虽然WannaCry和其他一些的病毒软件的运作机制早已被曝光，但门罗币挖掘蠕虫却能使用与之相同的机制持续对企业系统造成损害。

Wannacry是一种基于文件加密的勒索软件，美国将此病毒软件的根源归咎于朝鲜。在2017年5月，Wannacry的爆发让众人明白了修补Windows操作系统漏洞的重要性和紧迫性，这些漏洞当时也已被美国国家安全局所披露，Wannacry使用了一种名为“永恒之蓝”的漏洞，利用Windows的服务器信息块（SMB）网络文件共享协议在网络中移动，快速传播的同时能对网络造成严重破坏。

紧接着，WannaCry使用的核心漏洞被其他恶意软件创造者所利用，这些恶意软件包括一个月后影响全世界公司的NotPetya，以及甚至在WannaCry爆发之前就开始传播的加密货币挖掘蠕虫Adylkuzz，还有一些其他的加密货币挖掘蠕虫，比如WannaMine——一种无文件的、基于全PowerShell的门罗币挖掘恶意软件。研究人员自去年10月起就一直在跟踪它，许多感染过该病毒的服务器已经公示了出来，其中一些服务器的已经被关停了。

但一年后，WannaMine仍在传播。Cybereason安全研究负责人Amit Serper不久前刚公布了WannaMine攻击其公司某个客户后的调查结果，该客户是世界五百强企业，此次攻击事件对该企业造成了极其恶劣的影响。Serper在调查了该企业的SMB服务器后发现，该服务器从未安装过相应补丁，WannaMine影响了几十个域控制器和约2000个端点。

Serper在调查结果中写道，

WannaMine从某些角度上看是“无文件的”。它能使用从远程服务器提取的PowerShell脚本在计算机上建立据点并运行其所有组件，但WannaMine也不是纯粹的无文件——建立其据点的PowerShell脚本会下载一个全是base64编码文本的大型文件。在实际当中，由于所有模糊处理的影响，会使下载量变得极为巨大，致使大多数文本编辑器被挂起，并且很难将整个base64'd字符串加载到交互式ipython会话中。

这个大型文件里包含了许多PowerShell代码，包括直接从GitHub存储库复制的信用窃取工具Mimikatz的PowerShell版本。除此之外还有一个庞大的二进制对象（一个Windows .NET编译器），恶意软件用其来编译PingCastle网络扫描工具的动态链接库版本，并用于定位网络上其他易受攻击的潜在目标，接着利用获取到的凭据和网络数据去试图连接到其他计算机，在其上安装恶意软件副本。由于DLL的名称被随机赋予，因此它在每个受感染的系统上都是不同的。

WannaMine具有十分强大的侵略能力。它使用Windows管理规范来检测32位或64位系统并选择要下载的有效负载版本。它能将自身伪装为计划进程，这样在系统关闭后它也仍然存在，并且它会更改受感染计算机的电源管理设置，以确保计算机不会进入休眠状态，其挖掘活动也不会中断。它还能关闭所有与互联网协议端口连接的加密货币-采矿池（3333,5555和7777）进程，然后运行自己的基于PowerShell的矿工，连接到14444端口的采矿池。

可能最让人感到恼火的是，之前传播WannaMine的服务器中，有些还没有被关停。Serper联系了地址中能识别的所有托管服务提供商，但目前还没有得到回应。这些命令和控制服务器是：

118.184.48.95，上海网络技术股份有限公司管理。

104.148.42.153和107.179.67.243，均由洛杉矶的DDoS缓解托管公司Global Frag Servers管理（不过该公司似乎也是中国的网络运营商）。

172.247.116.8和172.247.166.87，均由CloudRadium L.L.C.管理，该公司的电话号码已无法打通，位于洛杉矶的地址由许多其他托管供应商所共享。

45.199.154.141，由CloudInnovation在美国管理，说是其总部设在南非，但在其网络注册中提供的是塞舌尔的地址。