Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows — о ней стало известно еще 14 апреля из документов, размещенных группировкой Shadowbrokers.Также в «Лаборатории Касперского» сообщили, что пока не могут оценить общее число заражений вирусом.
«Общее число вариаций зловреда, циркулирующих в интернете в начале рабочей недели, 15 мая, вплоть до этого времени неизвестно». Но появились две его явные модификации, которые, по версии компании, не были сделаны создателями необычного вымогателя. «Мы думаем, что ни один из этих способов не был создан авторами необычного вымогателя».
1-ый из 2-х упомянутых образцов зловреда начал распространяться рано утром 14 мая, примерно в 04.00 по мск. Данная модификация подключалась к другому домену.
«Количество попыток атак WannaCry, задетектированных „Лабораторией Касперского“ в начале рабочей недели, 15 мая, снизилось в шесть раз в сравнении с идентичным показателем пятницы, 12 мая». 2-ая и вовсе научилась обходить программу, остановившую первую волну атак, но не получила распространения. Но не похоже, что этот вариант получил распространение, вполне возможно, из-за ошибки в коде, отмечается в сообщении. По имеющимся предварительным сведениям на данный момент профессионалов, 1-ый клон начал распространяться утром 14 мая. В настоящее время компания зафиксировала не менее 45 тыс. попыток атак на пользователей во всем мире. При всем этом идет речь только о тех, кто использует продукцию «Лаборатории Касперского». «Не менее точно оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в основной массе версий WannaCry», — сообщили в пресс-центре.
На сервере Malwaretech зарегистрировано не менее 200 тыс. данных о заражении.