加密貨幣的興起引起了許多關(guān)注。主要的擔(dān)憂似乎是監(jiān)管和加密入侵，但一種被稱為“加密劫持”的新威脅已經(jīng)出現(xiàn)。

加密劫持是一個(gè)非法的過程，黑客劫持用戶的計(jì)算能力，以挖掘加密貨幣，如比特幣和monero。然后資金被發(fā)送到控制軟件的黑客手中。

感染了加密劫持惡意軟件的計(jì)算機(jī)運(yùn)行速度慢得多，受害者甚至不知道他們的計(jì)算機(jī)正在受到攻擊，因?yàn)椤坝矌磐诰颉睈阂廛浖茈y被發(fā)現(xiàn)。一旦某臺(tái)機(jī)器被入侵，惡意應(yīng)用程序就會(huì)在后臺(tái)默默運(yùn)行，而特征只有一個(gè)：性能下降。隨著惡意軟件增加了功耗，機(jī)器會(huì)慢下來，同時(shí)給主人帶來一份不受歡迎的賬單，因?yàn)殚_采比特幣所需的能量可能在531美元到26170美元之間。

雖然加密劫持是一個(gè)相對(duì)較新的威脅，但最近來自網(wǎng)絡(luò)威脅聯(lián)盟（CTA）的一份報(bào)告顯示，今年非法加密劫持的比率大幅上升了459%。根據(jù)McAfee Labs 9月發(fā)布的一份報(bào)告稱，在2017年第四季度增長(zhǎng)了40萬左右之后，2018年第1季度，新的加密挖掘惡意軟件樣本增加了629%，超過了290萬個(gè)。這一趨勢(shì)在第二季持續(xù)，總樣本量增加了86%，發(fā)現(xiàn)了超過250萬個(gè)新樣本。

一個(gè)新的沉默殺手：WebCobra

McAfee實(shí)驗(yàn)室的研究人員現(xiàn)在已經(jīng)發(fā)現(xiàn)了一種新的俄羅斯加密劫持惡意軟件名為“WebCobra”。根據(jù)WebCobra發(fā)現(xiàn)的架構(gòu)，WebCobra通過悄悄地刪除并安裝Cryptonight礦工或Claymore的Zcash礦工來感染受害者的計(jì)算機(jī)。McAfee的研究人員認(rèn)為，這種威脅是通過流氓PUP安裝程序來實(shí)現(xiàn)的，并且已經(jīng)在全球范圍內(nèi)監(jiān)測(cè)到了，其中感染人數(shù)最多的是巴西、南非和美國(guó)。

雖然McAfee的研究人員并不完全確定這種威脅是如何傳播的，但WebCobra惡意軟件的獨(dú)特之處在于它盡一切可能了解受害者的系統(tǒng)。

首席科學(xué)家兼麥克菲研究員Raj Samani告訴我：“WebCobra特別有趣的一點(diǎn)是，它可以了解用戶系統(tǒng)的所有信息，比如他們運(yùn)行的是什么樣的架構(gòu)，是否有殺毒技術(shù)等等。這種加密貨幣挖掘惡意軟件也是不常見的，因?yàn)樗鶕?jù)受感染的機(jī)器的配置而發(fā)送不同的礦工。例如，主要的病毒釋放器是一個(gè)Microsoft安裝程序，它檢查運(yùn)行的環(huán)境。在x86系統(tǒng)上，它將Cryptonight 礦工代碼注入到正在運(yùn)行的進(jìn)程中，并啟動(dòng)一個(gè)進(jìn)程監(jiān)視器。在x64系統(tǒng)上，它檢查GPU配置，并從遠(yuǎn)程服務(wù)器下載和執(zhí)行Claymore的Zcash挖掘器“。

啟動(dòng)后，WebCobra惡意軟件將刪除并解壓縮帶有密碼保護(hù)的Cabinet存檔文件：

用于解壓縮已刪除文件MCAFEE RESEARCH的命令

Samani 說：“WebCobra是一個(gè)令人討厭的感染病毒-一旦你被感染，你甚至發(fā)現(xiàn)不了。如果您的計(jì)算機(jī)上沒有更新的安全軟件，并且它運(yùn)行緩慢，您可能甚至不知道原因。有了ransomware（勒索軟件），屏幕上通常會(huì)有一個(gè)大水花，告訴你你的電腦已經(jīng)被感染了。WebCobra是一種感染，它悄悄地在后臺(tái)使用您的計(jì)算資源“。

不斷上漲的加密貨幣價(jià)格助長(zhǎng)了加密劫持

McAfee的研究人員還發(fā)現(xiàn)，加密劫持的上升，特別是在WebCobra的情況下，與加密貨幣價(jià)格的上升是有關(guān)系的。加密貨幣價(jià)值的增加促使網(wǎng)絡(luò)罪犯利用惡意軟件竊取機(jī)器資源，在沒有受害者同意的情況下開采加密貨幣。

例如，下面的圖表顯示了礦工惡意軟件的流行是如何隨著Monero加密貨幣價(jià)格的變化而變化的：

Samani 說：“加密劫持的發(fā)展與加密貨幣的價(jià)格緊密相關(guān)。隨著數(shù)字貨幣的價(jià)格不斷上漲，人們自然會(huì)更想開采。在上圖的例子中，當(dāng)Monero的價(jià)格上升時(shí)，您會(huì)看到挖掘惡意軟件的增長(zhǎng)。隨著Monero的價(jià)格下降，你會(huì)看到惡意軟件的反應(yīng)。隨著數(shù)字貨幣價(jià)值的增加，我們看到了加密劫持的增加“。

有組織的犯罪

雖然消費(fèi)者似乎最清楚加密劫持，但這種形式的有組織犯罪也正在影響政府和企業(yè)。

Samani解釋道：“加密劫持不僅針對(duì)消費(fèi)者，但還針對(duì)企業(yè)。如果您是在云環(huán)境中支付處理能力的費(fèi)用，那么這也會(huì)有直接的成本。總的來說，這只是一個(gè)數(shù)字游戲。黑客感染的系統(tǒng)越多，他們賺的錢就越多。如果您正在運(yùn)行一個(gè)加密劫持活動(dòng)，那么您很可能并不在意這些人和企業(yè)來自何處。人們還需要明白，這不僅僅是你的電腦變慢的問題，實(shí)際上從長(zhǎng)遠(yuǎn)來看，這將會(huì)花費(fèi)你的錢。我們說的是有組織的犯罪團(tuán)伙經(jīng)營(yíng)這些騙局，使加密劫持成為受害者幫助提供燃料的有組織犯罪的一種形式“。

最近，研究人員發(fā)現(xiàn)，黑客盜取了數(shù)家印度政府網(wǎng)站的處理能力，并將其用于加密貨幣開采。安得拉邦市政府、蒂魯帕蒂市公司和馬切拉市等公民門戶網(wǎng)站被發(fā)現(xiàn)感染密碼劫持惡意軟件的印度網(wǎng)站有數(shù)百個(gè)之多。尤其是政府網(wǎng)站，由于高流量和人們傾向于信任這些網(wǎng)站，所以很容易被竊取。

加密劫持也是針對(duì)企業(yè)系統(tǒng)的。PublicWWW發(fā)現(xiàn)有超過100個(gè)站點(diǎn)運(yùn)行Coinhive javascript，開采Monero硬幣。同樣的腳本已經(jīng)感染了超過20萬的ISP級(jí)路由器，并且是網(wǎng)站上最重要的三個(gè)加密挖掘惡意軟件之一。

此外，在某些情況下，加密劫持的目標(biāo)是特定群體，而不是潛在廣泛領(lǐng)域的受害者。在俄羅斯的一個(gè)論壇上，一個(gè)加密劫持惡意軟件攻擊玩家，冒充“國(guó)防部”，聲稱要增強(qiáng)流行游戲。游戲玩家被騙下載惡意軟件，然后利用他們的電腦資源獲利。

而當(dāng)加密挖掘惡意軟件主要針對(duì)PC機(jī)時(shí)，其他設(shè)備也成為受害者。例如，中國(guó)和韓國(guó)的Android手機(jī)一直被ADB.Miner惡意軟件利用，為其犯罪者生產(chǎn)Monero加密貨幣。

保護(hù)自己免受加密劫持

不幸的是，隨著網(wǎng)絡(luò)罪犯利用這一相對(duì)簡(jiǎn)單的途徑來盜取價(jià)值，硬幣挖掘惡意軟件將繼續(xù)發(fā)展。在別人的系統(tǒng)上開采硬幣比勒索軟件需要更少的投資和風(fēng)險(xiǎn)，并且不依賴于同意匯款的受害者的比例。在用戶知道他們是支持犯罪礦工之前，他們能獲取很多利益。

然而，可以采取一些步驟來保護(hù)系統(tǒng)免受加密采礦惡意軟件的感染。根據(jù)Samani的說法，沒有任何形式安全的系統(tǒng)更容易受到黑客攻擊。

這里必須有良好的網(wǎng)絡(luò)衛(wèi)生。例如，不要點(diǎn)擊隨機(jī)鏈接，就已知的挖掘軟件而言，更新安全軟件是至關(guān)重要的。還有一些其他可以幫助你的，比如瀏覽器增加擴(kuò)展，可以檢測(cè)CPU使用中的異常負(fù)載。然而，WebCobra病毒是偷偷摸摸進(jìn)行的。當(dāng)然，如果您的計(jì)算機(jī)運(yùn)行緩慢，這并不意味著您已經(jīng)成為加密挖掘的受害者，但是您需要正確的技術(shù)來識(shí)別這個(gè)問題。“