Flashpoint的两位研究员Jon Condra和John Costello称,从语言的角度分析,WannaCry勒索软件背后的开发者可能来自说中文的国家。 近期Wannacry勒索病毒肆虐全球,由于病毒利用了Windows系统的网络服务(SMB)漏洞,具有主动传播的特性,在全球范围内已经对多家医院、服务机构、学校等进行了勒索攻击,该病毒在全球的广泛传播最近几年实属罕见。 在病毒获得大家关注的同时, 病毒的来源也引发了大家的猜测,病毒爆发后,Google、卡巴斯基和赛门铁克等公司安全研究者相继发布消息称,WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系,他们的分析基于恶意软件代码中的相似性。不过也有人认为,这场攻击并不符合朝鲜的作风,也不符合朝鲜利益。 勒索软件语言文件基于英语和中文来自Flashpoint的研究员则从语言的角度尝试溯源。勒索软件中的提示信息提供了28种不同的语言,包括挪威语,波兰语,葡萄牙语,罗马尼亚语,挪威语,俄语,印尼语,意大利语,荷兰语,英语,菲律宾语,芬兰语,保加利亚语,繁体中文,简体中文,俄语,斯洛伐克语,西班牙语,瑞典语。经过分析,研究人员认为病毒开发者中文和英语都非常流利。 研究人员认为所有其他的语言文件都基于英语和中文,其他语言都是由英语翻译而来,存在很多错误和不准确的翻译,除了中文。中文的勒索信息与其他语言的勒索信息截然不同。中文勒索信息使用了正确的语法、标点和句法,而且应该是用中文(拼音)输入法写的。 Flashpoint的研究人员发现,繁体中文和简体中文的勒索信息相比英语更长,格式也不同,很多信息在其他语言中是没有的。 比如“就算老天爷来了也不能恢复这些文档”在英文的勒索信息中只是”Nobody can recover your files without our decryption service.”而“请您放心,我是绝不会骗你的”则完全没有出现在英语版本中。 信息的撰写者能够用中文表达错综复杂的意思。这样看来,至少勒索信息的撰写者一定懂中文,并且不太可能是中文爱好者。其实从以下两张图中的勒索信息我们可以看出,勒索软件作者中文十级(尽管有一些中文表达并不通顺,但我们也不能排除作者故意假装外国人的可能性): 中文勒索信息 英语勒索信息 关键发现尽管英文版的勒索信息写的也很好,撰写者英语不错,但是信息中还是存在语法错误,这表明作者母语不是英语,或者受教育程度不高。 另一方面,Flashpoint的研究人员将中英文的勒索信息放到Google翻译中进行了比较,但实际上我们作为中国人,一眼就能看出中文勒索信息不可能翻译自英文。 勒索信息中的笔误也与我们的结论相互验证,比如信息中出现了“帮组”,实际应为“帮助”。 通过对勒索信息中的一些用语进行分析,我们其实可以进一步缩小范围。比如勒索信息中用到了“礼拜”,这个用法更多出现在中国南方、香港、台湾或者新加坡。而“杀毒软件”则是大陆的用语,港台地区则会使用“防毒软件(软体)”。 除此之外,小编在网上看到了一些信息,虽然不能表明作者为中国人,但能从一定程度上显示勒索软件作者对中国相当了解。 *参考来源:SecurityWeek,本文作者:Sphinx,转载请注明来自FreeBuf.COM |