加密貨幣的興起引起了許多關(guān)注。主要的擔(dān)憂似乎是監(jiān)管和加密入侵，但一種被稱為“加密劫持”的新威脅已經(jīng)出現(xiàn)。

加密劫持是一個非法的過程，黑客劫持用戶的計算能力，以挖掘加密貨幣，如比特幣和monero。然后資金被發(fā)送到控制軟件的黑客手中。

感染了加密劫持惡意軟件的計算機運行速度慢得多，受害者甚至不知道他們的計算機正在受到攻擊，因為“硬幣挖掘”惡意軟件很難被發(fā)現(xiàn)。一旦某臺機器被入侵，惡意應(yīng)用程序就會在后臺默默運行，而特征只有一個：性能下降。隨著惡意軟件增加了功耗，機器會慢下來，同時給主人帶來一份不受歡迎的賬單，因為開采比特幣所需的能量可能在531美元到26170美元之間。

雖然加密劫持是一個相對較新的威脅，但最近來自網(wǎng)絡(luò)威脅聯(lián)盟（CTA）的一份報告顯示，今年非法加密劫持的比率大幅上升了459%。根據(jù)McAfee Labs 9月發(fā)布的一份報告稱，在2017年第四季度增長了40萬左右之后，2018年第1季度，新的加密挖掘惡意軟件樣本增加了629%，超過了290萬個。這一趨勢在第二季持續(xù)，總樣本量增加了86%，發(fā)現(xiàn)了超過250萬個新樣本。

一個新的沉默殺手：WebCobra

McAfee實驗室的研究人員現(xiàn)在已經(jīng)發(fā)現(xiàn)了一種新的俄羅斯加密劫持惡意軟件名為“WebCobra”。根據(jù)WebCobra發(fā)現(xiàn)的架構(gòu)，WebCobra通過悄悄地刪除并安裝Cryptonight礦工或Claymore的Zcash礦工來感染受害者的計算機。McAfee的研究人員認為，這種威脅是通過流氓PUP安裝程序來實現(xiàn)的，并且已經(jīng)在全球范圍內(nèi)監(jiān)測到了，其中感染人數(shù)最多的是巴西、南非和美國。

雖然McAfee的研究人員并不完全確定這種威脅是如何傳播的，但WebCobra惡意軟件的獨特之處在于它盡一切可能了解受害者的系統(tǒng)。

首席科學(xué)家兼麥克菲研究員Raj Samani告訴我：“WebCobra特別有趣的一點是，它可以了解用戶系統(tǒng)的所有信息，比如他們運行的是什么樣的架構(gòu)，是否有殺毒技術(shù)等等。這種加密貨幣挖掘惡意軟件也是不常見的，因為它根據(jù)受感染的機器的配置而發(fā)送不同的礦工。例如，主要的病毒釋放器是一個Microsoft安裝程序，它檢查運行的環(huán)境。在x86系統(tǒng)上，它將Cryptonight 礦工代碼注入到正在運行的進程中，并啟動一個進程監(jiān)視器。在x64系統(tǒng)上，它檢查GPU配置，并從遠程服務(wù)器下載和執(zhí)行Claymore的Zcash挖掘器“。

啟動后，WebCobra惡意軟件將刪除并解壓縮帶有密碼保護的Cabinet存檔文件：

用于解壓縮已刪除文件MCAFEE RESEARCH的命令

Samani 說：“WebCobra是一個令人討厭的感染病毒-一旦你被感染，你甚至發(fā)現(xiàn)不了。如果您的計算機上沒有更新的安全軟件，并且它運行緩慢，您可能甚至不知道原因。有了ransomware（勒索軟件），屏幕上通常會有一個大水花，告訴你你的電腦已經(jīng)被感染了。WebCobra是一種感染，它悄悄地在后臺使用您的計算資源“。

不斷上漲的加密貨幣價格助長了加密劫持

McAfee的研究人員還發(fā)現(xiàn)，加密劫持的上升，特別是在WebCobra的情況下，與加密貨幣價格的上升是有關(guān)系的。加密貨幣價值的增加促使網(wǎng)絡(luò)罪犯利用惡意軟件竊取機器資源，在沒有受害者同意的情況下開采加密貨幣。

例如，下面的圖表顯示了礦工惡意軟件的流行是如何隨著Monero加密貨幣價格的變化而變化的：

Samani 說：“加密劫持的發(fā)展與加密貨幣的價格緊密相關(guān)。隨著數(shù)字貨幣的價格不斷上漲，人們自然會更想開采。在上圖的例子中，當Monero的價格上升時，您會看到挖掘惡意軟件的增長。隨著Monero的價格下降，你會看到惡意軟件的反應(yīng)。隨著數(shù)字貨幣價值的增加，我們看到了加密劫持的增加“。

有組織的犯罪

雖然消費者似乎最清楚加密劫持，但這種形式的有組織犯罪也正在影響政府和企業(yè)。

Samani解釋道：“加密劫持不僅針對消費者，但還針對企業(yè)。如果您是在云環(huán)境中支付處理能力的費用，那么這也會有直接的成本?？偟膩碚f，這只是一個數(shù)字游戲。黑客感染的系統(tǒng)越多，他們賺的錢就越多。如果您正在運行一個加密劫持活動，那么您很可能并不在意這些人和企業(yè)來自何處。人們還需要明白，這不僅僅是你的電腦變慢的問題，實際上從長遠來看，這將會花費你的錢。我們說的是有組織的犯罪團伙經(jīng)營這些騙局，使加密劫持成為受害者幫助提供燃料的有組織犯罪的一種形式“。

最近，研究人員發(fā)現(xiàn)，黑客盜取了數(shù)家印度政府網(wǎng)站的處理能力，并將其用于加密貨幣開采。安得拉邦市政府、蒂魯帕蒂市公司和馬切拉市等公民門戶網(wǎng)站被發(fā)現(xiàn)感染密碼劫持惡意軟件的印度網(wǎng)站有數(shù)百個之多。尤其是政府網(wǎng)站，由于高流量和人們傾向于信任這些網(wǎng)站，所以很容易被竊取。

加密劫持也是針對企業(yè)系統(tǒng)的。PublicWWW發(fā)現(xiàn)有超過100個站點運行Coinhive javascript，開采Monero硬幣。同樣的腳本已經(jīng)感染了超過20萬的ISP級路由器，并且是網(wǎng)站上最重要的三個加密挖掘惡意軟件之一。

此外，在某些情況下，加密劫持的目標是特定群體，而不是潛在廣泛領(lǐng)域的受害者。在俄羅斯的一個論壇上，一個加密劫持惡意軟件攻擊玩家，冒充“國防部”，聲稱要增強流行游戲。游戲玩家被騙下載惡意軟件，然后利用他們的電腦資源獲利。

而當加密挖掘惡意軟件主要針對PC機時，其他設(shè)備也成為受害者。例如，中國和韓國的Android手機一直被ADB.Miner惡意軟件利用，為其犯罪者生產(chǎn)Monero加密貨幣。

保護自己免受加密劫持

不幸的是，隨著網(wǎng)絡(luò)罪犯利用這一相對簡單的途徑來盜取價值，硬幣挖掘惡意軟件將繼續(xù)發(fā)展。在別人的系統(tǒng)上開采硬幣比勒索軟件需要更少的投資和風(fēng)險，并且不依賴于同意匯款的受害者的比例。在用戶知道他們是支持犯罪礦工之前，他們能獲取很多利益。

然而，可以采取一些步驟來保護系統(tǒng)免受加密采礦惡意軟件的感染。根據(jù)Samani的說法，沒有任何形式安全的系統(tǒng)更容易受到黑客攻擊。

這里必須有良好的網(wǎng)絡(luò)衛(wèi)生。例如，不要點擊隨機鏈接，就已知的挖掘軟件而言，更新安全軟件是至關(guān)重要的。還有一些其他可以幫助你的，比如瀏覽器增加擴展，可以檢測CPU使用中的異常負載。然而，WebCobra病毒是偷偷摸摸進行的。當然，如果您的計算機運行緩慢，這并不意味著您已經(jīng)成為加密挖掘的受害者，但是您需要正確的技術(shù)來識別這個問題。“