Es gibt zwei Killswitch Domains die die Verschlüsselungsfunktion von den derzeit bekannten Varianten von WannaCry unterbinden.

Einfach diese im DNS anlegen und auf einen Webserver zeigen lassen:

Solange auf einen GET eine Antwort mit 200 OK kommt passt alles.

Wenn man dann noch den Traffic auf diesem Webserver mitloggt, hat man einen Indikator für befallene Systeme.