Come i precedenti due menzionati, il malware non si collegava al nome di dominio non registrato. Il dominio non registrato era una tecnica che doveva essere utilizzata per impedire l'analisi del malware.
Spesso, quando i ricercatori di malware selezionano il malware, lo fanno in una macchina virtuale. Il modo in cui determinate macchine virtuali risolvono i nomi di dominio fa sì che i nomi di dominio non registrati vengano considerati "risolti" per le applicazioni in esecuzione sulla VM. Gli autori avanzati di malware lo sanno e così, prima di infettare la macchina, tenteranno spesso di connettersi a nomi di domini irrisolti casuali. Se questi nomi di dominio vengono risolti, segnala al malware che sta funzionando su una macchina virtuale. Se rileva questo, interromperà e rifiuterà di infettare la macchina. Questo rende l'analisi del malware più difficile.
Nel caso del malware WannaCry, l'autore ha tentato di creare una contromisura simile, ma lo ha fatto in modo errato. Ha codificato con difficoltà i nomi di dominio non registrati. Quindi, una volta che il ricercatore ha indirizzato il nome di dominio codificato su un sink DNS, tutti i computer infetti pensavano di infettare una VM. Quindi, invece di avviare il processo di crittografia, il malware è appena uscito per impedire ulteriori analisi.
Se l'autore avesse randomizzato il controllo del nome di dominio, la registrazione del nome di dominio non avrebbe fatto nulla.