El software antivirus generalmente detecta amenazas de malware de dos maneras:
- detección basada en firmas
- detección heurística
Los productos de software antivirus no tenían una definición o firma de virus para WannaCry, ya que no se había visto antes (una amenaza no detectada anteriormente) como un malware recién creado. Así que escapó a toda la detección basada en firmas.
La detección heurística se basa en observar la ejecución activa de un binario. Por ejemplo, si un antivirus observa un análisis de virus para detectar y modificar o anexar ejecutables en un sistema, marcaría el binario como posible malware o sospechoso. La forma en que WannaCry funciona es mediante el acceso a bibliotecas criptográficas específicas en Windows (para el proceso de generación de claves y posterior cifrado) y luego busca tipos de archivos de documentos comunes, como DOCX, XLSX, JPG, etc., para cifrar. El motor heurístico del antivirus no puede detectar esto como una infección típica de malware. Posiblemente agregarán capacidades heurísticas para detener el ransomware a medida que se ejecuta al observar su comportamiento en algún momento en un futuro cercano. Por ejemplo: enlace
Además, como mencionó, es posible que muchos usuarios que fueron afectados no estuvieran usando una solución antivirus correctamente actualizada y efectiva. Si fueran grandes en actualizar el software, habrían actualizado su sistema operativo Windows y tendrían un parche para la vulnerabilidad de MS17-010 Eternal Blue.