Los ataques usaron exploits diseñados para impactar a redes corporativas. Las empresas también fueron atacadas por otras clases de ransomware.
En 2017, 26.2% de los objetivos del ransomware fueron usuarios empresariales, en comparación con 22.6% en 2016. De acuerdo con Kaspersky Lab, este año se recordará como el momento en el que la amenaza del ransomware repentinamente evolucionó con agentes de amenazas avanzados dirigidos a empresas de todo el mundo por medio de una serie de ataques destructivos con gusanos y cuyo objetivo final aún es un misterio. Los ataques incluyeron WannaCry el 12 de mayo, ExPetr el 27 de junio y BadRabbit a fines de octubre. 
La empresa de seguridad indica que todos los ataques utilizaron exploits diseñados para afectar a las redes corporativas; además, las empresas también fueron atacadas por otras clases de ransomware.
Otras tendencias del ransomware detectadas en este año fueron:
- En general, poco menos de 950,000 usuarios únicos fueron atacados en 2017, en comparación con cerca de 1.5 millones en 2016, y esto se debe a la metodología de detección, ya que la descarga de cryptomalware se detectan mejor con las tecnologías heurísticas.
- Los tres principales ataques, y otros como AES-NI y Uiwix, usaron exploits avanzados filtrados en línea durante la primavera de 2017 por un grupo conocido como Shadow Brokers.
- Hubo una reducción en cuanto a nuevas familias de ransomware (38 en 2017, frente a 62 en 2016), con un incremento equivalente en las modificaciones al ransomware existente (más de 96,000 nuevas modificaciones detectadas en 2017, en comparación con 54,000 en 2016). El aumento en las modificaciones puede ser reflejo de los intentos de los atacantes por confundir su ransomware a medida que las soluciones de seguridad se hacen mejores para detectarlos.
- A partir del segundo trimestre de 2017, varios grupos finalizaron sus actividades de ransomware y publicaron las claves necesarias para descifrar los archivos. Estos incluyen AES-NI, xdata, Petya/Mischa/GoldenEye y Crysis. Crysis reapareció más tarde, posiblemente resucitado por un grupo diferente.
- La tendencia creciente de compañías infectadas a través de sistemas de escritorio remoto continuó en 2017, cuando este enfoque se convirtió en uno de los principales métodos de propagación para varias familias diseminadas, como Crysis, Purgen / GlobeImposter y Cryakl.
- Aproximadamente 65% de las empresas que fueron impactadas por ransomware en 2017, aseguró haber perdido acceso a una cantidad significativa de datos o incluso a todos sus datos; una de cada seis de las que pagaron nunca recuperó sus datos. Estas cifras coinciden en gran medida con las de 2016.