SMBv1の脆弱性を突いてトロイの木馬としてPCに侵入、
特定domainに接続を試み、接続成功すると動作が停止、
感染拡大やほかのシステムへの侵入/拡大を停止する。
一方で接続が失敗すると、プロセスがランサムウェアを
ダウンロードし、システムにMSCS2.0サービスを作成する。

逆に言えば、かつ、簡単に言えば、
企業やISPでこのdomainへのアクセスを停止させると、
WannaCryの感染を逆に広げてしまう動作になっている。

侵入が成功すると、mscs2.0と呼ばれるプロセスを立ち上げ、
「Microsoft Security Center (2.0) Service」として偽装する。
次に、レジストリにシステム起動時に自動起動するように仕掛け、
独自のディレクトリを作成し、そこにmakeしてプログラムを作成。

Microsoft謹製としてSecurity Centerは実際にあるので、
Microsoft Security Center (2.0) Serviceとされてしまったら
一般ユーザが気づくはずも無く、踏み台になってる図式ですね。



WannaCryの共有フォルダ被害に関してですが、
現行サーバでは共有先ファイルは問題なさそうです。
WannaCryの共有被害が起こるのは、SMB1.xです。
完全に2014年にサポートを終えたWindows XP が標的です。

Windows7はSMB2.1で被害は確認されていません。
とすると、イギリスの病院も、イオンも、日立も一部に
Windows XPがあったことが客観的に証明され・・・・。



OSXに関しても、SMB v1.xをMavericks 10.9.xまで使っていて、
10.9.5でSMB v2.xになっていて、被害が出る可能性はあります。

W Server 2003とWindows XPのデータサルベージの
料金改定しておかないと、大変なことになりそうです。
サルベージを考えると絶対XPなど使わないはずですが。