Эксперты продолжают изучать вымогателя WannaCry и пытаются разобраться в том, кто стоял за массовыми вымогательскими атаками.

Паника, которую породили атаки шифровальщика WannaCry, постепенно стихает, а ИБ-специалисты пытаются понять, кто стоял за его разработкой и придумал распространять вымогателя с помощью эксплоитов ETERNALBLUE и DOUBLEPULSAR, похищенных у АНБ.

До сих пор доподлинно неизвестно, на ком именно лежит ответственность за происшедшее. Еще на прошлой неделе специалисты компании Symantec и «Лаборатории Касперского» представили анализ случившегося и сообщили, что с большой долей вероятности шифровальщика создали северокорейские хакеры из небезызвестной группировки Lazarus, за которой эксперты наблюдают уже много лет.

Теперь мыслями о происхождении WannaCry поделились и сотрудники компании Flashpoint, Джон Кондра (Jon Condra) и Джон Костелло (John Costello). К делу они подошли довольно необычно и изучали не исходные коды и поведение малвари, но провели лингвистический анализ сообщения с требованием выкупа. Хотя WannaCry поддерживает 28 разных языков, исследователи уверяют, что разработчики шифровальщика достаточно свободно говорят и пишут лишь на китайском и английском.

По словам специалистов Flashpoint, в основе почти всех вымогательских посланий WannaCry лежит один и тот же текст, написанный на английском и китайском языках. Так, если взять английскую версию текста и пропустить ее через Google Translate, переведя на другой язык, полученный текст будет на 96% совпадать с реальным вымогательским сообщениям, которые отображает WannaCry. По сути, английская версия текста использовалась как шаблон для создания вымогательских сообщений на других языках. Однако послание на китайском языке было написано не с помощью машинного перевода.

Исследователи пишут, что разработчик или разработчики WannaCry определенно хорошо знают китайский язык. На это обстоятельство указывает тот факт, что вымогательское сообщение представлено в двух вариантах: один использует традиционные иероглифы, а другой упрощенные. Кроме того, вымогательское послание на китайском явно отличается от английского шаблона, и его писал человек, хорошо знакомый с тонкостями языка.

«Несмотря на то, что сообщение на английском явно написано кем-то, кто хорошо владеет языком, явные грамматические ошибки в послании указывают на то, что английский язык не является для этого человека родным или он плохо образован.

Два вымогательских сообщения на китайском языке существенно отличаются от остальных, как по формату, так и манере написания. Google Translate провалил китайско-английский и английско-китайский тесты, представив неточные результаты. Это наводит на мысль о том, что китайский текст, скорее всего, не был сгенерирован на базе английского шаблона.

Сразу несколько отличительных черт послания говорят о том, что текст был написан [человеком], который свободно владеет китайским языком. К примеру, опечатка «帮组» вместо «帮助», что означает «помощь», явственно указывает на то, что текст был набран с помощью системы ввода иероглифов, а не сгенерирован машиной, путем перевода с другого языка. Более того, в сообщении используется правильная грамматика, пунктуация, синтаксис и все символы подобраны верно, а это говорит о том, что автор, вероятнее всего, свободно владеет [китайским языком] или родился в Китае. В тексте, тем не менее, есть как минимум одна незначительная грамматическая ошибка, но ее можно отнести на счет автозаполнения или принять за ошибку при копировании.

Также в тексте используются термины, которые позволяют дополнительно сузить возможный круг географического местоположения [разработчиков]. Так, выражение «礼拜» означает «неделя» и оно наиболее распространено на юге Китая, в Гонконге, на Тайване и в Сингапуре. «杀毒软件» означает «антивирус» и такое написание чаще всего встречается в континентальном Китае».

Источник:  Хакер.ru