Злоумышленники рассылают вирус от имени взломанных пользователей Диадока — не открывайте полученный файл

7 августа 2025 34

Вредоносное программное обеспечение позволяет управлять компьютером удаленно. Если вы получили подобное письмо, не открывайте архив.

С зараженного компьютера пользователя Контур.Диадока разослали zip-архивы с вредоносным программным обеспечением. Злоумышленник отправил их контрагентам пользователя-жертвы в виде неформализованного документа. Контрагенты начали открывать архив и запускать вредоносное ПО. После открытия вирус начал распространяться дальше, отправляя архивы уже контрагентам получателя.

На момент начала атаки вредоносное ПО не обнаруживалось антивирусами. В настоящее время некоторые антивирусные программы уже фиксируют его наличие.

Сам Диадок не взломан. Он продолжает работать, все данные клиентов находятся в безопасности. Для вредоносной рассылки использовали стандартную функциональность продукта по отправке документов: будьте внимательны при получении неформализованных документов, следуйте нашим рекомендациям.

Чтобы избежать дальнейшего распространения вредоносного ПО, Контур.Диадок заблокировал отправку зараженных документов и удалил отправленные. Однако, между моментом отправки архива и его удалением из системы был временной зазор, из-за чего некоторые пользователи могли получить зараженные вложения и запустить их на своих рабочих местах. Наши специалисты уже связались с этими пользователями и предоставили им рекомендации по дальнейшим действиям.

Рекомендации

Если и вы получили архив, действуйте так же, как в случае с любым другим подозрительным файлом в почтовом сервисе — не запускайте содержащиеся в нем исполняемые файлы.

Если вы успели скачать и открыть вложение — сообщите об этом в ваше подразделение информационной безопасности или службу IT. Обновите антивирус и проведите полную проверку компьютера. Попросите специалистов проверить подозрительные исходящие соединения.

Удалять из Диадока отправленные вирусы нет необходимости. Мы уже это сделали. Но просим вас проверить исходящие письма в электронной почте, так как вредоносное ПО распространяется через любую почтовую программу, и злоумышленник мог разослать его как через Диадок, так и через электронную почту.

Это поможет защитить вас и ваших контрагентов от возможного заражения.

Сотрудники СКБ Контур могут написать на электронную почту только с домена skbkontur.ru или позвонить с номеров: +7 343 344-10-10, +7 343 228-29-99

Подробнее о трояне Buhtrap, отправленном через Диадок

Сравните затраты на бумажный и электронный документооборот

#Новости #Всё о Диадоке

Семен 8 августа

Пока диадок достаточно холодно относится к масштабу угрозы, обвиняя своих клиентов из малого бизнеса в их, так скажем, глуповатости. Т.е. то, что система передает зараженный файл это норма.
Одновременно с этим конкуренты СКБ Контур по ЭДО уже проводят дополнительные защитные операции в своей системе с целью исключения передачи вредоносных файлов.

Артём, эксперт 12 августа

Семен, мы просто описали произошедшую ситуацию и дали рекомендации, без какой-либо оценки действий наших клиентов. В том числе, для решения проблемы был проведён целый ряд различных мер, подробнее про них мы описали в другой новости.

Семен 12 августа

Артём, ага.

Михаил 8 августа

По всей стране через вашу программу Диадок распространяется вирус, а вы не утруждаете себя подключить к проблеме Касперского и/или подобные организации на проверку загружаемых/загруженных документов. Интересно. А не вы ли в диагностике пытаетесь установить R-админ своего производства на каждый компьютер? А не через него ли лезут к нам? Если "ДА", то нужно научить как удалять Контур-Доступ с компьютеров пользователей. Вы создали две уязвимости - всем в загрузку поставили диагностику (еще не проявилась) и всем грузите свой R-админ в виде Контур-Доступа (уже уязвимость проявилась, но вы отводите удар от первопричины сваливая проблему на Диадок).

Михаил Изменен 11 августа

Михаил, здравствуйте! 6–7 августа злоумышленники, получив доступ к учетной записи одного из клиентов, использовали штатный функционал сервиса Диадок для рассылки писем с вредоносными вложениями. В результате заражение могло произойти только при открытии файла получателем.

Взлома сервисов Контура не было, инфраструктура и продукты, включая Контур.Доступ, не пострадали. Контур.Доступ — это отдельный продукт, который не устанавливается и не запускается без явного решения клиента.

ПО не работает в фоновом режиме при таком варианте установки, и не дает несанкционированного доступа.

Инцидент затронул только клиентов, чьи учетные записи были скомпрометированы. Рассылка была оперативно остановлена, вредоносные вложения удалены, а образцы переданы в «Лабораторию Касперского», вирус уже распознается антивирусами.

Денис 7 августа

Реализация схемы возможна только с подписанием исходящих или неформализованный документ можно направить контрагентам работая без ЭП по логину/паролю?
т.е. скомпрометированный компьютер участника = скомпрометированная ЭП?

Артём, эксперт 13 августа

Денис, отправить документ без использования ЭП в Диадоке не получится.

О компрометации ключа электронной подписи можно говорить при одновременном выполнении следующих условий:
1. Получили вредоносный файл, открыли документ в редакторе и внутри него запустили встроенный объект.
2. В результате этих действий вредоносная программа была успешно запущена и установила необходимые сетевые соединения для взаимодействия с управляющим сервером или оператором-злоумышленником.
3. В момент выполнения вредоносной программы на компьютере присутствовали ключи ЭП (например, были загружены в оперативную память с токена, хранились в реестре или на подключённом внешнем носителе без защиты PIN-кодом).

Если только открыли документ, но не запускали встроенные объекты, либо если ключи ЭП не были доступны на рабочем месте в момент запуска вредоносной программы, компрометация могла не произойти.

При наличии сомнений или подозрений целесообразно рассматривать ситуацию как неявную компрометацию и внепланово заменить ключи ЭП.

Денис 7 августа

нужен фильтр вложений, в т.ч. в архивах по mime-типам или расширениям

Артём, эксперт 11 августа

Денис, передал ваше обращение разработчикам как пожелание для доработки в дальнейшем этой функциональности. Пока что такой фильтр, к сожалению, не реализован.

Анд 7 августа

Как файл то называется ?

Денис 7 августа

Анд, или хэш 256 ?

Анд 7 августа

Денис, Должна же быть конкретная информация , а то "через нас вас атакует вирус, но мы не скажем какой " !

Александр, эксперт 15 августа

Анд, названия файлов и архивов, которые содержат эти файлы, могут быть разные. Подробности про них можно прочитать в нашей другой статье.

Александр, эксперт 15 августа

Денис, у нас есть другая статья с подробностями, там вы можете посмотреть примеры хеш-сумм и другие нюансы, например, название трояна.

Андрей 7 августа

Почему проблемы в защите диадока стали проблемами пользователей?
Принимайте меры, усиливайте систему защиты, берите на работу серьёзных специалистов по безопасности!
Переложить на на пользователей ответственность ведь проще всего же, тогда вопрос - а зачем нам тогда сервис с "дырявой" системой безопасности?

Ирина 7 августа

Андрей, как вы себе это представляете? Единственный вариант, как исключить получение вредоносных программ - ограничить отправку заархивированных файлов, но тем самым пострадают клиенты, которые отправляют таким образом реальные документы.

Семен 7 августа

Ирина, а почему мы, пользователи, оплачивая сервис должны представлять как антивирус внутри диадока должен работать?

Артём, эксперт 11 августа

Андрей, сам Диадок не взломан, вредоносная рассылка произошла в рамках стандартных возможностей продукта. Для локализации инцидента мы как раз и приняли целый ряд различных мер, про них конкретнее описано в другой нашей статье.

Семен 7 августа

Прекрасная новость, то от имени Диадок поступали письма на эл почту, то уже до самой системы дошли..
Правильно ли я понял, что рассылают только архивы, при скачивании и открытии которых начинает работать вредоносное ПО?

Иван 7 августа

Семен, в новости указано, что дошли не до системы, а до пользователей системы, т.е. получили вне системы доступ к пользователю и уже с помощью его доступа к системе рассылают архивы с файлом, содержащим исполняемый файл, при запуске которых начинает работать червь.

Людмила, эксперт 8 августа

Семен, соглашусь с комментарием Ивана. Как написано в статье выше, сам Диадок не взломан, и все данные клиентов находятся в безопасности.

Статья носит рекомендательный характер на случай, если наши пользователи получили вредоносный архив — не открывать его.

На данный момент наши специалисты уже связались с теми, кому были отправлены файлы с вирусом, и предоставили им рекомендации по дальнейшим действиям. Но в любом случае, если вам поступил архив от контрагента без объяснения причин и комментариев, лучше сначала связаться с ним и убедиться, что именно он отправил этот файл, особенно если ранее подобные файлы он не присылал.

Семен 8 августа

Иван, важен сам факт, что через систему Диадок передается зараженный файл, выводящий из строя весь бизнес. Смысл дальше что-то говорить?

Семен 8 августа

Людмила, лучше поясните, как так получилось, что через систему Диадок гуляют зараженные файлы.
Мне до лампочки, что и как. Я оплатил сервис Диадок, если через него распространяются угрозы, парализующие работу бизнеса, то есть о чем задуматься. Вы когда пойдете в салон красоты и вам занесут через укол гадость в организм, думаю вы также останетесь крайне возмущены. Вот и тысячи пользователей малого бизнеса сейчас подвержены катастрофической угрозе.
Лучше пишите, какие действия вы предпринимаете, а не соглашайтесь со всякой ерундой!!!!!!!

Сергей 11 августа

Семен, дело в том, что сейчас вы жалуетесь на на салон красоты, а на производителя шприца. Мол, такой плохой производитель шприца и игл, через них мне вкололи гадость в организм. Понимаете абсурд?

Семен 11 августа

Сергей, Я высказываю свое недовольство на работу Диадок, который тысячи предпринимателей оплатили, и их НИКТО не предупредил, что через данный сервис могут передаваться вредоносные файлы.
Касательно примера с уколом, то здесь и к содержимому может быть претензия, и к условиям хранения, и к компетентности сотрудника и т.д. И если услуга произведена в салоне, то салон несет полную ответственность перед клиентом! И если производитель такую ерунду подсунул в салон, то ответственность салона никуда не пропадает.
Вы в курсе, что этот вирус платежки делает и полностью блокирует бизнес-процессы ?
Вот так с вашего бы расчетного счета списали деньги, посмотрел бы на вашу реакцию!

Артём, эксперт 12 августа

Семен, насчёт того, как именно так получилось, описал в комментарии выше Михаил, посмотрите, пожалуйста.

Мы как раз предупредили о ситуации в текущей статье, подробнее рассказали про проделанные действия в другой новости, а также заблокировали зараженные файлы и удалили уже отправленные. Дополнительно точечно связались с уже пострадавшими клиентами и помогли устранить последствия.

Семен 12 августа

Артём, да уж, ничего не скажешь... Зато посмотрите как ваши конкуренты быстро все порешали и как обезопасили своих клиентов при работе с роуминговым оператором=)
Там даже мозг свой напрягать не приходится.

Анна 7 августа

круто, спасибо за заботу о нас!

Евгения 7 августа

как понять, что контр агента с которым мы плотно работаем взломали?

Екатерина 7 августа

Евгения, видимо, насторожить должен непонятный архив. Вы ведь знаете какими документами с контрагентом обмениваетесь... Если видите, что вам прислали что-то непонятное, лучше переспросить..

Светлана 7 августа

Екатерина, а с каким расширением могут приходить вредоносные файлы?

Светлана 7 августа

Светлана, в статье написано про исполняемые файлы типа apk, я так поняла.

Екатерина 7 августа

Светлана, "С зараженного компьютера пользователя Контур.Диадока разослали zip-архивы с вредоносным программным обеспечением. " - но, думаю, архивы могут быть разные..

Артём, эксперт 8 августа

Евгения, Екатерина выше правильно написала: если видите какой-либо архив (расширения внутри архива могут быть разными), который контрагент прислал без конкретной причины и пояснений, здесь рекомендую перед открытием архива и запуском файла внутри предварительно связаться с контрагентом и уточнить, действительно ли это он прислал данный файл. Должно насторожить как минимум то, если раньше контрагент не присылал файлы подобного содержимого. Даже если есть пояснение, но оно неубедительное или сомнительное, и сложно увязать пояснение с вашей деятельностью, лучше перестраховаться и уточнить.

Другие новости

В Диадоке появилась поддержка маркированных товаров в тарифах «Приемка» и «Отгрузка»

Ошибки в кодах маркировки могут привести к штрафам, конфискации товара или срыву поставок. Чтобы помочь компаниям избежать этого, в Диадоке появились новые тарифы «Приемка» и «Отгрузка»

26 сентября

Документация API доступна в OpenAPI‑спецификации

Мы опубликовали документацию к API Диадока в OpenAPI-спецификации

26 сентября

Диадок представил обновленную версию страницы документа

На основе обратной связи пользователей команда Диадока представила вторую версию страницы документа в веб-интерфейсе, исправив ключевые недочеты предыдущих обновлений и сохранив привычные сценарии работы — теперь с преимуществами новой технологической платформы.

25 сентября

Бесплатный вебинар о трансграничном электронном документообороте с Казахстаном

8 октября 2025 года на бесплатном вебинаре эксперты Диадока расскажут о трансграничном электронном документообороте (ТЭДО) и его настройке с контрагентами из Республики Казахстан.

8 октября

Изменения для участников оборота пива в потребительской упаковке

Внесены дополнения в Постановление Правительства № 2173. Они устанавливают адаптационный период для участников оборота пива в потребительской упаковке, у которых нет в полном объеме технической возможности передавать сведения об экземплярном обороте.

23 сентября

Все новости