Flashpoint的两位研究员Jon Condra和John Costello称，从语言的角度分析，WannaCry勒索软件背后的开发者可能来自说中文的国家。

近期Wannacry勒索病毒肆虐全球，由于病毒利用了Windows系统的网络服务(SMB)漏洞，具有主动传播的特性，在全球范围内已经对多家医院、服务机构、学校等进行了勒索攻击，该病毒在全球的广泛传播最近几年实属罕见。

在病毒获得大家关注的同时， 病毒的来源也引发了大家的猜测，病毒爆发后，Google、卡巴斯基和赛门铁克等公司安全研究者相继发布消息称，WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系，他们的分析基于恶意软件代码中的相似性。不过也有人认为，这场攻击并不符合朝鲜的作风，也不符合朝鲜利益。

勒索软件语言文件基于英语和中文

来自Flashpoint的研究员则从语言的角度尝试溯源。勒索软件中的提示信息提供了28种不同的语言，包括挪威语，波兰语，葡萄牙语，罗马尼亚语，挪威语，俄语，印尼语，意大利语，荷兰语，英语，菲律宾语，芬兰语，保加利亚语，繁体中文，简体中文，俄语，斯洛伐克语，西班牙语，瑞典语。经过分析，研究人员认为病毒开发者中文和英语都非常流利。

研究人员认为所有其他的语言文件都基于英语和中文，其他语言都是由英语翻译而来，存在很多错误和不准确的翻译，除了中文。中文的勒索信息与其他语言的勒索信息截然不同。中文勒索信息使用了正确的语法、标点和句法，而且应该是用中文（拼音）输入法写的。

Flashpoint的研究人员发现，繁体中文和简体中文的勒索信息相比英语更长，格式也不同，很多信息在其他语言中是没有的。

比如“就算老天爷来了也不能恢复这些文档”在英文的勒索信息中只是”Nobody can recover your files without our decryption service.”而“请您放心，我是绝不会骗你的”则完全没有出现在英语版本中。

信息的撰写者能够用中文表达错综复杂的意思。这样看来，至少勒索信息的撰写者一定懂中文，并且不太可能是中文爱好者。其实从以下两张图中的勒索信息我们可以看出，勒索软件作者中文十级（尽管有一些中文表达并不通顺，但我们也不能排除作者故意假装外国人的可能性）：

中文勒索信息

英语勒索信息

关键发现

尽管英文版的勒索信息写的也很好，撰写者英语不错，但是信息中还是存在语法错误，这表明作者母语不是英语，或者受教育程度不高。

另一方面，Flashpoint的研究人员将中英文的勒索信息放到Google翻译中进行了比较，但实际上我们作为中国人，一眼就能看出中文勒索信息不可能翻译自英文。

勒索信息中的笔误也与我们的结论相互验证，比如信息中出现了“帮组”，实际应为“帮助”。

通过对勒索信息中的一些用语进行分析，我们其实可以进一步缩小范围。比如勒索信息中用到了“礼拜”，这个用法更多出现在中国南方、香港、台湾或者新加坡。而“杀毒软件”则是大陆的用语，港台地区则会使用“防毒软件（软体）”。

除此之外，小编在网上看到了一些信息，虽然不能表明作者为中国人，但能从一定程度上显示勒索软件作者对中国相当了解。

*参考来源：SecurityWeek，本文作者：Sphinx，转载请注明来自FreeBuf.COM

>>>【全民狂欢，评论有礼】5月15日-31日评论每日更新的“新闻资讯和软件更新资讯”，评论点赞数超过 20 的可登上每周更新的“源资讯”和“软件周刊”两大栏目，点赞数超过 50 的还将获得 5 活跃积分奖励和开源中国定制好礼。详情

新闻来源：WannaCry 勒索软件背后的开发者可能是中国人？