外國人憑什麼懷疑 「想哭」勒索病毒是中國南方人做的？

WannaCry 勒索蠕蟲病毒很可能是中國人做的，而且南方人的可能性更大。

這幾天外國媒體一直在報道這件事，描述是如此細緻，以至於我差點兒就信了。還記得幾周前，WannaCry 勒索病毒剛爆發不久時，被懷疑的是朝鮮。

5月16日，卡巴斯基實驗室通過樣本分析，力證「WannaCry 中的一部分代碼和拉撒路組織用的惡意軟體代碼幾乎一模一樣」。而此前就有證據表明拉撒路組織和朝鮮官方有關，所以 WannaCry 可能是朝鮮人乾的。這一結論得到了不少網路安全公司和個人研究者的支持。沒過幾天，23日網路安全公司里的「老大哥」賽門鐵克也發話了 ——「我們發現了該勒索軟體與 Lazarus 團伙有所關聯的強力證據」。

就在越來越多的「證據」指向朝鮮，人們真的快相信勒索蠕蟲病毒就是朝鮮放出時，話風一轉，被懷疑的對象成了中國：有國外研究機構指出，WannaCry 蠕蟲病毒代碼出自於「講漢語的人」。

根據一家名叫閃點（ Flashpoint） 的英國科技公司的說法，WannaCry 勒索者極有可能是中國人做的，理由是勒索信里的中文用得太好了—— 敘述準確，文筆通暢，一氣呵成！

△勒索窗口

閃電公司列出了一組數據，把英文版本的勒索信用谷歌翻譯成了28種語言，發現大多數翻譯結果和勒索軟體中展示出來的信息高度一致（相似度大多超過96%），唯獨兩個語言版本完全不一樣：簡體中文和繁體中文。

△ 對比結果

雷鋒網按照這一結果，把其中的語句進行了簡單比對，發現確實如此。比如第一句「What happened to my computer?」，一般機器就會翻譯成「我的電腦怎麼了？」、「我的電腦發生了什麼？」但勒索軟體顯示的卻是「我的電腦出了什麼問題？」，這更像是人翻譯或者重新寫的而不像機器翻譯的。

閃點公司還發現，勒索者的中文水平似乎比英文水平更高。中文版本里的語句大多通暢流利，表達準確，就連標點符號都幾乎沒有用錯。但在英文版本里，卻經常出現一些看起來狗屁不通的句子：「But you have not so enough time」 。連句子的基本結構都用不好，說明他們的英文水平一定非常差，以中文為母語的可能性更大。

還有一個細節，在勒索信的下半部分，勒索者把「幫助」寫成了「幫組」，這很大程度上能證明他們使用的是中文拼音輸入法（拼音：bangzhu）。而且這種錯誤通常出現在「蘭方人」身上。

你可能會想，明明香港、台灣、新加坡等地區也用中文，憑什麼就說是中國大陸的南方人呢？閃點公司對此也有解釋：勒索信里有「禮拜」、「殺毒軟體」等詞。他們認為「禮拜」在中國大陸南方地區、香港、台灣、新加坡常見，而中國地區則更多用「星期」和「周」。

「殺毒軟體」一詞在台灣通常被稱作「反病毒軟體」因此也可以排除台灣地區的「嫌疑」。

△ 勒索軟體全文分析

至此他們得出了結論：

「我們有較高的信心，表明 WannaCry 勒索信用了流利的中文。至於勒索者具體是哪個國籍的，暫時還說不準。

我們認為很可能勒索者以中文作為母語，但也不能排除其他語言。雖然不排除有人故意以此來掩蓋身份，然而可能性不太大，因為這些語言特徵都是非常細微的，細節往往很難掩蓋。」

聽起來似乎證據很充分，讓雷鋒網編輯差一點就信了。可轉念忽然想起此前雷鋒網做過的幾篇報道：

2016年2月份，據卡巴斯基實驗室表示：「過去一年中，該公司發現的 62 個加密勒索軟體家族中，47 個由俄羅斯人或說俄語的人開發。」結果沒過幾天，就有另一個叫 BAE Systems 的研究機構就發現了有人惡意嫁禍俄羅斯黑客的證據。

雖說細節很難掩蓋，但如果刻意留下一些看似細節的證據，也是嫁禍的最佳手段。銷毀證據、嫁禍，如今已經成為黑客攻擊的必備流程了。

在2017年4月份，美國中情局（CIA）被披露的網路軍火庫中，就有一款叫「Marble」 的工具，它能將病毒、惡意代碼、木馬的真實源代碼進行混淆，轉換成中文、俄文等其他國家的語言，把「鍋」甩到其他國家。

從這個角度上來看，既然能開發專門的工具來「嫁禍」，那在勒索軟體里做一點混淆，故意留下點「小尾巴」也並非沒有可能。看來以後黑客攻擊都得注意點，提前找一個翻譯官最好！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！