Решил поковыряться в сетевой структуре сервиса M. E. Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.
Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd. me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост: