De WannaCry-ransomware is zeer waarschijnlijk door Chineestalige auteurs ontwikkeld, zo claimt securitybedrijf Flashpoint op basis van een taalanalyse van de melding die de ransomware op besmette computers laat zien. WannaCry toont een scherm met instructies en een timer die aftelt.

In het bericht staat dat gebruikers voor het ontsleutelen van hun bestanden 300 dollar in bitcoin moeten betalen. De ransomware ondersteunt in totaal 27 verschillende talen. Afhankelijk van de taalinstelling van de computer wordt er een lokale versie van de instructies getoond. Bijna alle berichten zijn echter via Google Translate vertaald, aldus Flashpoint. Alleen de Engelse en twee Chinese versies zijn zeer waarschijnlijk door mensen gemaakt.

In de Engelse versie werd echter een grammaticale fout ontdekt wat suggereert dat de schrijver Engels niet als moedertaal heeft of laag is opgeleid, zo stelt het securitybedrijf. De Engelse versie was echter als bron voor alle vertalingen gebruikt, op de twee Chinese versies na. De Chinese versies verschillen namelijk behoorlijk qua inhoud, opmaak en toon.

Aan de hand van een aantal unieke eigenschappen stelt Flashpoint dat de twee Chinese versies zijn gemaakt door iemand die vloeiend in Chinees is of Chinees als moedertaal heeft. Daarnaast bevatten de Chinese versies meer tekst die niet in de andere versies voorkomt. Verder wijst het gebruik van bepaalde termen op iemand die uit Zuid-China, Hongkong, Taiwan of Singapore afkomstig is. De Chinese versies zouden uiteindelijk als basis voor de Engelstalige versie zijn gebruikt. Flashpoint zegt dan ook dat het "met een hoge mate van zekerheid" vaststelt dat het om Chineestalige auteurs gaat.