勒索軟體想哭今年5月12日全球爆發後,業界一直試圖揪出幕後黑手,但一直未能確定。30日俄媒稱想哭勒索病毒的黑手試圖冒充俄羅斯黑客,把勒索病毒嫁禍給俄羅斯。之前英國研究顯示勒索信的朝鮮版是谷歌翻譯的,而中文版是出自使用母語的人。再早些時候多家網絡安全公司表示,想哭蠕蟲與朝鮮黑客組織Lazarus有關聯,理由是軟體代碼中的相似性。
從5月12日開始,一種名叫WannaCry(想哭)的勒索軟體病毒在全球擴散,專門攻擊Windows舊系統,尤其以Windows7系統遭到攻擊的最多。
自由亞洲30日援引俄羅斯「RenTV」電視台5月30日的報導稱,勒索病毒「WannaCry」的黑手試圖冒充俄羅斯黑客,摸黑俄羅斯,這是俄羅斯防範追蹤網絡犯罪組織「Group-IB」作出的結論。
報導說:就像北韓的黑客組織「Lazarus」一直冒充是俄羅斯的黑客在網絡上攻擊和獲取美國、南韓的情報一樣,此次「想哭」病毒的作者也試圖嫁禍給俄羅斯。分析說,原因是俄羅斯的黑客的確在世界上已經臭名昭著,但絕非所有網絡惡行都是俄羅斯黑客乾的。
之前網絡安全公司FlashPoint的研究人員從語言的角度分析,試圖尋找到WannaCry開發者的源頭。
英媒:想哭病毒勒索信可能是中國人寫的
BBC中文網29日援引FlashPoint研究人員的報告稱,這款病毒軟體發布的勒索信息可達28種語言,但只有中文版本在語法、和標點符號使用上非常地道,似乎表明寫中文版勒索信息的人"要麼是以中文為母語、要麼中文極其流利"。
在分析英語和中文兩個版本,研究人員發現中文的勒索信息,語法完全正確,包括標點符號的使用,詞彙的選擇都符合使用中文簡體人的習慣,而且文字被認為是使用了拼音輸入的。此外,文字中出現「幫助」寫成「幫組」,「星期」寫為「禮拜」,「防毒軟體」用的是「殺毒軟體」,所以認為這些文字的書寫者很可能來自中國大陸南方的人。
另外,Flashpoint發現勒索信的簡體中文版及繁體中文版的內容、格式及語調,和其它語文版本有明顯差異,而且中文內文的長度比英文還長。這意味著撰寫人很可能是母語是中文的人或者中文十分流利的人。
儘管其它語言版的勒索信息絕大部分似乎都是"機器翻譯"的,但只有中文版和英文版的勒索信息似乎是手寫的。其中,英文版的勒索信息還使用了一些不常用的詞句:如在說"但你沒有足夠時間"時寫成了"But you have not so enough time"。
起初調查人員懷疑藏匿在朝鮮的犯罪分子似乎是罪魁禍首。
但"Flashpoint"的研究人員指出,勒索信息中的朝鮮文版是從英文版翻譯過去的,而且翻譯水平很差勁。英國薩里大學網絡安全專家伍德沃德教授說:"只有中文版、和英文版似乎是精通該語言的人手寫的。"
他說:"其它語言版本看起來都是通過'谷歌翻譯'完成的,甚至朝鮮語版也是這樣。"
WannaCry的中文勒索界面。(網絡圖片)
WannaCry的英文勒索界面。(網絡圖片)
上述自由亞洲報導強調,對于勒索者要求得到比特幣的原因,俄羅斯網際網路安全問題專家格里高利•巴庫諾夫對此解釋說:「這就像我們在電影裡看到的海盜一樣,他們更喜歡金子,黑客們更喜歡要比特幣,是因為它們像金子一樣的無法證明從哪裡來到哪裡去的流通途徑,不像其他銀行轉帳等等容易被追蹤。」
與朝鮮黑客組織Lazarus有關聯
WannaCry病毒爆發後,微軟公司緊急發布系統升級補丁包,與此同時,包括Google、卡巴斯基、賽門鐵克等全球網絡安全公司進行研究,並發表消息,表示WannaCry蠕蟲與朝鮮黑客組織Lazarus有關聯,理由是軟體代碼中的相似性。
阿波羅網林億報導
