WannaCry 勒索蠕蟲(chóng)病毒很可能是中國(guó)人做的，而且南方人的可能性更大。

這幾天外國(guó)媒體一直在報(bào)道這件事，描述是如此細(xì)致，以至于我差點(diǎn)兒就信了。還記得幾周前，WannaCry 勒索病毒剛爆發(fā)不久時(shí)，被懷疑的是朝鮮。 

5月16日，卡巴斯基實(shí)驗(yàn)室通過(guò)樣本分析，力證“WannaCry 中的一部分代碼和拉撒路組織用的惡意軟件代碼幾乎一模一樣”。而此前就有證據(jù)表明拉撒路組織和朝鮮官方有關(guān)，所以 WannaCry 可能是朝鮮人干的。這一結(jié)論得到了不少網(wǎng)絡(luò)安全公司和個(gè)人研究者的支持。沒(méi)過(guò)幾天，23日網(wǎng)絡(luò)安全公司里的“老大哥”賽門(mén)鐵克也發(fā)話(huà)了 ——“我們發(fā)現(xiàn)了該勒索軟件與 Lazarus 團(tuán)伙有所關(guān)聯(lián)的強(qiáng)力證據(jù)”。

就在越來(lái)越多的“證據(jù)”指向朝鮮，人們真的快相信勒索蠕蟲(chóng)病毒就是朝鮮放出時(shí)，話(huà)風(fēng)一轉(zhuǎn)，被懷疑的對(duì)象成了中國(guó)：有國(guó)外研究機(jī)構(gòu)指出，WannaCry 蠕蟲(chóng)病毒代碼出自于“講漢語(yǔ)的人”。

根據(jù)一家名叫閃點(diǎn)（ Flashpoint） 的英國(guó)科技公司的說(shuō)法，WannaCry 勒索者極有可能是中國(guó)人做的，理由是勒索信里的中文用得太好了—— 敘述準(zhǔn)確，文筆通暢，一氣呵成！

△勒索窗口

閃電公司列出了一組數(shù)據(jù)，把英文版本的勒索信用谷歌翻譯成了28種語(yǔ)言，發(fā)現(xiàn)大多數(shù)翻譯結(jié)果和勒索軟件中展示出來(lái)的信息高度一致（相似度大多超過(guò)96%），唯獨(dú)兩個(gè)語(yǔ)言版本完全不一樣：簡(jiǎn)體中文和繁體中文。

△ 對(duì)比結(jié)果

雷鋒網(wǎng)按照這一結(jié)果，把其中的語(yǔ)句進(jìn)行了簡(jiǎn)單比對(duì)，發(fā)現(xiàn)確實(shí)如此。比如第一句“What happened to my computer?”，一般機(jī)器就會(huì)翻譯成“我的電腦怎么了？”、“我的電腦發(fā)生了什么？”但勒索軟件顯示的卻是“我的電腦出了什么問(wèn)題？”，這更像是人翻譯或者重新寫(xiě)的而不像機(jī)器翻譯的。

閃點(diǎn)公司還發(fā)現(xiàn)，勒索者的中文水平似乎比英文水平更高。中文版本里的語(yǔ)句大多通暢流利，表達(dá)準(zhǔn)確，就連標(biāo)點(diǎn)符號(hào)都幾乎沒(méi)有用錯(cuò)。但在英文版本里，卻經(jīng)常出現(xiàn)一些看起來(lái)狗屁不通的句子：“But you have not so enough time” 。連句子的基本結(jié)構(gòu)都用不好，說(shuō)明他們的英文水平一定非常差，以中文為母語(yǔ)的可能性更大。

還有一個(gè)細(xì)節(jié)，在勒索信的下半部分，勒索者把“幫助”寫(xiě)成了“幫組”，這很大程度上能證明他們使用的是中文拼音輸入法（拼音：bangzhu）。而且這種錯(cuò)誤通常出現(xiàn)在“蘭方人”身上。

你可能會(huì)想，明明香港、臺(tái)灣、新加坡等地區(qū)也用中文，憑什么就說(shuō)是中國(guó)大陸的南方人呢？閃點(diǎn)公司對(duì)此也有解釋?zhuān)豪账餍爬镉小岸Y拜”、“殺毒軟件”等詞。他們認(rèn)為“禮拜”在中國(guó)大陸南方地區(qū)、香港、臺(tái)灣、新加坡常見(jiàn)，而中國(guó)地區(qū)則更多用“星期”和“周”。

“殺毒軟件”一詞在臺(tái)灣通常被稱(chēng)作“反病毒軟體”因此也可以排除臺(tái)灣地區(qū)的“嫌疑”。

△ 勒索軟件全文分析

至此他們得出了結(jié)論：

“我們有較高的信心，表明 WannaCry 勒索信用了流利的中文。至于勒索者具體是哪個(gè)國(guó)籍的，暫時(shí)還說(shuō)不準(zhǔn)。

我們認(rèn)為很可能勒索者以中文作為母語(yǔ)，但也不能排除其他語(yǔ)言。雖然不排除有人故意以此來(lái)掩蓋身份，然而可能性不太大，因?yàn)檫@些語(yǔ)言特征都是非常細(xì)微的，細(xì)節(jié)往往很難掩蓋?！?/p>

聽(tīng)起來(lái)似乎證據(jù)很充分，讓雷鋒網(wǎng)編輯差一點(diǎn)就信了?？赊D(zhuǎn)念忽然想起此前雷鋒網(wǎng)做過(guò)的幾篇報(bào)道：

2016年2月份，據(jù)卡巴斯基實(shí)驗(yàn)室表示：“過(guò)去一年中，該公司發(fā)現(xiàn)的 62 個(gè)加密勒索軟件家族中，47 個(gè)由俄羅斯人或說(shuō)俄語(yǔ)的人開(kāi)發(fā)。”結(jié)果沒(méi)過(guò)幾天，就有另一個(gè)叫 BAE Systems 的研究機(jī)構(gòu)就發(fā)現(xiàn)了有人惡意嫁禍俄羅斯黑客的證據(jù)。

雖說(shuō)細(xì)節(jié)很難掩蓋，但如果刻意留下一些看似細(xì)節(jié)的證據(jù)，也是嫁禍的最佳手段。銷(xiāo)毀證據(jù)、嫁禍，如今已經(jīng)成為黑客攻擊的必備流程了。

在2017年4月份，美國(guó)中情局（CIA）被披露的網(wǎng)絡(luò)軍火庫(kù)中，就有一款叫“Marble” 的工具，它能將病毒、惡意代碼、木馬的真實(shí)源代碼進(jìn)行混淆，轉(zhuǎn)換成中文、俄文等其他國(guó)家的語(yǔ)言，把“鍋”甩到其他國(guó)家。

從這個(gè)角度上來(lái)看，既然能開(kāi)發(fā)專(zhuān)門(mén)的工具來(lái)“嫁禍”，那在勒索軟件里做一點(diǎn)混淆，故意留下點(diǎn)“小尾巴”也并非沒(méi)有可能。看來(lái)以后黑客攻擊都得注意點(diǎn)，提前找一個(gè)翻譯官最好！

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。