別當殭屍礦工 – 上篇:就是這三個把你的電腦當成挖礦機!

當您的電腦或行動裝置 (如今甚至包括 IoT 裝置) 感染虛擬貨幣挖礦程式時,就會變成一台「殭屍礦工」。裝置會消耗一部分的 CPU、記憶體、磁碟和電力來幫殭屍網路挖礦,也就是幫網路犯罪集團賺錢。挖礦會耗損電腦( PC 或 Mac )的使用壽命,如果是行動裝置,則可能會造成過熱、電池膨脹、甚至整個裝置損毀,非常不值得!

那麼,您怎樣才會感染虛擬加密貨幣挖礦程式?您該如何加以預防?

三種挖礦程式 把你的電腦當礦工
三種挖礦程式 把你的電腦當礦工

 

什麼是虛擬加密貨幣?

所謂的「虛擬加密貨幣」是一種「設計用來作為交易媒介的數位貨幣,並採用強大的加密技術來確保金融交易安全、控管新貨幣發行、驗證資產的移轉」(參見英文維基百科「Cryptocurrency」詞條)。有別於中央銀行體系所發行的電子貨幣或紙鈔,虛擬加密貨幣採用的是去集中化點對點網路節點與公開的分散式帳簿 (也就是所謂的「區塊鏈」) 來處理並驗證交易的一種貨幣。

2009 年首次發行的比特幣 (Bitcoin) 即是一般公認的第一個虛擬加密貨幣。從此之後,網路上至今已出現了 4,000 多種不同的虛擬加密貨幣,例如乙太幣 (Ethereum)瑞波幣 (Ripple)萊特幣 (Litecoin)門羅幣 (Monero) 都是目前流通的 1500 多種虛擬加密貨幣當中較為活躍的。一些企業,如:Microsoft、Dell、Virgin Galactic、Shopify、Tesla 等等都已開始接受比特幣和其他虛擬加密貨幣 (且數量正在不斷增加)。一些國家和地區,如美國、南韓、香港、日本及澳洲也開始接納虛擬加密貨幣或開始制定相關法律。儘管某些國家完全拒絕承認、甚至明文禁止使用虛擬加密貨幣 (參見「虛擬加密貨幣分布國家」(Cryptocurrencies by country) 一文,Dividends Magazine,2017 年 10 月 25 日)。

什麼是「挖礦」?

「虛擬加密貨幣挖礦」(或簡稱「挖礦」) 是一種透過分散式點對點網路節點 (也就是「礦工」) 來處理並驗證交易的方式,這些礦工是由無數使用者裝置所安裝的挖礦程式所組成。交易在處理時都是以一個「區塊」為單位,這區塊需經過網路礦工運算出來的加密雜湊碼 (一串固定長度的英文與數字) 加以驗證然後才能加到「區塊鏈」上 ,此區塊鏈就是該貨幣的公開帳簿。這個動作完成之後,區塊鏈就可以再繼續接受下一個區塊。貨幣持有人的虛擬加密貨幣錢包內的私密金鑰 (或稱為「種子」) 就是貨幣持有人的識別碼,此識別碼也用來簽署交易,如此可防止資料遭到篡改 (由礦工運算出來的雜湊碼進行驗證)。第一個計算出正確雜湊碼的礦工 (也就是必須搶在任何其他礦工之前算出正確的雜湊碼),就可以獲得一定單位的貨幣作為報酬,這就是為何需要挖礦強大的運算效能,因為要在很短的時間內算出正確的雜湊碼 (通常在 10 分鐘左右)。而為了計算這些雜湊碼,挖礦作業有可能使用一台或多台配備高階顯示卡 (GPU) 的大型電腦,或者使用許許多多小型挖礦電腦經由網路同步運算。網路上也有一些所謂的「礦池」來集合眾人之力共同挖礦,然後再依據彼此的貢獻度來分享利潤。

您的裝置怎麼會變成殭屍礦工?

並非只有正當的創業家才會想到集合大量的電腦來共同挖礦。您的電腦也可能遭網路犯罪集團「挾持」(也就是感染挖礦程式) 而在您毫不知情的情況下默默地幫歹徒挖礦。

三種挖礦程式 把你的電腦當礦工

趨勢科技目前已發現三種您可能會感染挖程式的情況 (當然還有虛擬加密貨幣錢包內的貨幣可能直接被偷):

1.網站挖礦程式:

「暫時性的網站挖礦程式」:
某些網站現在也開始在網頁中加入一些「暫時性的網站挖礦程式」,最有名的例子就是「PirateBay」網站所使用的「CoinHive」挖礦程式 (該程式在網路上相當紅)。當使用者在 PirateBay 的網站點選任何一處時,就會出現一個含有 CoinHive 挖礦程式的彈出視窗並開始挖礦,它會消耗訪客電腦的大量 CPU 資源來執行 Javascript 挖礦程式。

「隱藏式網站挖礦程式」:
還有一種更惡劣的是「隱藏式網站挖礦程式」,專門給網路犯罪集團用來植入網站當中,即使訪客關閉瀏覽器之後也會持續在背後偷偷挖礦。其手法是將瀏覽器縮小至工作列隱藏,如此就能繼續慢慢挖礦,所以使用者可能不會特別注意到,但 CPU 用量仍會高於異常狀況。

挖礦會耗損電腦( PC 或 Mac )的使用壽命,如果是行動裝置,則可能會造成過熱、電池膨脹、甚至整個裝置損毀
挖礦會耗損電腦( PC 或 Mac )的使用壽命,如果是行動裝置,則可能會造成過熱、電池膨脹、甚至整個裝置損毀

 

2.本機挖礦程式:

這種挖礦程式會假冒成軟體更新,然後在您的電腦上安裝挖礦程式,例如您可能看過的假 Flash Player 更新程式,它會在您瀏覽網站時彈出一個視窗要您安裝更新才能正常檢視網站內容。另一個例子是 HiddenMiner,這是一個專門假冒成 Google Play 更新的應用程式,會躲在 Android 裝置內偷挖門羅幣 (Monero),進而導致裝置過熱,並可能讓裝置故障。這與另一個 Android 上的門羅幣挖礦程式 Loapi 類似,後者已經被其他資安研究人員指出可能造成裝置電池膨脹。

《延伸閱讀 》
手機病毒:新的Android挖礦程式又來了,這回要榨乾你的手機電力
Mac 最近總是燒燙燙?原來是下載到假的Flash Player,被植入挖礦程式了

3.無檔案式挖礦程式:
最後一種是所謂的「無檔案式挖礦程式」,一開始會先執行 PowerShell 腳本來入侵電腦,然後再經由 Mimikatz 或 EternalBlue 漏洞在網路內橫向移動,接著在用 Windows Management Instrumentation (WMI) 來入侵其掃瞄的網路。這等於開了一個持續、非同步的無檔案式後門,讓歹徒在背後操控您的電腦來挖礦,結果會讓 CPU 用量變高。

 

那麼,您該如何防範這類威脅?敬請參閱「別當殭屍礦工 – 下篇:如何避免感染虛擬加密貨幣挖礦程式?

 

原文出處:Don’t Be a Coinmining Zombie – Part 1: Getting Cryptojacked

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

電腦很吵?風扇很大聲?懷疑遭挖礦,立即免費下載 PC-cillin 檢測