Показано с 1 по 8 из 8.

Как удалить wannacry в локальной сети

  1. #1
    Junior Member Репутация
    Регистрация
    27.10.2010
    Сообщений
    9
    Вес репутации
    50

    Как удалить wannacry в локальной сети

    У нас в организации в локальной сети появился вирус Wannacry. У большинства сотрудников сработали антивирусы и вирус удалили, но он каждый день пытается к ним пробиться снова и снова. С какого компьютера или ip адреса лезет вирус не понятно.
    Скажите, есть ли способ вычислить инфицированный компьютер с которого лезет вирус?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    485
    Вес репутации
    443
    Цитата Сообщение от GRODS Посмотреть сообщение
    У нас в организации в локальной сети появился вирус Wannacry. У большинства сотрудников сработали антивирусы и вирус удалили, но он каждый день пытается к ним пробиться снова и снова. С какого компьютера или ip адреса лезет вирус не понятно.
    Скажите, есть ли способ вычислить инфицированный компьютер с которого лезет вирус?
    А организация-то большая?
    Если пять компов, то самый простой способ - отключить от сети, пролечить и обязательно поставить заплатки от майкрософт. Особое внимание обратить на тот комп, на котором сетевые диски/шары и пр.
    Если компов много, значит есть какой-нить сервер. На сервере - ставите анализатор трафика (tcpdump, например) и ... смотрите. Кстати, если клиентские антивирусы сообщают о вторжении, то в логах должно быть откуда это вторжение.

  4. #3
    Junior Member Репутация
    Регистрация
    27.10.2010
    Сообщений
    9
    Вес репутации
    50
    Цитата Сообщение от Val_Ery Посмотреть сообщение
    А организация-то большая?
    Компьютеров много и они территориально разбросаны. Эту заразу ловит symantec, но не показывает откуда она. просто пишет что было проникновение в папку windows. ip не пишет откуда была атака.
    на предмет чего сканировать сеть? порт 445?

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    485
    Вес репутации
    443
    Цитата Сообщение от GRODS Посмотреть сообщение
    заразу ловит symantec, но не показывает откуда она
    Странно, SEP всегда вроде извещал о том, с какого IP идет вторжение.

    Сканировать - не правильное слово. Я имею в виду именно анализатор трафика, то есть анализаторы того, что проходит через сетевой интерфейс. Упомянул tcpdump потому, что он у меня установлен. Я им пользуюсь. Есть анализаторы с графическим интерфейсом, есть под винду... Их много. Можно выхлоп анализатора фильтровать на этапе ввода команды (чтобы не утонуть в данных). Если речь о Wannacry, то в принципе Да, смотреть, откуда что-то передается по 445 порту.

    P.S. И ещё, я вот о чем подумал: symantec должен сообщать об IP вторгающегося. У него встроена блокировка вторжений. Если память не изменяет, на 10 или 15 минут блокирует подозрительный IP.. Это первое. А второе - проникновение в папку Windows - это уже что-то другое, это не сетевое вторжение.
    В папку Windows просто так не попадешь, если только пользователь не работает от имени администратора... Поэтому, предположу наличие чего-то на данном конкретном компе.
    Попробуйте, чтобы отмести всё это, проверить подозрительный комп cure it'ом в безопасном режиме и kaspersky virus removal tool в обычном. А потом уже будем смотреть, что дальше... ОК? Если не трудно, отпишитесь о результатах.

  6. #5
    Junior Member Репутация
    Регистрация
    27.10.2010
    Сообщений
    9
    Вес репутации
    50
    У symantec только вот такое окно появляется не понятно откуда лезет вирус
    Безымянный.png

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    485
    Вес репутации
    443
    Он ни откуда не лезет.
    Все записи отсылают к реестру. Каждый из ключей hkey_users с различными SID'ами (s-1-5-19.. и т.д.) относится к профилю определенного пользователя.
    Список всех возможных профилей можно посмотреть тут - https://support.microsoft.com/en-gb/...rating-systems
    Можно, не ковыряясь в мелкомягких описаниях, из командной строки определить, что за пользователь скрывается за конкретным сидом:
    Код:
    wmic useraccount get name,sid
    У Вас есть одна нехорошая штука - это ключик с .default. Это, по сути, грузится еще до загрузки профиля вашего текущего пользователя. Ну, то есть, всё, что там прописано, грузится...

    Возможные варианты:
    1. при включении компьютера зараза пытается восстановиться (система восстановления отрабатывает)
    2. symantec не долечил то, что было, остались "хвосты".

    Это, однозначно, зараза с данного конкретного компа. Вы сканировали его на вирусы ещё чем-нибудь, кроме symantec? Хвосты из реестра лучше всех удаляет malwarebyte antimalware. Обязательно проверьте, времени это много не займет.

    P.S. В любом случае, у вас всегда есть возможность обратиться в "Помогите"

  8. #7
    Junior Member Репутация
    Регистрация
    27.10.2010
    Сообщений
    9
    Вес репутации
    50
    Проверил. Это сиды пользователей, профили которых есть на этом компьютере. Сам компьютер не заражен. Файлы на нем не шифруются.
    В процессах нет ничего подозрительного. Каждый день примерно в одно время происходит новая атака. И симантик ее отбивает.

    P.S. на пару дней отключили порты 139 и 445. Эти дни атак не было. Но стоило включить сегодня и опять началось. Видимо где-то эта зараза сидит, но найти не можем.
    Последний раз редактировалось GRODS; 02.08.2017 в 15:44.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Значит в локальной сети есть уязвимый компьютер. Ищите с помощью этих скриптов https://virusinfo.info/showthread.ph...=1#post1450074
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Зависает в локальной сети
    От Ulukai в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 15.09.2010, 00:19
  2. Ответов: 3
    Последнее сообщение: 06.11.2009, 18:21
  3. Выкидывает из локальной сети
    От Veselyi_Rodger в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 05.02.2009, 14:59
  4. Avast в локальной сети
    От solongoy в разделе Антивирусы
    Ответов: 0
    Последнее сообщение: 08.08.2008, 09:31
  5. Обнаружение локальной сети
    От Shtorm в разделе Межсетевые экраны (firewall)
    Ответов: 2
    Последнее сообщение: 30.11.2005, 19:51

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00394 seconds with 20 queries