WannaCry ist eine Ransomware, die eine Reihe von Computernetzwerken infizieren und sich schnell verbreiten kann. WannaCry besteht aus mehreren Komponenten und infiltriert den Zielcomputer in Form eines so genannten Dopplers, einem eigenständigen Programm, das die anderen in der Ransomware eingebetteten Anwendungskomponenten extrahiert. Zu diesen Komponenten gehören eine Anwendung, die Daten ver- und entschlüsselt, Dateien mit Verschlüsselungsschlüsseln und eine Kopie von TOR. Der Programmcode ist nicht verschleiert und kann von Sicherheitsexperten relativ leicht analysiert werden. Nach dem Start versucht die Ransomware, auf eine fest kodierte URL zuzugreifen, die als Kill Switch bekannt ist. Gelingt ihr das nicht, sucht sie nach Dateien in bestimmten Formaten, wie z. B. Microsoft Office-Dateien oder MP3-Dateien, und verschlüsselt diese. Diese Verschlüsselung macht die Dateien für den Benutzer des Computers unzugänglich. Die Ransomware zeigt dann eine Lösegeldforderung an, in der ein bestimmter Geldbetrag, in der Regel Bitcoin (BTC), gefordert wird, um die Dateien zu entschlüsseln und damit wiederherzustellen.Was Windows betrifft, so nutzt WannaCry die Schwachstelle in der Windows-Implementierung des Server Message Block (SMB)-Protokolls aus. Über das SMB-Protokoll können verschiedene Nodes in einem Netzwerk miteinander kommunizieren, und die Microsoft-Implementierung kann durch speziell präparierte Pakete dazu gebracht werden, beliebigen Code auszuführen.WannaCry kann als Paradebeispiel dafür angesehen werden, wie Crypto Ransomware aussehen kann und wie sie zur Erpressung von Geld eingesetzt werden kann. Dazu verschlüsselt sie potenziell wertvolle Dateien und kann einen Nutzer oder eine Nutzerin sogar komplett von seinem oder ihrem Computer aussperren. Jede Ransomware, die mit Verschlüsselung arbeitet, wird Crypto Ransomware genannt. Die Art, die Nutzer/innen speziell von ihrem Computer aussperrt, wird Locker Ransomware genannt.