Ez nem email-es vírus, legalábbis a jelentőssége nem ez. Valószínűleg a kezdeti terítést csinálták emailben, és utána az érdemi mértékű fertőzés az már a Win-ek sérülékenységét használja ki. Konkrétan random IP-címekre kezd el lőni (445-s porton). Először csekkolja hogy a sérülékenység az adott gépnél él-e, és ha igen akkor megnyomja. Emiatt felhasználói interakció nem kell hozzá, így jelentősen gyorsul a terjedési sebesség.
Másik difi, hogy ha egy korlátozott felhasználó benyalja, akkor korlátozot joga lesz a zsarolónak (általban). Ennél nem, itt tetszőleges joga lehet (attól függően hogy a sérülékenység kihasználásakor mi a target fájl, amibe beépül a szutyok. Pl lsass.exe.
Ettől még általánosságban igaz amit írsz, de ez az eset most nem az általános volt. (Volt?)