¿Cómo puedo comprobar si un equipo está infectado y si es seguro conectarlo a la red?


 

Esta documentación nos ha sido facilitada por Microsoft.

Con el dispositivo desconectado comprobaremos si se ha producido infección, en ese caso se han creado los siguientes ficheros:

 

• %SystemRoot%\mssecsvc.exe

• %SystemRoot%\tasksche.exe

• %SystemRoot%\qeriuwjhrf

• b.wnry

• c.wnry

• f.wnry

• r.wnry

• s.wnry

• t.wnry

• u.wnry

• taskdl.exe

• taskse.exe

• 00000000.eky

• 00000000.res

• 00000000.pky

• @WanaDecryptor@.exe

• @Please_Read_Me@.txt

• m.vbs

• @WanaDecryptor@.exe.lnk

• @WanaDecryptor@.bmp

• 274901494632976.bat

• taskdl.exe

• Taskse.exe

• Files with ".wnry" extension

 

Se han creado ficheros con la extensión ".WNCRY"

Consulte el registro por si existe esta clave:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = "<malware working directory>\tasksche.exe"
  • HKLM\SOFTWARE\WanaCrypt0r\\wd = "<malware working directory>"
  • HKCU\Control Panel\Desktop\Wallpaper: "<malware working Directory>\@WanaDecryptor@.bmp"

Puede haber creado aleatoriamente un nombre de servicio, que tiene asociada la siguiente ruta;

"cmd.exe /c "<malware working directory>\tasksche.exe""

Una vez comprobado esto debe ejecutar un scan del  Antivirus y sino encuentra nada el equipo se podría poner en red ya que no hay rastro del malware.

 

 

Última actualización:
2017-05-15 20:36
Autor:
Custodio Garrido García
Revisión:
1.0
Valoración media: 4 (1 voto)

No puedes comentar este registro

Chuck Norris has counted to infinity. Twice.