本文最初原创于本人微博文章《勒索病毒名称拾趣》,如需转载请注明出处。
勒索病毒五花八门的名称由何而来?有何门道?今天挑几个好玩的给大家掰扯掰扯。
之前连发了两篇关于汽车的文章,在突然冒出了我在哪、我是谁、我在干什么的哲学疑问后,恍惚间发现我应该发点和本行相关的内容。
当然,技术分析什么的也不会发在这里,发在这也没人会看的~今天是打算发点“花边新闻”出来,给大家乐呵乐呵。
勒索病毒是什么,相信已经无须我再过多赘述了。勒索病毒已越来越被普通网民所熟知。不知道在看这篇文章的读者又有多少是深受勒索病毒所害的呢……
不过,今天我并不打算聊中毒之后的追悔莫及,也不想掰扯勒索病毒的技术细节。而是想说说在这些五花八门的勒索病毒名称中,有哪些值得一说的趣事。
注:
本文只图一乐,可能含有大量不严谨、臆想、中二、间歇性抽风等内容,请勿较真,还望广大读者能够本着不带脑子的吃瓜精神欢乐围观。
名字一直叫不对的传奇病毒——WNCRY
那一天,人类终于回想起了,曾经一度被WNCRY支配的恐惧,还有周一刚上班就要先断网自查的那份耻辱……
WNCRYの支配
是的,作为一篇不正经的准八卦文,我打算开篇就放大招——就是这个在2017年5月12日爆发,一度让全世界为之震动的传说级(橙色品质)勒索病毒,他的名字……就愣是叫不对……
传说级病毒(误)
一般来说,给勒索病毒起名最稳妥的方案自然是使用被加密文件的扩展名了。所以至此为止,我也一直在用这个肯定不会错的名字——WNCRY——来称呼这个勒索病毒。
扩展名WNCRY
但相信大家更为熟悉的名称,应该是“WannaCry”或“想哭”。显然,中文名“想哭”是对英文名“WannaCry”的直译,所以下面我们就解析一下这个英文名的问题。
显而易见,WannaCry这个名字是两个词组成的词组——wanna和cry。
wanna
英 [ˈwɒnə] 美 [ˈwɑ:nə]
美国俚语,用于代指want to或want a,意味“想要”
cry
英 [kraɪ] 美 [kraɪ]
有哭、喊、叫等含义
那么看起来,上面说的扩展名WNCRY应该就是WannaCry的缩写啊,没毛病吧?
这种解释看似稳如老狗,但细究起来——俩词都不对的好吗!
首先wanna是从哪来的?是WNCRY病毒在运行后释放出的一个用以提示敲诈信息和进行所谓“解密”的工具(事实上没听说有谁付了赎金之后能解密的),该工具的文件名为“@WanaDecryptor@.exe”。
注意——我并没有打错文件名——是Wana而不是Wanna!那么这个Wana又是什么意思呢?我负责任的告诉大家——我也不知道!
以下是Wikipedia上找到的一些有的没的:
简要翻译如下:
尼泊尔的一座城市
巴基斯坦的一座城市(人家其实是叫Wāṇa)
美国西弗吉尼亚州Monongalia县的一个非法人社区(是非“法人”而不是“非法”人)
“西亚于北非”的首字母缩写
一首歌
摩洛哥的一家电信公司(现名其实是叫“Inwi”)
秘鲁的一座山
希腊Amaliada市的无线网络系统的缩写
美国佛罗里达州那普勒斯市的一家广播公司在2008年以前的旧名(不是意大利的那个那不勒斯,虽然英文一模一样)
此外,在百度翻译上,我竟然还发现了 “我们不孤单”的意思(看起来鸡汤范儿十足):
至于放在这里是什么意思,还是那句话——我也不知道!算了,大家见仁见智吧。总之,Wana并不是Wanna,也没有“想要”的意思。
那么接下来,这个Cry又是怎么来的呢?很简单——无论是Wana还是Wanna,缩写都可以写成WN没错,所以Cry当然就是扩展名WNCRY的后三个字母了。但其实——这也是不对的!
还回到之前释放的所谓解密程序上来——“@WanaDecryptor@.exe”。上面我们解释了Wana,现在我们就来说说Decryptor。
decrypt
英 [di:ˈkrɪpt] 美 [di:'krɪpt]
意为解密、破译等
由此,decryptor自然是解密器的意思(也正符合它自诩的解密程序这个功能)。而如果还没把小时候学的英语全都忘了的话,应该还记得de-这个前缀的意思——表示相反或否定。所以decrypt本身实际上也是crypto的一个派生词(不是crypt,这词是地窖的意思……)
crypto
英 ['krɪptəʊ] 美 ['krɪptoʊ]
加密的意思
所以,我们可以做出一个大胆却合理的猜测——作为一个以加密为核心功能的勒索病毒,所谓的WNCRY,全称应该是WanaCrypto或WanaCryptor,意为“瓦纳加密器”(wana取音译,且继续保持橙色品质)。
p.s.
严格的说,cyptor并非一个正确的英文单词,加密器的英文应为“encryptor”。但实际使用来说,确实有把cyptor当作加密器来使用的情况。所以此处仅为揣测原作者的用意,而不探讨英文的准确性问题。
小写的L还是大写的i——GlobeImposter名称辨析
上面说的WNCYR虽然“红极一时”,但也正是因为动静太大,实际上仅大肆传播了不到一天就被全球安全工作者合力围剿了。而我们现在要说的GlobeImposter才是细水长流的典范,不温不火稳步提升自己的传播量,不知不觉中,该家族的勒索病毒已俨然坐稳了国内流行勒索病毒的头把交椅。
回到我们今天讨论的核心问题——这个名字——globe后面那个字母,到底是小写的L还是大写的i?众所周知,这两个字母以及数字1和符号|四个字符,在不同字体下有着不同的展现形式,下图是我随便找了几个字体作为示例:
不同字体下的lI1|
可见,即便放在一起看,某些字体下也很难看出这些字符的区别。纵使能看出区别来,一旦字体较小或单独出现时,还是难以分辨……
具体到这个勒索病毒名称上来,之所以G后面的小写L不会被人误解,是因为你实在想不出G后面为什么会跟一个大写的i,这个词太怪异了……而在globe后面的那个字母,就纠结了,纠结的原因,是因为下面这个词:
global
英 [ˈgləʊbl] 美 [ˈgloʊbl]
有全球的、全球性的、全局的、整体的等含义
所以,Global?Globel?像不像?于是就这样弄混了……而实际上,并没有globel这个单词,而只有globe,后面的imposter也是一个单独的单词:
globe
英 [gləʊb] 美 [gloʊb]
意为地球、地球仪、世界等
imposter
英 [ɪm'pɑstɚ] 美 [ɪmˈpɑstɚ]
表示冒名顶替者或江湖骗子的意思(也做impostor)
而之所以叫这个名字——是因为GlobeImposter的勒索信息格式,与2016年开始传播的另一款名为“Globe”勒索病毒较为相似,所以在刚出现的时候被分析人员认为是一款假冒Globe的勒索病毒(有些安全机构也称其为Fake Globe):
Globe的勒索信息
GlobeImposter的勒索信息
然而有趣的是,始作俑者Globe并没有掀起太大的风浪(至少在国内没有),而所谓的“冒名顶替者”——GlobeImposter却凭借稳健的传播和风骚的走位逐渐成为了现今互联网安全的最大威胁之一。
想必现在Globe的心中也是一万只神兽奔腾而过——是我,是我先,明明都是我先来的……
为什么会变成这样呢……
诸神黄昏——从Locky家族说起
相信你即便不是漫威影迷,也应该知道去年上映的漫威电影《雷神3:诸神黄昏》
雷神3:诸神黄昏
相信大家也清楚,漫威的雷神系列的故事就是取材自北欧神话。所以这部让阿斯加德毁灭的电影自然也使用了北欧神话中大劫难传说的名字——诸神黄昏。
而我今天要说的是一个名为Locky的勒索病毒家族。
Locky最早出现于2016年初,说起来在16、17两年也算是名噪一时了。但如今已经被前面说的GlobeImposter这波后浪拍死在沙滩上了。
但Locky和GlobeImposter这两个家族有着一个相似的特点——它们都有着非常多的变种(按被加密文件扩展名区分)。Locky常见的几个变种有如下几个:
.locky .zepto .odin .shit .thor .aesir .zzzzz .osiris .loptr .diablo6 .lukitus
先看看以下3个Locky家族比较有代表性的变种名,就知道我为什么要给这一节起名为“诸神黄昏”了:
.odin 奥丁,阿萨神族主神
.thor 索尔,主神奥丁与大地女神娇德(Jord)之子,雷神
.aesir 阿萨神族,即奥丁为首的神族
独眼的奥丁(约18世纪,冰岛)
索尔与霜巨人的战斗(Mårten Eskil Winge,创作于1872年)
我知道你们想看锤哥,我就不放锤哥的图,你们自己搜去(手动滑稽)。
或许可能有人好奇——Locky是不是洛基?我可以明确的回答大家——并不是。洛基的英文是Loki。那么是不是Locky的变种名里面就没有洛基了呢?不,有洛基!
.loptr 洛基(Loki的另一种写法)
In various poems from the Poetic Edda (stanza 2 of Lokasenna, stanza 41 of Hyndluljóð, and stanza 26 of Fjölsvinnsmál), and sections of the Prose Edda (chapter 32 of Gylfaginning, stanza 8 of Haustlöng, and stanza 1 of Þórsdrápa) Loki is alternatively referred to as Loptr, which is generally considered derived from Old Norse lopt meaning "air", and therefore points to an association with the air.
——Wikipedia : Loki
洛基(约18世纪,冰岛)
我知道你们想看抖森,我就不贴(手动滑稽x2)。
此外,变种名中还有两个乱入的神(或魔):
.diablo6 Diablo,西班牙语中恶魔的意思,因暴雪公司的系列游戏《暗黑破坏神》而为大家所熟知。
.osiris 欧西里斯,古埃及神话中九柱神之一,冥王。
暗黑破坏神
冥王欧西里斯
看到第二张欧西里斯的图,可能并不会感觉熟悉。那么,请问各位小伙伴:你知道日本动漫《游戏王》么?如果你也看过的话,请回想一下三张神卡之一的——欧西里斯的天空龙!
オシリスの天空竜
除了上述Locky的变种外,还有一些并非Locky家族的勒索病毒,也与神仙有关:
HERMES(扩展名.HRM,因其在勒索信息中自称HERMES而得名)
虽说为了宣传上的便利,一般把HERMES翻译成知名的奢侈品品牌“爱马仕”更便于大众认知。但我个人其实更倾向于另一种翻译:
赫尔墨斯,古希腊神话中的神使,是掌管商业、旅行、盗贼、畜牧的神。(罗马神话中称墨丘力)
赫尔墨斯神像
Isis
同样有歧义,虽然现在更为大家所知的含义应该是某中东地区的恐怖组织的名称缩写。但我依然喜欢另一种解读:
伊西斯,古埃及神话中的一位女神,被奉为是理想的母亲和妻子,自然与魔法的守护神。
女神伊西斯
最后再絮叨两句
勒索病毒远不止上面提到的这几种,名称中值得说道说道的也不在少数。
比如Petya和NotPetya两款勒索病毒:Petya一词本身取自007系列电影《黄金眼》中的武器卫星名,而后来者NotPetya到底是Petya的后续变种还是仅仅是个仿冒者又有着极大的争议。
再比如上面的Locky家族的变种之一".lukitus",是芬兰语中“锁定”的意思。估计Locky这个家族名可能和引文的lock也有着某种联系吧(p.s. 话说这家族的作者是北欧那边的人吧?)。
这么多名字,说是说不完的~这次仅仅是随便捡出来几个,掰扯掰扯图个开心~
最后祝大家的计算机都能平平安安不中毒!
↑↑↑你们想要的↑↑↑