语言学分析表明，恶意黑客可能来自中国南方

然而，两周前，谷歌（Google）、卡巴斯基实验室（Kaspersky Lab）、英特泽（Intezer）和赛门铁克（Symantec）的研究人员将万纳克里（WannaCry）与“Lazarus Group”联系起来，后者是一个国家资助的黑客组织，据信为朝鲜政府工作。

现在，黑暗网络情报公司Flashpoint的最新研究表明，根据其自身的语言分析，犯罪者可能是中国人。

Flashpoint研究人员乔恩·康德拉（Jon Condra）和约翰·科斯特洛（John Costello）分析了瓦纳克里（WannaCry）的本地化赎金笔记的内容、准确性和风格，发现除了英文和中文版本（简体和繁体），所有笔记都是通过谷歌翻译（Google Translate）翻译的。
根据这项研究，勒索软件记录的中英文版本很可能是由人写的。

经过进一步分析，研究人员发现，英文勒索记录中有一个“明显的”语法错误，这表明勒索软件的作者可能是非英语母语人士。

“虽然英文便笺似乎是由英语水平很高的人写的，但便笺中明显的语法错误表明说话者不是本地人，或者可能受教育程度较低”。

由于谷歌翻译不擅长将中文翻译成英文和英文翻译成中文，并且经常产生不准确的结果，因此可以编写英文版本，将赎金通知翻译成其他语言。

“将谷歌翻译的英文勒索软件注释与相应的WannaCry勒索注释进行比较，结果几乎相同，匹配率为96%或更高。”

根据Flashpoint报告，中文赎金便笺包含“任何其他版本的便笺中都不存在的实质性内容”，而且它们比英文便笺长，格式也不同。
中文赎金笔记还使用了正确的语法、标点符号、语法和字符选择，表明勒索软件的作者能流利地使用中文。

“便条上有个打字错误，邦祖(幫組) 而不是邦珠(幫助), 这意味着“帮助”，强烈表明该便条是用中文输入系统编写的，而不是从不同版本翻译过来的，”研究人员解释说。

“文本中使用的某些术语进一步缩小了地理位置的范围禮拜 ) 在华南、香港、台湾和新加坡，“周”更常见。“另一个”杀毒软件因为“杀毒”在中国大陆更常见

所有这些线索都让Flashpoint研究人员满怀信心地相信，WannaCry勒索软件的一个或多个未知作者会说流利的中文，而中文是勒索便条英文版本的来源。

然而，Flashpoint的研究人员表示，很难推测WannaCry黑客的国籍，因为他们可能隶属于任何亚洲国家(中国、香港、台湾或新加坡)。

WannaCry流行病在短短72小时内袭击了150多个国家的30多万台电脑，利用自我传播能力感染易受攻击的Windows电脑，尤其是那些使用旧版本操作系统的电脑。

虽然大多数受影响的组织现已恢复正常，但世界各地的执法机构正在追捕。