WannaCry

日本

• 日立製作所^[26]
• 東日本旅客鉄道^[27]
• イオントップバリュ^[28]
• 本田技研工業^{[注釈 1][29]}
• 日本マクドナルド^{[注釈 2][30]}

アジア

• 中国石油天然気^[31]
• 中華人民共和国公安部^[32]
• 孫逸仙大学（中華人民共和国）^[33]
• 韓国CJ CGV^[34]
• インド西ベンガル州政府、ケーララ州政府、グジャラート州政府他^[35][36]
• インドアーンドラ・プラデーシュ州警察^[37]
• インドネシアHarapan Kita Hospital^[33]

ロシア

• ロシア鉄道^[38]
• ロシア内務省^[39]
• ロシア貯蓄銀行^[40]

ヨーロッパ

• ルノー（フランス）^[41]
• ドイツ鉄道^[42]
• ルーマニア外務省（英語版）^[43]
• 自動車製造会社ダチア（ルーマニア）^[44]
• ビルバオ・ビスカヤ・アルヘンタリア銀行（スペイン）^[45]
• スペイン通信会社テレフォニカ^[45]
• 国民保健サービス（イギリス）
• 英国日産自動車製造

南米

• ブラジル サン・パウロ州司法裁判所^[46]
• ブラジル 携帯電話事業会社ヴィーヴォ^[46]
• LATAM航空グループ^[47]

北米

• フェデックス^[48]
• モントリオール大学^[49]

イギリス

国民保健サービスが攻撃を受け、MRIや血液貯蔵冷蔵庫など、7万台の機器が影響を受けた^[50]。また、およそ40の医療施設でシステムが使えなくなるなど被害を受けた。攻撃を受けた病院では患者の情報にアクセスできなくなり、手術を中止したり、診察の予約をキャンセルしたほか、救急搬送されてきた患者を受け入れられず、ほかの病院へ搬送する事態となった^[51][52]。

ヨーロッパ

ルノーや英国日産自動車製造などの自動車製造工場では、製造停止の事態に陥った^[53][54]。

キルスイッチ

WannaCryに、ランサムウェアの拡散と活動を停止させる「キルスイッチ」となるURLが含まれているのを、感染したマシンからの活動を追跡していたセキュリティ研究者が発見した。この未登録のドメイン名に登録したところ、一時的に攻撃が停止した^[55]。

この研究者は、アンチウイルスの研究者がソフトウェアを調査することがより困難になるように、インターネットから隔離されたマシン（エアギャップ）上で解析されるのを防ぐメカニズムとして、これがソフトウェアに含まれていると推測した。こういった技術は以前から存在している^[56]。

しかし、その後ハッカーらは、このランサムウェアからキルスイッチをなくしたアップデート版を作成し、この新しい亜種は「Uiwix」という名称だと、セキュリティソフトウェア企業のHeimdal Securityは述べている^[55]。一方、トレンドマイクロは、この新種はWannaCryと同じように脆弱性「MS17-010」を利用するランサムウェアだが、メモリ上で動作し、仮想マシンやサンドボックスを検知して活動を停止することから別ファミリーだと判断している^[57]。

犯人の特定

コンピュータセキュリティ会社のカスペルスキーとシマンテックの両社は、このコードが過去にハッキンググループ「ラザルスグループ」（北朝鮮とつながりがあるグループで、ソニー・ピクチャーズ・エンタテインメントへのハッキング事件や2016年のバングラデシュ銀行の不正送金に関与）が使用していたものと類似していると述べている^[58]。これは単にソースコードを参考にしたか、捜査を攪乱するための工作の可能性も指摘されている^[58]。

身代金要求の中国語の文章はネイティブが記述、英語は非ネイティブによる記述、それ以外の言語については英語版をGoogle翻訳にかけた機械翻訳であると分析されている^[59][60]。

2017年12月18日、アメリカ合衆国政府は北朝鮮が本ランサムウェアの作成に直接関与していると考えていることを発表した^[61][62]が、北朝鮮は関与を否定している^[63]。なお、状況証拠のみで決定的な根拠が提示されておらず、発表を疑問視するセキュリティ専門家もいる^[64]。

復号

特定条件のWindows XPで、確実ではないが復号できたという報告も出ている^[65]。