У нас в организации в локальной сети появился вирус Wannacry. У большинства сотрудников сработали антивирусы и вирус удалили, но он каждый день пытается к ним пробиться снова и снова. С какого компьютера или ip адреса лезет вирус не понятно.
Скажите, есть ли способ вычислить инфицированный компьютер с которого лезет вирус?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А организация-то большая?Сообщение от GRODS
Если пять компов, то самый простой способ - отключить от сети, пролечить и обязательно поставить заплатки от майкрософт. Особое внимание обратить на тот комп, на котором сетевые диски/шары и пр.
Если компов много, значит есть какой-нить сервер. На сервере - ставите анализатор трафика (tcpdump, например) и ... смотрите. Кстати, если клиентские антивирусы сообщают о вторжении, то в логах должно быть откуда это вторжение.
Компьютеров много и они территориально разбросаны. Эту заразу ловит symantec, но не показывает откуда она. просто пишет что было проникновение в папку windows. ip не пишет откуда была атака.
на предмет чего сканировать сеть? порт 445?
Странно, SEP всегда вроде извещал о том, с какого IP идет вторжение.
Сканировать - не правильное слово. Я имею в виду именно анализатор трафика, то есть анализаторы того, что проходит через сетевой интерфейс. Упомянул tcpdump потому, что он у меня установлен. Я им пользуюсь. Есть анализаторы с графическим интерфейсом, есть под винду... Их много. Можно выхлоп анализатора фильтровать на этапе ввода команды (чтобы не утонуть в данных). Если речь о Wannacry, то в принципе Да, смотреть, откуда что-то передается по 445 порту.
P.S. И ещё, я вот о чем подумал: symantec должен сообщать об IP вторгающегося. У него встроена блокировка вторжений. Если память не изменяет, на 10 или 15 минут блокирует подозрительный IP.. Это первое. А второе - проникновение в папку Windows - это уже что-то другое, это не сетевое вторжение.
В папку Windows просто так не попадешь, если только пользователь не работает от имени администратора... Поэтому, предположу наличие чего-то на данном конкретном компе.
Попробуйте, чтобы отмести всё это, проверить подозрительный комп cure it'ом в безопасном режиме и kaspersky virus removal tool в обычном. А потом уже будем смотреть, что дальше... ОК? Если не трудно, отпишитесь о результатах.
У symantec только вот такое окно появляется не понятно откуда лезет вирус
Безымянный.png
Он ни откуда не лезет.
Все записи отсылают к реестру. Каждый из ключей hkey_users с различными SID'ами (s-1-5-19.. и т.д.) относится к профилю определенного пользователя.
Список всех возможных профилей можно посмотреть тут - https://support.microsoft.com/en-gb/...rating-systems
Можно, не ковыряясь в мелкомягких описаниях, из командной строки определить, что за пользователь скрывается за конкретным сидом:
У Вас есть одна нехорошая штука - это ключик с .default. Это, по сути, грузится еще до загрузки профиля вашего текущего пользователя. Ну, то есть, всё, что там прописано, грузится...Код:wmic useraccount get name,sid
Возможные варианты:
1. при включении компьютера зараза пытается восстановиться (система восстановления отрабатывает)
2. symantec не долечил то, что было, остались "хвосты".
Это, однозначно, зараза с данного конкретного компа. Вы сканировали его на вирусы ещё чем-нибудь, кроме symantec? Хвосты из реестра лучше всех удаляет malwarebyte antimalware. Обязательно проверьте, времени это много не займет.
P.S. В любом случае, у вас всегда есть возможность обратиться в "Помогите"
Проверил. Это сиды пользователей, профили которых есть на этом компьютере. Сам компьютер не заражен. Файлы на нем не шифруются.
В процессах нет ничего подозрительного. Каждый день примерно в одно время происходит новая атака. И симантик ее отбивает.
P.S. на пару дней отключили порты 139 и 445. Эти дни атак не было. Но стоило включить сегодня и опять началось. Видимо где-то эта зараза сидит, но найти не можем.
Последний раз редактировалось GRODS; 02.08.2017 в 15:44.
Значит в локальной сети есть уязвимый компьютер. Ищите с помощью этих скриптов https://virusinfo.info/showthread.ph...=1#post1450074
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ваши права в разделе
Ответить с цитированием
