Ну да, сейчас говорят, что это обычный фишинг на вложенный в письмо экзешкинк под видом MSOffice, но масштабы впечатляют. Видимо, дырка в винде нащупана что надо. Стоит одному получить, и через него вся локаль огребает.
На форуме Каспера читал, как деньги платили - и ничего не произошло. Возможно, не со зла, а из-за кривожопости самих атакующих:
Распространение вируса-вымогателя случайно приостановили благодаря регистрации бессмысленного доменного имени
https://meduza.io
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjh gosurijfaewrwergwea . сom.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
...
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.