Các cuộc tấn công này đều được khai thác dựa trên lỗ hổng MS17-010 của Windows vốn đã từng được mã độc WannaCry lợi dụng, tạo ra sự bùng nổ trên toàn cầu vào tháng 5-2017. Cơ chế lây lan của mã độc này cũng tương tự WannaCry.
Theo đó, nếu một máy tính trong mạng nội bộ (LAN) bị nhiễm mã độc thì mã độc sẽ tự động thực hiện dò quét các IP trong cùng mạng và sử dụng mã khai thác EternalBlue để lây lan qua cổng 445 của những máy tính khác.
Các máy này tiếp tục có khả năng lây lan nếu chúng được kết nối sang mạng khác. Việc tấn công này nhằm mục đích lợi dụng tài nguyên mạng máy tính của doanh nghiệp để đào tiền ảo (đồng Monero).
Ông Nguyễn Minh Đức - Giám đốc CyRadar khuyến cáo người dùng cá nhân và doanh nghiệp nên trang bị các phần mềm diệt virus uy tín, đồng thời thường xuyên cập nhật các bản vá cho hệ điều hành. Dấu hiệu để nhận biết máy tính bị mã độc tấn công là tốc độ làm việc của máy chậm, nóng máy...