Вирус WannaCry/Wcry детектируется продуктами Trend Micro с 14 апреля 2017 года. Самый первый вариант (RANSOM_WCRY.C) распространялся через фишинговые атаки, в рамках которых пользователей убеждали загрузить вредоносный код, размещенный в облачном сервисе Dropbox. Эта редакция вируса не вызвала большего резонанса.

В пятницу 12 мая появился новый вариант вируса WannaCry (RANSOM_WCRY.I / RANSOM_WCRY.A). Он был создан на базе апрельских версий с добавлением эксплоита для эксплуатации уязвимости CVE-2017-0144, известной как EternalBlue или MS17-10. Данный эксплоит позволил программе-шифровальщику распространяться как сетевому червю в незащищенных сетях. Вечером в пятницу Microsoft с целью сдержать эпидемию публично выпустила заплаты для уже не поддерживаемых версий Windows (Windows XP, Windows 8, Windows Server 2003).

Налаженный процесс управления обновлениями, является ключевым для защиты от атак на уязвимости, такие как MS17-010, использование которых и отличает WannaCry от других программ-шифровальщиков. Для поддерживаемых версий Windows, Microsoft выпустила заплаты еще в Марте. Злоумышленники знают, что для крупных организаций требуется значительное время для установки обновлений и они воспользовались этим для реализации своей массированной атаки.

Trend Micro предлагает бесплатный оценочный инструмент Trend Micro™ Machine Learning Assessment Tool, который позволяет выявить программу-шифровальщик WannaCry. Инструмент использует механизмы машинного обучения и другие технологии, используемые в Trend Micro OfficeScan XG для выявления угроз. В дополнение к использованию надежной защиты на конечных точках, Trend Micro рекомендует внедрить надежную защиту электронной почты, что позволяет снизить риск проникновения (79% атак со стороны программ-шифровальщиков в 2016 году начинались с фишинг) и целостную стратегию резервного копирования, что позволит восстановить данные после атаки.