近期，多款热门病毒变种正在利用永恒之蓝漏洞进行蔓延，威胁程度达到高危，影响范围广泛。 深信服紧急预警，提醒广大用户做好安全防护措施！

近期出现的利用永恒之蓝漏洞的多款病毒包括：Satan勒索病毒变种、WannaMine挖矿变种、PowershellMiner无文件挖矿变种以及WannaCry勒索2.0蓝屏变种。

用户一旦遭受Satan勒索变种攻击，重要文档和数据库文件均可能被加密，并被勒索0.3个比特币。 Satan勒索变种攻击过程如下：

其中：

1.st.exe是母体，执行后会下载ms.exe和Client.exe。

2.ms.exe是一个自解压文件，包含的blue.exe和star.exe执行永恒之蓝漏洞攻击。

3.一旦攻击成功后，star.exe加载payload（down64.dll），负责下载并运行st.exe。

4.Client.exe是Satan勒索病毒，执行文件加密操作，并弹出勒索信息。

5.每感染一台后，都会重复执行1、2、3、4步骤，在局域网进行扩散。

WannaMine挖矿变种会造成用户服务器和PC异常卡顿，消耗主机大量CPU资源。 其攻击过程如下：

1.srv是主服务，每次都会进行开机启动，启动后加载spoolsv。

2.spoolsv对局域网进行445端口扫描，确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。

3.svchost.exe执行永恒之蓝漏洞溢出攻击（目的IP由步骤2确认），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门）安装后门，加载payload（x86.dll/x64.dll）。

4.payload（x86.dll/x64.dll）执行后，负责将MsraReportDataCache32.tlb从本地复制到目的IP主机，再解压该文件，注册srv主服务，启动spoolsv执行攻击。

5.每感染一台，都重复步骤1、2、3、4，在内网扩散。

PowershellMiner挖矿变种没有本地恶意文件，用户难以发觉，往往能够消耗主机90.0%以上CPU资源，造成主机性能异常卡顿。 其攻击顺序如下：

1.首先，挖矿模块启动，持续进行挖矿。

2.其次，Minikatz模块对目的主机进行SMB爆破，获取NTLMv2数据。

3.然后，WMIExec使用NTLMv2绕过哈希认证，进行远程执行操作，成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来，流程结束。

4.最后，如果WMIExec攻击失败，则尝试使用MS17-010永恒之蓝漏洞攻击，成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来。

5.每感染一台主机，都重复步骤1、2、3、4，在内网进行扩散。

该勒索变种并不会勒索成功，但由于漏洞利用不当，常常导致主机蓝屏崩溃。在服务器场景下，对企业业务影响极大。 

此变种是WannaCry的2.0版本，2018年仍然十分活跃。之前的版本会释放勒索程序对主机进行勒索，但此变种的勒索程序在主流Windows平台下运行失败，无法进行勒索操作。但如果内网中多个主机感染了该病毒，病毒会互相之间进行永恒之蓝漏洞攻击，该漏洞的利用使用堆喷射技术，该技术漏洞利用并不稳定，有小概率出现漏洞利用失败，在利用失败的情况下，会出现被攻击主机蓝屏的现象。

针对广大用户，建议进行日常防范措施：

1.不要点击来源不明的邮件附件，不从不明网站下载软件；

2.及时给主机打上永恒之蓝漏洞补丁，修复此漏洞；

3.对重要的数据文件定期进行非本地备份；

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等。