由于杀毒软件的存在,会导致漏洞利用失败,系统蓝屏,如果发现内网一堆机器蓝屏,可以怀疑是“永恒之蓝”漏洞***引起。

更多关于今年4、5月爆发的“永恒之蓝”利用的信息请参考:
《“永恒之蓝”利用-挖矿》https://blog.51cto.com/antivirusjo/2089077

漏洞:ms17-010

主要区别特征:开关域名无效、勒索载荷失败

在桌面双击运行结果,进程名以双击文件的文件名为准,不会重新复制命名。

wanacry变种(蓝屏)_第1张图片

window文件夹无漏洞利用主文件mssecsvc.exe
勒索主程序
%windows%\tasksche.exe
wanacry变种(蓝屏)_第2张图片
流量特征
wanacry变种(蓝屏)_第3张图片

wanacry变种(蓝屏)_第4张图片

wanacry变种(蓝屏)_第5张图片

注册表服务,注意看文件路径
此现象表明,漏洞利用进来的程序文件名是固定的,路径也是固定的。
mssecsvc2.0的服务项

wanacry变种(蓝屏)_第6张图片

服务项
wanacry变种(蓝屏)_第7张图片

流量抓包:
wanacry变种(蓝屏)_第8张图片

其它单位提供的一个防火墙禁用445的bat

netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp
localport=445 action=block

netsh firewall set portopening protocol=TCP port=445 mode=disable
name=deny445