据外媒（CNET）报道，安全机构对WannaCry勒索病毒幕后黑手身份的调查又有新进展。美国安全公司Flashpoint在本周五发表分析报告，称他们通过语言分析认为病毒背后的发起者（或发起者之一）可能是一名中文母语者。

语法错误暴露黑客用词习惯

美国Flashpoint网络情报公司说，除了英文、繁体中文和简体中文版本，字条的几乎所有语言版本都是用谷歌翻译工具翻的。Flashpoint公司说，中英文版本看起来是人工书写的。>>有新病毒正悄然来袭 与勒索病毒来源相同

这家公司25日在其网站上发表一篇分析文章称：“虽然英文版看起来是由能够很好地驾驭英文的人写的，但字条中一处非常明显的语法错误，表明此人要么母语不是英语，要么受教育程度不高。”

文章还说，英文版还省略了中文版本中的几句话，但其他语言版本都是从英文版用机器翻译过去的。报道称，与此同时，中文版本表达流畅，看起来是由母语是中文的人写的。

中文版本中的“帮助”一词打错了，打成“帮组”，这表明用的是中文输入法。

文章说，中文版本中还用了“礼拜”一词，这个表达在中国南方、香港、台湾和新加坡更常用。

病毒制作工具来自美国安局

5月13日开始，一种名为"WanaCrypt0r 2.0"的蠕虫病毒开始在互联网上蔓延，它可以使感染的电脑在10秒内锁住，电脑里所有文件全被加密无法打开，只有按弹窗提示交赎金才能解密。>>为何单独钟情比特币?勒索病毒的前世今生

据《华盛顿邮报》报道，这种病毒被广泛认定为是根据美国国家安全局(NSA)此前泄露的黑客渗透工具之一--永恒之蓝(Eternal Blue)升级而来。网络专家称，这份文件被叫做影子经纪人(Shadow Brokers)的犯罪团伙偷走，并于4月公布于众。

根据此前的报道，影子经纪人盗走的黑客工具远不止"永恒之蓝"，他们声称入侵了NSA的黑客武器库，获得了大量的互联网攻击工具。

朝鲜被怀疑为勒索病毒幕后黑手

据路透社等多家外媒报道，肆虐全球的电脑勒索病毒 WnanaCry 可能与朝鲜有关。谷歌和卡巴斯基实验室等多个机构经过研究后发现，恶意程序代码中的线索将幕后黑手的身份指向了朝鲜。>>揭秘勒索病毒背后黑客组织:曾被称黑客中的"军火商"

谷歌安全研究人员尼奥·梅塔(Neel Mehta)在其社交媒体上表示，此次肆虐全球的 WannaCry 勒索病毒和之前国际神秘黑客组织"拉撒路"(Lazarus Group)使用的恶意软件脚本非常一致，而该组织此前就被多家安全机构认定来自朝鲜。

据雷锋网了解，拉撒路组织曾涉及2014年索尼影业遭攻击事件以及史上规模最大的银行黑客盗窃案--孟加拉国中央银行失窃8100万美元案件。

网络安全公司 Proofpoint 和卡巴斯基实验室将 尼奥·梅塔 提供的样本进行分析后也发现，WannaCry 中的一部分代码和拉撒路组织用的恶意软件代码几乎一模一样 -- 两者使用了相同的随机数生成0到75之间的随机数，用于对劫持数据的加密以及通过混淆，避免安全工具的检测。