
https://www.medoc.ua/uk/news/funkconal- ... erv-rizikv
Если мы с Вами думаем одинаково, то мы вообще не думаем.
Аватар пользователя
Вотруба
 
Сообщений: 1990
Зарегистрирован: 30 мар 2011, 19:35
Благодарил (а): 603 раз.
Поблагодарили: 2000 раз.

UNREAD_POST Агафья » 14 июл 2017, 23:05

кто нибудь обновлял Медок уже до 190 версии?
Аватар пользователя
Агафья
 
Сообщений: 391
Зарегистрирован: 08 дек 2011, 14:30
Благодарил (а): 173 раз.
Поблагодарили: 70 раз.

UNREAD_POST Вотруба » 15 июл 2017, 01:27

Я обновил (от 188 до которой я откатывал со 189).
Там есть то, что было в 189 версии (надо полагать - за исключением вирусов 8-) ) и формы для отправки при блокировке регистрации НН. Как оно работает пока не знаю - у меня НН не блокировались.

Я от Медка отказываться не собираюсь. Меня устраивает. Риск что-то подхватить не выше чем в любой другой программе. И вообще, гусара тр...м не испугаешь (с). :)
Если мы с Вами думаем одинаково, то мы вообще не думаем.
Аватар пользователя
Вотруба
 
Сообщений: 1990
Зарегистрирован: 30 мар 2011, 19:35
Благодарил (а): 603 раз.
Поблагодарили: 2000 раз.

UNREAD_POST Агафья » 15 июл 2017, 16:14

У меня 188 версия, не обновлялась
Вчера закрыла медок, а через час при открытии антивирус снес его, и сказал что там троян этот, с Petya
Аватар пользователя
Агафья
 
Сообщений: 391
Зарегистрирован: 08 дек 2011, 14:30
Благодарил (а): 173 раз.
Поблагодарили: 70 раз.

UNREAD_POST Вотруба » 15 июл 2017, 23:20

Я так понимаю, что антивирус не снес МЕДок, а заблокировал какой-то файл, после чего МЕДок перестал работать. Какой именно файл? Это ведь очень важно.
Почему так, я не знаю. У меня, как я уже писал, антивирусник среагировал на 189 версию, а к 188-й (и 190-й) у него претензий нет. Я также проверял файл ZvitPublishedObjects.dll (и некоторые другие) на ресурсах, указанных в сообщении киберполиции (см. ниже).
Кроме вот этого https://www.medoc.ua/uk/news/uvaga-hibn ... -antivrusv другой информации по Вашему случаю я не нашел.

Сегодня появилась вот такая информация от киберполиции: http://www.npu.gov.ua/uk/publish/article/2178281
В ней говорится о неких "розробниках ПЗ" (без конкретизации, каких именно) рекомендующих запускать программу "...лише від імені адміністратора системи та вносити його до «списку виключень» (також відомого як «білий список», «список довірених програм» тощо) антивірусних програм, що дозволить системі безпеки комп’ютера ігнорувати окремі дії згаданого програмного забезпечення". Не знаю, я с такими рекомендациями от "розробників ПЗ" не сталкивался, но здесь интересно другое.
На сайте Укринформа (см. https://www.ukrinform.ua/rubric-technol ... medoc.html) эта информация появилась (а оттуда пошла гулять и по другим сайтам) под заголовком: "Кіберполіція попереджає про можливість нових атак через "M.E.Doc". И подзаголовком: "Кіберполіція рекомендує в жодному разі не дотримуватися порад від виробників програмного забезпечення "M.E.Doc", за допомогою яких останні намагаються приховати недосконалість коду". Очень похоже на целенаправленную дискредитацию МЕДка с привлечением Укринформа, поскольку ничего такого в персонально его адрес в сообщении киберполиции не сказано.

P.S. Если кто-то сталкивался с рекомендациями разработчиков (МЕДка или любых других) вносить программу до "списку виключень" антивирусника, просьба поделиться ссылочками. Спасибо.
Если мы с Вами думаем одинаково, то мы вообще не думаем.
Аватар пользователя
Вотруба
 
Сообщений: 1990
Зарегистрирован: 30 мар 2011, 19:35
Благодарил (а): 603 раз.
Поблагодарили: 2000 раз.

UNREAD_POST Хрущ Дарья » 17 июл 2017, 16:25

Вот, сегодня тоже обратила внимание на предложение внести в исключения антивируса: сообщение от 16 июл 2017, 14:02

За это сообщение автора Хрущ Дарья поблагодарил:
Вотруба
Хрущ Дарья
 
Сообщений: 7
Зарегистрирован: 24 мар 2015, 19:18
Благодарил (а): 1 раз.
Поблагодарили: 1 раз.

UNREAD_POST Вотруба » 17 июл 2017, 19:26

Спасибо, уважаемая Дарья!

В принципе те программы, что на приведенном скане по ссылке показываются как вирусы, вирусами не являются. Это т.н. "потенциально нежелательное ПО" (его антивирусники как правило не блокируют, а только отмечают его наличие). В частности это рекламное ПО, встроенное в программу FreeZvit. Оно может показывать рекламные объявления, всплывающие окна с рекламой и т.п. Существуют программы, позволяющие удалять такое "потенциально нежелательное ПО" без нарушения работоспособности основной программы (должно быть так, во всяком случае).
Я в FreeZvit не работаю, но насколько понял она распространяется бесплатно. Но денежку отбивать все равно надо, и разработчики, судя по всему, намерены отбивать их через рекламу. Вот и встроили такое "потенциально нежелательное ПО" и убирать его не хотят. Вместо этого предлагают внести FreeZvit в исключения для антивируса. А это уже ни в какие ворота не лезет, поскольку если в FreeZvit появится "настоящий" вирус (а от этого застраховаться нельзя), то антивирусник его пропустит.
К числу "потенциально нежелательного ПО" относятся также разного рода программные модули, встраиваемые разработчиками в основную программу, задачей которых является определение "личных" данных (например, кода ЕГРПОУ). Они также некоторыми антивирусами могут квалифицироваться как потенциально опасные, но в программах используемых для сдачи отчетности без них не обойтись.
Если мы с Вами думаем одинаково, то мы вообще не думаем.

За это сообщение автора Вотруба поблагодарил:
Хрущ Дарья
Аватар пользователя
Вотруба
 
Сообщений: 1990
Зарегистрирован: 30 мар 2011, 19:35
Благодарил (а): 603 раз.
Поблагодарили: 2000 раз.

UNREAD_POST Вотруба » 18 июл 2017, 18:36

Если мы с Вами думаем одинаково, то мы вообще не думаем.

За это сообщение автора Вотруба поблагодарил:
Дилетант
Аватар пользователя
Вотруба
 
Сообщений: 1990
Зарегистрирован: 30 мар 2011, 19:35
Благодарил (а): 603 раз.
Поблагодарили: 2000 раз.

Пред.След.

Вернуться в АВТОМАТИЗАЦИЯ БУХУЧЕТА

Кто сейчас на форуме

Зарегистрированные пользователи: Ads, Gb, hela, Kamillfo, Sushkom, Ya