Công cụ tấn công mạng EternalBlue được phát hành bởi nhóm hacker The Shadow Brokers vào ngày 14 tháng 4 năm 2017,[13][14] cùng với các công cụ khác dường như đã bị rò rỉ từ Equation Group, được cho là một phần của Cơ quan An ninh Quốc gia Hoa Kỳ.[15][16]

EternalBlue khai thác lỗ hổng MS17-010[17] của giao thức SMB của Microsoft (Server Message Block). Microsoft đã phát hành một "Critical" advisory, cùng với hotfix cập nhật để lấp lỗ hổng một tháng trước đó, vào ngày 14 tháng 3 năm 2017.[17]

Vào ngày 12 tháng 5 năm 2017, WannaCry bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới. Đến nay, đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia. Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan,[cần dẫn nguồn] Việt Nam cũng là một trong những nước bị tấn công nhiều nhất.[cần dẫn nguồn] Tuy nhiên tại Triều Tiên lại không thấy dấu vết của mã độc này.[cần dẫn nguồn] Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính,[18][19] sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet[20], và các máy tính trên cùng mạng LAN.[21] Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các file đã bị WannaCry mã hóa. Cách duy nhất để người dùng lấy lại dữ liệu là trả tiền cho hacker từ 300 tới 600 Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảm bảo do hacker hoàn toàn có thể "trở mặt".[cần dẫn nguồn]

Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được. Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng có thể đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong trường hợp phần mềm trở nên không kiểm soát được. Một chuyên gia công nghệ khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công tạm thời được ngăn chặn.[cần dẫn nguồn] Ngay sau đó, các biến thể của WannaCry đã được sửa code lại nhanh chóng lây lan trở lại với phiên bản 2.0.[cần dẫn nguồn]

Lỗ hổng của Windows không phải là lỗ hổng zero-day, Microsoft đã cung cấp một hotfix vào ngày 14 tháng 3 năm 2017[17] - gần như 2 tháng trước đó. Hotfix này dùng để vá lỗi của giao thức Server Message Block (SMB) được sử dụng bởi Windows.[22] Microsoft cũng đã thúc giục mọi người ngừng sử dụng giao thức SMB1 cũ và thay vào đó sử dụng giao thức SMB3 an toàn hơn, mới hơn.[23] Các tổ chức thiếu hotfix an toàn này bị ảnh hưởng vì lý do này, và cho đến nay không có bằng chứng cho thấy bất kỳ mục tiêu nào được nhắm tới bởi các nhà phát triển mã độc tống tiền.[22] Bất kỳ tổ chức nào vẫn chạy Windows XP[24] và các hệ điều hành cũ hơn đều có nguy cơ cao vì không có bản cập nhật bảo mật mới được phát hành.Tuy nhiên, vào ngày 12 tháng 5 năm 2017, không lâu sau khi WannaCry lây lan, Microsoft đã phát hành bản vá lỗi tương tự bản vá MS17-010 vừa được phát hành vào ngày 14 tháng 3 năm 2017 dành cho các hệ điều hành cũ bao gồm Windows XP và Windows Server 2003.[25][cần dẫn nguồn]