作為資深游戲玩家，一臺(tái)高配的電腦是必不可少的。不過(guò)，這樣的電腦很容易被某些“幣圈”人士盯上。在機(jī)主毫不知情的情況下，大量游戲電腦已然成為某些人的“礦機(jī)”，為他們不舍晝夜的“挖幣”。

日前，騰訊電腦管家正式披露了4個(gè)月前一起挖礦大案的細(xì)節(jié)，案中，389萬(wàn)臺(tái)電腦淪為“肉雞”，其中約100萬(wàn)臺(tái)高配“肉雞”被用于挖礦，另外約289萬(wàn)臺(tái)普通“肉雞”被用于彈窗廣告。

據(jù)介紹，今年4月11日，警方在騰訊電腦管家和守護(hù)者計(jì)劃的協(xié)助下，一舉破獲了“tlMiner”挖礦木馬黑產(chǎn)公司。該公司位于遼寧大連，是大連高新技術(shù)企業(yè)，其通過(guò)網(wǎng)吧、吃雞外掛、盜版視頻軟件等渠道傳播投放木馬，控制了389萬(wàn)臺(tái)電腦，用于數(shù)字加密貨幣挖礦、強(qiáng)制廣告等非法業(yè)務(wù)，合計(jì)挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級(jí)現(xiàn)金幣)、BCD(比特幣鉆石)、SIA(云儲(chǔ)幣)等各類數(shù)字貨幣超過(guò)2000萬(wàn)枚，非法獲利1500余萬(wàn)元。

“在國(guó)內(nèi)，僵尸網(wǎng)絡(luò)超過(guò)100萬(wàn)臺(tái)是極少見(jiàn)的。我們以往發(fā)現(xiàn)的DDoS攻擊或者遠(yuǎn)程控制密碼類的，規(guī)模往往只有幾萬(wàn)臺(tái)、幾十萬(wàn)臺(tái)。控制100萬(wàn)臺(tái)電腦去挖礦，這是一個(gè)非常嚴(yán)重的事件，而且還控制了289萬(wàn)臺(tái)電腦進(jìn)行強(qiáng)制廣告，這是非常巨大的一個(gè)僵尸網(wǎng)絡(luò)”，騰訊電腦管家高級(jí)安全專家李鐵軍接受《證券日?qǐng)?bào)》記者采訪時(shí)指出，“從我們提供情況，到警方完成破案，大概花了半年左右的時(shí)間。”

挖礦木馬：悄悄地進(jìn)村

值得一提的是，此次破獲的“tlMiner”挖礦木馬，還不是規(guī)模最大的一起。今年4月，騰訊方面還監(jiān)測(cè)到一個(gè)遍布全球的PhotoMiner木馬挖礦組織，該組織通過(guò)入侵FTP服務(wù)器、SMB服務(wù)器來(lái)擴(kuò)大傳播范圍。自2016年首次被發(fā)現(xiàn)至今，PhotoMiner木馬通過(guò)門羅幣挖礦累計(jì)收入已達(dá)到8900萬(wàn)元。感染量排名前三的國(guó)家是中國(guó)(26%)、美國(guó)(25%)和德國(guó)(12%)。

“我們一直在觀察黑色產(chǎn)業(yè)鏈。從去年下半年到現(xiàn)在，電腦上基本上就兩大類病毒，一是勒索病毒，二是挖礦木馬，其它的病毒已經(jīng)極其少見(jiàn)了”，李鐵軍指出，相比于DDos攻擊和勒索病毒，挖礦木馬的風(fēng)險(xiǎn)最低，來(lái)錢最快，“每天每臺(tái)計(jì)算機(jī)能給不法分子掙多少錢，他們的賬號(hào)都看得非常清楚”。

事實(shí)上，之所以風(fēng)險(xiǎn)最低，是因?yàn)榻^大部分被植入挖礦木馬的游戲玩家都“無(wú)感”。“游戲玩家非常在意電腦速度，而且還喜歡下載外掛，這兩個(gè)訴求都會(huì)導(dǎo)致他們不安裝或停用安全軟件，給挖礦木馬以趁虛而入的機(jī)會(huì)”，李鐵軍指出，“挖礦木馬其實(shí)也很‘挑食’，只有那些配置非常高的電腦，他們才會(huì)入住，這樣挖礦時(shí)對(duì)機(jī)器性能影響較小，機(jī)主不易察覺(jué)。而且，現(xiàn)在的挖礦木馬都智能化了，如果CPU占用率超過(guò)50%，他就適可而止了”。

由于挖礦木馬的“盜亦有道”，即使其在挖礦，用戶對(duì)電腦性能降低的感覺(jué)也并不明顯。李鐵軍還透露，當(dāng)挖礦木馬獲知用戶啟動(dòng)大型游戲后，還會(huì)暫時(shí)停工。等到用戶沒(méi)有操作電腦甚至息屏的時(shí)候，挖礦木馬就會(huì)啟動(dòng)全速挖礦。“這種情況下，主機(jī)長(zhǎng)期高負(fù)荷運(yùn)轉(zhuǎn)，主板、內(nèi)存等硬件會(huì)提前報(bào)廢，對(duì)電腦損害極大”。

值得一提的是，不同的挖礦木馬之間，對(duì)于宿主的爭(zhēng)搶也是毫不客氣。李鐵軍透露，“我們最近發(fā)現(xiàn)的一個(gè)木馬就是這樣的，它會(huì)在電腦上檢查其它挖礦木馬的進(jìn)程，找到之后，先把那個(gè)挖礦木馬干掉，然后自己來(lái)挖礦”。

因?yàn)橥诘V木馬的“低調(diào)”特征使然，其對(duì)入住手機(jī)的興趣并不大。“入住手機(jī)的挖礦木馬也有，但很少，因?yàn)樵谑謾C(jī)上一挖礦，手機(jī)都燙，電池都受不了”，李鐵軍表示。

在李鐵軍看來(lái)，從技術(shù)角度上說(shuō)，挖礦代碼都是公開(kāi)的，外掛程序也不復(fù)雜。此次出現(xiàn)高達(dá)389萬(wàn)臺(tái)電腦淪為肉雞的情況，與網(wǎng)絡(luò)營(yíng)銷公司擁有大量各種網(wǎng)絡(luò)傳播渠道不無(wú)關(guān)系“大連這家公司他自身的互聯(lián)網(wǎng)渠道資源就非常豐富，分發(fā)一個(gè)病毒非常容易”。

據(jù)了解，此次破獲的“tlMiner”木馬主要植入在“吃雞”游戲外掛、海豚加速器(修改版)、高仿盜版視頻網(wǎng)站、酷藝影視網(wǎng)吧VIP等程序中，通過(guò)網(wǎng)吧聯(lián)盟、論壇、下載站和云盤等渠道傳播。

勒索病毒：專門“劫富”

近年高發(fā)的兩大病毒中，除了挖礦木馬病毒，另一個(gè)就是勒索病毒。去年5月爆發(fā)WannaCry病毒，讓全球用戶一夜間就知道了它的大名。時(shí)至今日，勒索病毒的變種依舊猖獗。

李鐵軍指出：“勒索病毒這幾年變化挺大的，去年勒索病毒是無(wú)差別的攻擊所有入侵的電腦，入侵后不管三七二十一，先把電腦上數(shù)據(jù)文檔加密了。現(xiàn)在的勒索病毒已經(jīng)不這么做了，入侵后，云端的控制者會(huì)檢查這臺(tái)電腦有沒(méi)有價(jià)值，是普通人的電腦，還是有錢人、企業(yè)高管的電腦;是企業(yè)的電腦還是普通消費(fèi)者的電腦。如果是一家企業(yè)，會(huì)看是醫(yī)療機(jī)構(gòu)還是政府機(jī)關(guān)或是其它，數(shù)據(jù)是不是特別值錢、值不值得做這件事情。這些通過(guò)瀏覽你的文檔就能知道”。

最終結(jié)果是，勒索病毒最后加密的數(shù)據(jù)基本上都是高價(jià)值目標(biāo)。“我們統(tǒng)計(jì)的情況是，行業(yè)用戶中的醫(yī)療機(jī)構(gòu)特別多，經(jīng)常有醫(yī)院的電腦被勒索病毒加密了，還有些是政府機(jī)關(guān)以及企業(yè)高管的電腦”，李鐵軍透露，“普通用戶中了勒索病毒，重裝系統(tǒng)就可以了，不法分子掙不到錢。從今年上半年情況看，勒索病毒案例的數(shù)量在減少，但質(zhì)量在上升，針對(duì)企業(yè)高價(jià)值目標(biāo)勒索的事件還是挺多的。”