WannaCry 勒索蠕虫病毒很可能是中国人做的,而且南方人的可能性更大。
这几天外国媒体一直在报道这件事,描述是如此细致,以至于我差点儿就信了。还记得几周前,WannaCry 勒索病毒刚爆发不久时,被怀疑的是朝鲜。
5月16日,卡巴斯基实验室通过样本分析,力证“WannaCry 中的一部分代码和拉撒路组织用的恶意软件代码几乎一模一样”。而此前就有证据表明拉撒路组织和朝鲜官方有关,所以 WannaCry 可能是朝鲜人干的。这一结论得到了不少网络安全公司和个人研究者的支持。没过几天,23日网络安全公司里的“老大哥”赛门铁克也发话了 ——“我们发现了该勒索软件与 Lazarus 团伙有所关联的强力证据”。
就在越来越多的“证据”指向朝鲜,人们真的快相信勒索蠕虫病毒就是朝鲜放出时,话风一转,被怀疑的对象成了中国:有国外研究机构指出,WannaCry 蠕虫病毒代码出自于“讲汉语的人”。
根据一家名叫闪点( Flashpoint) 的英国科技公司的说法,WannaCry 勒索者极有可能是中国人做的,理由是勒索信里的中文用得太好了—— 叙述准确,文笔通畅,一气呵成!
△勒索窗口
闪电公司列出了一组数据,把英文版本的勒索信用谷歌翻译成了28种语言,发现大多数翻译结果和勒索软件中展示出来的信息高度一致(相似度大多超过96%),唯独两个语言版本完全不一样:简体中文和繁体中文。
△ 对比结果
雷锋网(公众号:雷锋网)按照这一结果,把其中的语句进行了简单比对,发现确实如此。比如第一句“What happened to my computer?”,一般机器就会翻译成“我的电脑怎么了?”、“我的电脑发生了什么?”但勒索软件显示的却是“我的电脑出了什么问题?”,这更像是人翻译或者重新写的而不像机器翻译的。
闪点公司还发现,勒索者的中文水平似乎比英文水平更高。中文版本里的语句大多通畅流利,表达准确,就连标点符号都几乎没有用错。但在英文版本里,却经常出现一些看起来狗屁不通的句子:“But you have not so enough time” 。连句子的基本结构都用不好,说明他们的英文水平一定非常差,以中文为母语的可能性更大。
还有一个细节,在勒索信的下半部分,勒索者把“帮助”写成了“帮组”,这很大程度上能证明他们使用的是中文拼音输入法(拼音:bangzhu)。而且这种错误通常出现在“兰方人”身上。
你可能会想,明明香港、台湾、新加坡等地区也用中文,凭什么就说是中国大陆的南方人呢?闪点公司对此也有解释:勒索信里有“礼拜”、“杀毒软件”等词。他们认为“礼拜”在中国大陆南方地区、香港、台湾、新加坡常见,而中国地区则更多用“星期”和“周”。
“杀毒软件”一词在台湾通常被称作“反病毒軟體”因此也可以排除台湾地区的“嫌疑”。
△ 勒索软件全文分析
至此他们得出了结论:
“我们有较高的信心,表明 WannaCry 勒索信用了流利的中文。至于勒索者具体是哪个国籍的,暂时还说不准。
我们认为很可能勒索者以中文作为母语,但也不能排除其他语言。虽然不排除有人故意以此来掩盖身份,然而可能性不太大,因为这些语言特征都是非常细微的,细节往往很难掩盖。”
听起来似乎证据很充分,让雷锋网编辑差一点就信了。可转念忽然想起此前雷锋网做过的几篇报道:
2016年2月份,据卡巴斯基实验室表示:“过去一年中,该公司发现的 62 个加密勒索软件家族中,47 个由俄罗斯人或说俄语的人开发。”结果没过几天,就有另一个叫 BAE Systems 的研究机构就发现了有人恶意嫁祸俄罗斯黑客的证据。
虽说细节很难掩盖,但如果刻意留下一些看似细节的证据,也是嫁祸的最佳手段。销毁证据、嫁祸,如今已经成为黑客攻击的必备流程了。
在2017年4月份,美国中情局(CIA)被披露的网络军火库中,就有一款叫“Marble” 的工具,它能将病毒、恶意代码、木马的真实源代码进行混淆,转换成中文、俄文等其他国家的语言,把“锅”甩到其他国家。
从这个角度上来看,既然能开发专门的工具来“嫁祸”,那在勒索软件里做一点混淆,故意留下点“小尾巴”也并非没有可能。看来以后黑客攻击都得注意点,提前找一个翻译官最好!
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/105613.html