# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Как удалить wannacry в локальной сети

## GRODS

У нас в организации в локальной сети появился вирус Wannacry. У большинства сотрудников сработали антивирусы и вирус удалили, но он каждый день пытается к ним пробиться снова и снова. С какого компьютера или ip адреса лезет вирус не понятно. 
Скажите, есть ли способ вычислить инфицированный компьютер с которого лезет вирус?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Val_Ery

> У нас в организации в локальной сети появился вирус Wannacry. У большинства сотрудников сработали антивирусы и вирус удалили, но он каждый день пытается к ним пробиться снова и снова. С какого компьютера или ip адреса лезет вирус не понятно. 
> Скажите, есть ли способ вычислить инфицированный компьютер с которого лезет вирус?


А организация-то большая? 
Если пять компов, то самый простой способ - отключить от сети, пролечить и обязательно поставить заплатки от майкрософт. Особое внимание обратить на тот комп, на котором сетевые диски/шары и пр.
Если компов много, значит есть какой-нить сервер. На сервере - ставите анализатор трафика (tcpdump, например) и ... смотрите. Кстати, если клиентские антивирусы сообщают о вторжении, то в логах должно быть откуда это вторжение.

----------


## GRODS

> А организация-то большая?


Компьютеров много и они территориально разбросаны. Эту заразу ловит symantec, но не показывает откуда она. просто пишет что было проникновение в папку windows. ip не пишет откуда была атака.
на предмет чего сканировать сеть? порт 445?

----------


## Val_Ery

> заразу ловит symantec, но не показывает откуда она


Странно, SEP всегда вроде извещал о том, с какого IP идет вторжение.

Сканировать - не правильное слово. Я имею в виду именно анализатор трафика, то есть анализаторы того, что проходит через сетевой интерфейс. Упомянул tcpdump потому, что он у меня установлен. Я им пользуюсь. Есть анализаторы с графическим интерфейсом, есть под винду... Их много. Можно выхлоп анализатора фильтровать на этапе ввода команды (чтобы не утонуть в данных). Если речь о Wannacry, то в принципе Да, смотреть, откуда что-то передается по 445 порту.

P.S. И ещё, я вот о чем подумал: symantec должен сообщать об IP вторгающегося. У него встроена блокировка вторжений. Если память не изменяет, на 10 или 15 минут блокирует подозрительный IP.. Это первое. А второе - проникновение в папку Windows - это уже что-то другое, это не сетевое вторжение. 
В папку Windows просто так не попадешь, если только пользователь не работает от имени администратора... Поэтому, предположу наличие чего-то на данном конкретном компе.
Попробуйте, чтобы отмести всё это, проверить подозрительный комп cure it'ом в безопасном режиме и kaspersky virus removal tool в обычном. А потом уже будем смотреть, что дальше... ОК? Если не трудно, отпишитесь о результатах.

----------


## GRODS

У symantec только вот такое окно появляется  не понятно откуда лезет вирус
Безымянный.png

----------


## Val_Ery

Он ни откуда не лезет.
Все записи отсылают к реестру. Каждый из ключей hkey_users с различными SID'ами (s-1-5-19.. и т.д.) относится к профилю определенного пользователя.
Список всех возможных профилей можно посмотреть тут - https://support.microsoft.com/en-gb/...rating-systems
Можно, не ковыряясь в мелкомягких описаниях, из командной строки определить, что за пользователь скрывается за конкретным сидом:


```
wmic useraccount get name,sid
```

У Вас есть одна нехорошая штука - это ключик с .default. Это, по сути, грузится еще до загрузки профиля вашего текущего пользователя. Ну, то есть, всё, что там прописано, грузится...

Возможные варианты:
1. при включении компьютера зараза пытается восстановиться (система восстановления отрабатывает)
2. symantec не долечил то, что было, остались "хвосты".

Это, однозначно, зараза с данного конкретного компа. Вы сканировали его на вирусы ещё чем-нибудь, кроме symantec? Хвосты из реестра лучше всех удаляет malwarebyte antimalware. Обязательно проверьте, времени это много не займет.

P.S. В любом случае, у вас всегда есть возможность обратиться в "Помогите"

----------


## GRODS

Проверил. Это сиды пользователей, профили которых есть на этом компьютере. Сам компьютер не заражен. Файлы на нем не шифруются. 
В процессах нет ничего подозрительного. Каждый день примерно в одно время происходит новая атака. И симантик ее отбивает.

P.S. на пару дней отключили порты 139 и 445. Эти дни атак не было. Но стоило включить сегодня и опять началось. Видимо где-то эта зараза сидит, но найти не можем.

----------


## mike 1

Значит в локальной сети есть уязвимый компьютер. Ищите с помощью этих скриптов https://virusinfo.info/showthread.ph...=1#post1450074

----------

