Como mencionaron los dos anteriores, el malware no se estaba conectando al nombre de dominio no registrado. El dominio no registrado era una técnica que se suponía que debía usarse para evitar el análisis del malware.
Muchas veces, cuando los investigadores de malware están seleccionando malware, lo hacen en una máquina virtual. La forma en que ciertas máquinas virtuales resuelven los nombres de dominio hace que los nombres de dominio no registrados se consideren "resueltos" para las aplicaciones que se ejecutan en la máquina virtual. Los autores de malware avanzados lo saben y, por lo tanto, antes de infectar la máquina, a menudo intentarán conectarse a nombres de dominio no resueltos aleatorios. Si estos nombres de dominio se resuelven, entonces le indica al malware que está funcionando en una máquina virtual. Si detecta esto, abortará y se negará a infectar la máquina. Esto hace que el análisis del malware sea más difícil.
En el caso del malware WannaCry, el autor intentó crear una contramedida similar, pero lo hizo incorrectamente. Él codificó los nombres de dominio no registrados. Entonces, una vez que el investigador apuntó el nombre de dominio codificado a un receptor de DNS, todas las computadoras infectadas pensaron que estaban infectando una máquina virtual. Entonces, en lugar de iniciar el proceso de cifrado, el malware acaba de salir para evitar un mayor análisis.
Si el autor hubiera aleatorizado la comprobación del nombre de dominio, el registro del nombre de dominio no habría hecho nada.