Le CERT-FR constate une recrudescence d'activité de rançongiciel possédant une forte capacité de réplication. En particulier, plusieurs échantillons possèdent la capacité de se propager en utilisant aussi bien des codes d'exploitation du protocole SMB que des identifiants légitimes volés sur la machine compromise (à l'aide de PSExec et du protocole WMI).
Cette capacité de propagation multiple rends potentiellement vulnérable certains réseaux qui, malgré l'application de mise à jour, ne restreignent pas la latéralisation et l'abus d'identifiants.