当ShadowBrokers第一次发布了EternalBlue（一种针对Windows文件共享协议的NSA漏洞）的代码时，研究人员知道这是一个坏bug。但大多数人都不知道这种脆弱性会造成多大的损害。

其中大部分损失直到最近几天才显现出来，一个名为“WannaCry”的勒索软件程序锁定了从英国国家卫生局到俄罗斯内政部的电脑。一些由EternalBlue造成的损害更难被发现，这是由更为谨慎的恶意软件造成的，这些恶意软件旨在感染计算机并将其货币化而不留痕迹。随着研究人员寻找有关万纳克里起源的线索，更多的这些项目被曝光，并为我们提供了更多关于永恒蓝造成的巨大损害的信息。

其中一个名为Adylkuzz的程序利用了这个漏洞来挖掘一种名为Monero的隐秘加密货币。根据Proofpoint本周发布的研究，Adylkuzz在4月24日到5月2日之间的某个时候变得活跃起来，这段时间是WannaCry突然出现的前几周。研究人员估计，这一漏洞已波及数十万台设备，并通过WannaCry利用的同样的Windows漏洞传播开来。

Adylkuzz没有引起同样的轰动，因为它没有关闭电脑或发送赎金通知-所有程序所做的只是在后台执行Monero的采矿作业。虽然这对你的电脑绝对不好，但它还不足以引发灾难性的警报，让程序保持不被发现，直到万纳克里惨败引起更多的关注。事实上，由于Adylkuzz一旦感染了一台机器就关闭了永恒蓝漏洞，研究人员怀疑这个程序实际上限制了更具破坏性的勒索软件的传播。

尽管低调，阿德尔库兹几乎和万纳克里一样有利可图。Proofpoint确认至少有4.3万美元是该计划的一部分，其他钱包很可能会进一步提高这一数字。到目前为止，大约8万美元已经支付给了已知的万纳克里钱包，考虑到袭击造成的混乱，这个数字低得出奇。至少在野外还发现了另外一个以永恒蓝为动力的加密货币矿工，可能还有其他人尚未被发现。

WannaCry的变体也出现了爆炸式增长，可能是模仿者的作品。研究人员上周末找到了一个阻止最初攻击的kill-switch域，但在此后的几天里，出现了一些替代版本的勒索软件，它们要么指向新的域，要么根本没有kill-switch协议。但研究人员对这些变体的起源存在分歧，一些人指出代码**问题是第三方参与工作的证据。

今天早些时候，TrendMicro的研究人员宣布发现了一种叫做UIWIX的全新变体。像WannaCry一样，它是一个建立在永恒蓝上的勒索软件程序——但是UIWIX能够在不将文件写入永久存储的情况下感染机器，这使得通过传统的取证更难发现。它还增加了新的方法，以摆脱研究人员在虚拟环境中观察它，导致TrendMicro怀疑一个单独的小组是新的攻击负责。

新的和旧的变种结合在一起，使得很难确定是谁对最初的WannaCry感染负责，因为越来越有可能是多个因素在起作用。在赛门铁克（Symantec）和卡巴斯基（Kaspersky）宣布证据表明最初的攻击与先前研究过的朝鲜网络犯罪集团有关之后，这个问题变得尤为紧迫。

好消息是：修补单个漏洞可以抵御所有不同的变种，尤其是现在微软已经发布了紧急XP补丁。因此，一些研究人员将万纳克里的突然成名视为对付鲜为人知的虫子的有力武器。”我认为WannaCry导致了一些网络罪犯加速了他们的时间线，”Trend Micro cloud研究副总裁MarkNinnukhoven说万纳克里把火柴烧成了永恒蓝。对于**者来说，这是一件非常好的事情，因为WannaCry确实造成了一些现实世界中的损害，并使世界各地的组织感到沮丧，它不像我们以前看到的其他恶意软件和勒索软件那么恶意。”