Ursprunget är inte helt känt men i nuläget är teorin att spridningen av den skadliga koden startade via e-postmeddelanden där någon klickade på en länk eller öppnade en bifogad fil.
– De här mejlen kan se ganska sofistikerade ut, säger Peter Jonegård, handläggare och tillförordnad chef för Cert på Myndigheten för samhällsskydd och beredskap (MSB).
”Kan fördröjt effekten”
200.000 företag, sjukhus, regeringsorgan och andra organisationer i minst 150 länder har drabbats, i Sverige åtminstone industrikoncernen Sandvik och Timrå kommun. Att attacken inträffade i fredags eftermiddag kan ha påverkat spridningen då flera hunnit gå hem från jobbet.
– Det kan ha fördröjt effekten, och om man ute i organisationerna hinner vidta åtgärder innan mejlkorgarna börjar tittas på så är det jättebra, säger Jonegård.
Enligt Robert Malmgren, IT-säkerhetsexpert på företaget Romab, räcker det med att man klickar upp ett infekterat mejl när datorn startas på morgonen.
– Man får räkna med att det kommer att hända saker. Företagen bör gå ut med information så tidigt som möjligt, och se till att det finns uppdateringar av alla säkerhetssystem, säger han.
LÄS MER: Så skyddar du dig mot Ransomware-attacker
Även Europols chef Rob Wainwright är oroad över hur spridningen kan fortsätta att öka när folk slår på sina datorer, rapporterar Reuters.
Sprids utan internet
Experterna uppmanar till vaksamhet och att den som möts av ett okänt mejl inte klickar på länkar eller öppnar bifogade filer. Den skadliga koden låser datorn mot en lösensumma och MSB uppmanar folk att inte betala då detta göder kriminaliteten och dessutom inte är någon garanti för att datorn öppnas.
Datorn kan ha blivit korrupt utan att ha varit ansluten till internet, då viruset sprids via interna nätverk – som en anslutning till jobbplatsens skrivare.
– Det viktiga är att de som inte är drabbade uppdaterar sina system och ser till att ha en fungerande backup, säger Peter Jonegård.
LÄS MER: Hundratusentals svenska datorer kapade
MSB framhöll sent på söndagskvällen att det inte alls är klarlagt att viruset har sitt ursprung i ett e-postmeddelande.
Myndigheten säger att ingen, inte ens av deras internationella samarbetspartner, har kunnat uppvisa ett e-postmeddelande som kan ha satt igång viruset.