WannaCry 勒索蠕虫病毒很可能是中国人做的,而且南方人的可能性更大。
这几天外国媒体一直在报道这件事,描述是如此细致,以至于我差点儿就信了。还记得几周前,WannaCry 勒索病毒刚爆发不久时,被怀疑的是朝鲜。
5 月 16 日,卡巴斯基实验室通过样本分析,力证 “WannaCry 中的一部分代码和拉撒路组织用的恶意软件代码几乎一模一样”。而此前就有证据表明拉撒路组织和朝鲜官方有关,所以 WannaCry 可能是朝鲜人干的。这一结论得到了不少网络安全公司和个人研究者的支持。没过几天,23 日网络安全公司里的 “老大哥” 赛门铁克也发话了 ——“我们发现了该勒索软件与 Lazarus 团伙有所关联的强力证据”。
就在越来越多的 “证据” 指向朝鲜,人们真的快相信勒索蠕虫病毒就是朝鲜放出时,话风一转,被怀疑的对象成了中国:有国外研究机构指出,WannaCry 蠕虫病毒代码出自于 “讲汉语的人”。
根据一家名叫闪点( Flashpoint) 的英国科技公司的说法,WannaCry 勒索者极有可能是中国人做的,理由是勒索信里的中文用得太好了—— 叙述准确,文笔通畅,一气呵成!
△勒索窗口
闪电公司列出了一组数据,把英文版本的勒索信用谷歌翻译成了 28 种语言,发现大多数翻译结果和勒索软件中展示出来的信息高度一致(相似度大多超过 96%),唯独两个语言版本完全不一样:简体中文和繁体中文。
△对比结果
雷锋网按照这一结果,把其中的语句进行了简单比对,发现确实如此。比如第一句 “What happened to my computer?”,一般机器就会翻译成 “我的电脑怎么了?”、“我的电脑发生了什么?” 但勒索软件显示的却是 “我的电脑出了什么问题?”,这更像是人翻译或者重新写的而不像机器翻译的。
闪点公司还发现,勒索者的中文水平似乎比英文水平更高。中文版本里的语句大多通畅流利,表达准确,就连标点符号都几乎没有用错。但在英文版本里,却经常出现一些看起来狗屁不通的句子:“But you have not so enough time” 。连句子的基本结构都用不好,说明他们的英文水平一定非常差,以中文为母语的可能性更大。
还有一个细节,在勒索信的下半部分,勒索者把 “帮助” 写成了 “帮组”,这很大程度上能证明他们使用的是中文拼音输入法(拼音:bangzhu)。而且这种错误通常出现在 “兰方人” 身上。
你可能会想,明明香港、台湾、新加坡等地区也用中文,凭什么就说是中国大陆的南方人呢?闪点公司对此也有解释:勒索信里有 “礼拜”、“杀毒软件” 等词。他们认为 “礼拜” 在中国大陆南方地区、香港、台湾、新加坡常见,而中国地区则更多用 “星期” 和 “周”。
“杀毒软件” 一词在台湾通常被称作 “反病毒軟體” 因此也可以排除台湾地区的 “嫌疑”。
至此他们得出了结论:
“我们有较高的信心,表明 WannaCry 勒索信用了流利的中文。至于勒索者具体是哪个国籍的,暂时还说不准。
我们认为很可能勒索者以中文作为母语,但也不能排除其他语言。虽然不排除有人故意以此来掩盖身份,然而可能性不太大,因为这些语言特征都是非常细微的,细节往往很难掩盖。”
听起来似乎证据很充分,让雷锋网 (公众号:雷锋网) 编辑差一点就信了。可转念忽然想起此前雷锋网做过的几篇报道:
2016 年 2 月份,据卡巴斯基实验室表示:“过去一年中,该公司发现的 62 个加密勒索软件家族中,47 个由俄罗斯人或说俄语的人开发。” 结果没过几天,就有另一个叫 BAE Systems 的研究机构就发现了有人恶意嫁祸俄罗斯黑客的证据。
虽说细节很难掩盖,但如果刻意留下一些看似细节的证据,也是嫁祸的最佳手段。销毁证据、嫁祸,如今已经成为黑客攻击的必备流程了。
在 2017 年 4 月份,美国中情局(CIA)被披露的网络军火库中,就有一款叫 “Marble” 的工具,它能将病毒、恶意代码、木马的真实源代码进行混淆,转换成中文、俄文等其他国家的语言,把 “锅” 甩到其他国家。
从这个角度上来看,既然能开发专门的工具来 “嫁祸”,那在勒索软件里做一点混淆,故意留下点 “小尾巴” 也并非没有可能。看来以后黑客攻击都得注意点,提前找一个翻译官最好!