Es gibt zwei Killswitch Domains die die Verschlüsselungsfunktion von den derzeit bekannten Varianten von WannaCry unterbinden.

Einfach diese im DNS anlegen und auf einen Webserver zeigen lassen:
Killswitch Domains

Killswitch DNS entries

Solange auf einen GET eine Antwort mit 200 OK kommt passt alles.

Wenn man dann noch den Traffic auf diesem Webserver mitloggt, hat man einen Indikator für befallene Systeme.