MalwareTech (Marcus Hutchins) là người tìm ra Killswitch của WannaCry

Để biết về cách Killswitch hoạt động thì trước hết ta cần tìm hiểu cách mà wanna cry hoạt động: 

khi wannacry kiểm tra becon, virus sẽ gọi ra một link, nếu link trả về phản hồi thì tức là hacker đã kiểm soát tên miền này và virus sẽ dừng lại (đây là lí do vì sao tên miền được đặt rất vớ vấn -> không ai để ý tới). Liên quan đến tên miền này, MalwareTech sau khi xem xét mã nguồn của WCry đã phát hiện ra cơ chế beacon nói trên. Anh ta mua tên miền đó với mục tiêu nghiên cứu xem có bao nhiêu người đã bị dính, nhưng không nhờ đây lại là "kill switch" để khiến wannacry phải dừng lại. Nhờ đó, anh đã vô tình kích hoạt một phần trong code của mã độc khiến nó ngừng phát tán.

Bước 1, chạy file Exe
Bước 2: kiểm tra beacon
Bước 3: Khai thác giao thức SMB để lây lan
Bước 4:Tạo service tasks.exe
Bước 5: Chuẩn bị file Tor, ví Bitcoin
Bước 6: Cấp quyền thực thi
Bước 7: Chuẩn bị file key để mã hóa
Bước 8: Chạy mã hóa file
Bước 9: Thêm Wcry vào danh sách app chạy cùng Win
Bước 10: Tự backup bản thân
Bước 11: Tạo file README từ file cấu hình 
Bước 12: Kill các process về database, email
Bước 13: Xóa các vùng shadow của ổ cứng nếu có
 Có thể ám chỉ công ty Lazarus có liên quan đến Triều Tiên đứng sau vụ việc. Nhưng vẫn chưa xác định được