У нас в организации в локальной сети появился вирус Wannacry. У большинства сотрудников сработали антивирусы и вирус удалили, но он каждый день пытается к ним пробиться снова и снова. С какого компьютера или ip адреса лезет вирус не понятно.
Скажите, есть ли способ вычислить инфицированный компьютер с которого лезет вирус?

У нас в организации в локальной сети появился вирус Wannacry. У большинства сотрудников сработали антивирусы и вирус удалили, но он каждый день пытается к ним пробиться снова и снова. С какого компьютера или ip адреса лезет вирус не понятно.
Скажите, есть ли способ вычислить инфицированный компьютер с которого лезет вирус?

А организация-то большая?
Если пять компов, то самый простой способ - отключить от сети, пролечить и обязательно поставить заплатки от майкрософт. Особое внимание обратить на тот комп, на котором сетевые диски/шары и пр.
Если компов много, значит есть какой-нить сервер. На сервере - ставите анализатор трафика (tcpdump, например) и ... смотрите. Кстати, если клиентские антивирусы сообщают о вторжении, то в логах должно быть откуда это вторжение.

А организация-то большая?


Компьютеров много и они территориально разбросаны. Эту заразу ловит symantec, но не показывает откуда она. просто пишет что было проникновение в папку windows. ip не пишет откуда была атака.
на предмет чего сканировать сеть? порт 445?

заразу ловит symantec, но не показывает откуда она
Странно, SEP всегда вроде извещал о том, с какого IP идет вторжение.

Сканировать - не правильное слово. Я имею в виду именно анализатор трафика, то есть анализаторы того, что проходит через сетевой интерфейс. Упомянул tcpdump потому, что он у меня установлен. Я им пользуюсь. Есть анализаторы с графическим интерфейсом, есть под винду... Их много. Можно выхлоп анализатора фильтровать на этапе ввода команды (чтобы не утонуть в данных). Если речь о Wannacry, то в принципе Да, смотреть, откуда что-то передается по 445 порту.

P.S. И ещё, я вот о чем подумал: symantec должен сообщать об IP вторгающегося. У него встроена блокировка вторжений. Если память не изменяет, на 10 или 15 минут блокирует подозрительный IP.. Это первое. А второе - проникновение в папку Windows - это уже что-то другое, это не сетевое вторжение.
В папку Windows просто так не попадешь, если только пользователь не работает от имени администратора... Поэтому, предположу наличие чего-то на данном конкретном компе.
Попробуйте, чтобы отмести всё это, проверить подозрительный комп cure it'ом в безопасном режиме и kaspersky virus removal tool в обычном. А потом уже будем смотреть, что дальше... ОК? Если не трудно, отпишитесь о результатах.

У symantec только вот такое окно появляется не понятно откуда лезет вирус
663629

Он ни откуда не лезет.
Все записи отсылают к реестру. Каждый из ключей hkey_users с различными SID'ами (s-1-5-19.. и т.д.) относится к профилю определенного пользователя.
Список всех возможных профилей можно посмотреть тут - https://support.microsoft.com/en-gb/help/243330/well-known-security-identifiers-in-windows-operating-systems
Можно, не ковыряясь в мелкомягких описаниях, из командной строки определить, что за пользователь скрывается за конкретным сидом:

wmic useraccount get name,sid
У Вас есть одна нехорошая штука - это ключик с .default. Это, по сути, грузится еще до загрузки профиля вашего текущего пользователя. Ну, то есть, всё, что там прописано, грузится...

Возможные варианты:
1. при включении компьютера зараза пытается восстановиться (система восстановления отрабатывает)
2. symantec не долечил то, что было, остались "хвосты".

Это, однозначно, зараза с данного конкретного компа. Вы сканировали его на вирусы ещё чем-нибудь, кроме symantec? Хвосты из реестра лучше всех удаляет malwarebyte antimalware. Обязательно проверьте, времени это много не займет.

P.S. В любом случае, у вас всегда есть возможность обратиться в "Помогите" (https://virusinfo.info/newthread.php?do=newthread&f=46)

Проверил. Это сиды пользователей, профили которых есть на этом компьютере. Сам компьютер не заражен. Файлы на нем не шифруются.
В процессах нет ничего подозрительного. Каждый день примерно в одно время происходит новая атака. И симантик ее отбивает.

P.S. на пару дней отключили порты 139 и 445. Эти дни атак не было. Но стоило включить сегодня и опять началось. Видимо где-то эта зараза сидит, но найти не можем.

Значит в локальной сети есть уязвимый компьютер. Ищите с помощью этих скриптов https://virusinfo.info/showthread.php?t=212174&p=1450074&viewfull=1#post1450074