"Ich gehe davon aus, dass es von dieser Attacke früher der später eine weitere Welle geben wird", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure der Deutschen Presse-Agentur. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.
Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. "Vielleicht nicht am Wochenende, aber möglicherweise am Montagmorgen", sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. "Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören." Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Angriffswelle zu starten.
Am Sonntag wurde bekannt, dass das Ausmaß des Angriffs größer ist als zunächst angenommen: Nach Angaben von Europol traf die Attacke mindestens 150 Länder. "Nach der letzten Zählung hat es 200 000 Opfer gegeben", sagte der Chef der europäischen Ermittlungsbehörde, Rob Wainwright, am Sonntag dem britischen Fernsehsender ITV . Darunter seien auch große Firmen. Er rechnete außerdem noch mit einer steigenden Zahl zu Beginn der neuen Arbeitswoche. Europol schlug ein internationales Vorgehen der Behörden vor, um die Hintermänner zu finden. Wainwright hält es für wahrscheinlich, dass mehrere Personen für den Cyber-Angriff verantwortlich sind.
Die Rechner waren am Freitag von sogenannten Erpressungstrojanern befallen worden, die sie verschlüsseln und Lösegeld verlangen. Der anonyme britische Experte hatte im Code der Schadsoftware eine von den Autoren eingebaute "Notbremse" gefunden, die er auch auslöste und damit die Ausbreitung des Erpressungstrojaners vorerst stoppte. In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen. Netze der Bundesregierung seien nicht betroffen gewesen, teilte das Innenministerium mit.