正月十五一过，新年就算过去了。

谁又能想到猪年开年大戏居然是大型吃瓜现场呢？演员翟天临以“知网是什么”为开端引爆自己，至此被扒出公开论文抄袭，复制比53%，甚至硕士论文也被扒出抄了陈坤的本科论文。

2月19日，围观群众等到了大戏终章，北京电影学院官方微博发布说明称，撤销翟天临博士学位，取消陈浥博导资格。二人对此均表示接受。

有趣的是，雷锋网编辑发现这个瓜在安全圈也吃的津津有味，朋友圈某位白帽子就吐槽翟天临时候说道，这人头发比我多，长得比我帅，但论文写得一定没我好。

究其原因一方面是与这群“又秃又强”的硕博群体有真实共鸣，另一方便是“抄袭”这事在安全圈也不新鲜。很多新病毒都在功能、攻击手法上借鉴知名病毒，此类“抄袭”可谓多如牛毛。相比学术圈简单粗暴的“复制粘贴”式抄袭，安全圈要复杂得多。

黑吃黑式抄袭

抄别人的病毒不算什么，抄了还能干掉原病毒就有点厉害了。比如，最近亚信安全侦测到一个会从某网域下载二进制文件的新病毒脚本。

【侦测到会从某网域下载档案的新脚本】

经过调查发现，这一脚本与2018年11月所搜集到的某个 KORKERDS 样本代码几乎完全相同，只是新增及删除的少数部分。与KORKERDS相比，这个新发现的脚本并不会移除系统上已安装的安全产品，也不会在系统上安装Rootkit，反而会将 KORKERDS 恶意挖矿程序和 Rootkit 组件清除。

这就很牛掰了，在线上演黑吃黑。

除此之外，该脚本抄袭了Xbash的功能和KORKERDS恶意程序，还会安装一个挖矿恶意程序，也会将自己植入系统并在crontab当中设定排程以便在重启后继续执行，并且防止遭到删除，此外也将一些记录文件内容清除为0。

当然，这个脚本并非第一个会清除系统上其他恶意程序的恶意程序，之前的案例却没有如此大量清除Linux恶意程序。对于网络犯罪集团来说，清除其他竞争对手的恶意程序只是提高其获利的手段之一。

变种病毒

另一种好用省事的“抄袭”法是病毒变种。

2017年5月，WannaCry 勒索病毒席卷全球。恶意代码扫描开放 445 文件共享端口的 Windows 机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。受害者电脑会被黑客锁定，提示支付价值相当于 300 美元（约合人民币 2069 元）的比特币才可解锁。

至此拉开了一场轰轰烈烈的攻防对抗战。一边是安全厂商推出各种防御杀毒方案，一方面是黑客们搞出的一波又一波变种，“WannaCry 2.0”、“WannaSister”（想妹妹）等等。

甚至事情过去一个月以后，热门手游《王者荣耀》的外挂竟也被瞄上。

雷锋网曾在《

打个“农药”就可能被勒索 20 块，究竟怎么回事？

》一文中描写过，也许对“永恒之蓝”带来的邪恶影响带着极其黑暗的崇拜，这款勒索软件的作者把勒索敲诈页面做成了高仿电脑版的“永恒之蓝”勒索病毒。软件运行后，安卓手机用户的桌面壁纸、软件名称和图标会被篡改。手机中的照片、下载、云盘等目录下的文件进行加密，并向用户勒索赎金，金额在 20 元、40 元不等。并且宣称 3 天不交赎金，价格将翻倍，7 天不交，将删除所有加密文件。

而这款高防“永恒之蓝”也有很多变种，通过生成器选择不同的配置信息，可以在加密算法、密钥生成算法上进行随机的变化，甚至可以选择对生成的病毒样本进行加固混淆。

更有意思的是，病毒传播采用了“收徒”制。

1、 病毒作者制作病毒生成器自己使用或授权他人使用；

2、 通过 QQ 群、QQ 空间、或是上传教学视频传播制作教程；

3、 作者徒弟修改病毒生成器，自己使用或是授权他人使用。

仿佛看了一窝传销组织……

目前主流的两个勒索病毒家族是GlobeImposter家族和Crysis家族。这两个家族几乎每隔一段时间就会出现新后缀变种。而另一个后来居上的勒索病毒家族是2018年1月首次被发现的GandCrab勒索病毒，其短短数月便历经3个版本的更迭，迅速发展成为2018年第三大流行勒索病毒家族。

当然。其他勒索病毒家族也没少闲着，这里列举了近年部分勒索病毒变种：

Shifr勒索病毒变种CryptWalker

2018年2月20日，Shifr勒索病毒变种 Cypher 被曝加密文件后，会将文件后缀修改为“. cypher”。根据提示，会向用户勒索1个比特币。

Xiaoba勒索病毒变种

Scarab勒索病毒变种

通常，Scarab勒索病毒是利用Necurs僵尸网络进行传播的，Necurs是世界上最大的僵尸网络之一，曾用于传播多个恶意家族样本。2018年8月，Scarab 勒索病毒出现最新变种，该变种文件加密后缀为.hitler，会通过RDP爆破+人工、捆绑软件的方式进行传播。

Satan勒索病毒新变种

作为2018年最为活跃的勒索病毒之一，撒旦（Satan）利用多种漏洞入侵企业内网，给用户带来一定的网络安全隐患，甚至造成重大财产损失。2018年10月，国内一大批服务器遭入侵，经分析确认，发现植入的勒索病毒为最新的Satan4.2勒索病毒变种。

该病毒通过入侵目标计算机远程桌面进行感染安装，黑客通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器，获取权限后便会上传该勒索病毒进行感染，勒索病毒启动后竟然会显示感染进度等信息。

BlackRouter勒索病毒变种

BlackRouter勒索病毒使用了成熟的.net加密库，运用AES算法加密文件、RSA算法加密 密钥，在没有攻击者私钥的情况下无法解密文件。该病毒在2018年4月份的旧版本曾伪装为正常软件诱导受害者下载，运行之后释放出正常软件和勒索病毒，2019年1月初被捕获到新的病毒变种，目前仍然活跃。

KeyPass勒索病毒变种

2019年1月19日，KeyPass 勒索病毒新变种爆发，该病毒以伪造软件破解工具或恶意捆绑的方式进行传播感染，并会伪装成windows升级更新达到加密目的，用户感染后文档文件会被加密，并添加“.djvu ”、“ .tro ”或“.tfude”等后缀。

Xcode事件

除了黑吃黑和变种病毒，也有黑客把心思花在代码上。

比如曾轰动一时的Xcode事件。苹果设备上的APP都是由苹果Xcode开发工具所编写，但Xcode体积过于庞大，如果在苹果官方商店安装会非常缓慢，于是很多开发者会在网盘或迅雷下载。而黑客们就在这些非官方渠道的Xcode藏了杀机，利用开发者感染了企业上架的APP。

整个经过就是：

黑客将包含恶意功能的Xcode重新打包，发到各大苹果开发社区供人下载；

来自于各企业内的开发者下载安装了包含恶意代码的Xcode编写APP；

恶意Xcode开始工作，向这些APP注入信息窃取功能；

被注入恶意功能的APP通过审核上架苹果官方商店；

用户在苹果商店安装了这些被感染的APP。

当然，抄得好万事皆宜，抄得不好那就悲催了。比如有黑客抄袭了有后门的病毒代码，结果为他人做嫁衣。

总之，黑客们可能比你想的更狡猾，没有不能抄的病毒，没有不能改的代码。猪位吃瓜快乐。

雷锋网宅客频道（微信公众号：letshome），专注先锋技术，讲述黑客背后故事，欢迎关注。