你知道嗎？挖礦病毒不僅吞噬電力，更能拖慢你的計算能力。許多“中招”的數據中心，以及無法精確統計的僵尸網絡，正在貪婪的吞噬電力、拖慢企業的計算能力。對于個人用戶而言，“礦工”可能就躲藏在你我的電腦當中。

黑客很可能已經偷偷往受害者得電腦中植入了挖礦軟件，且持續數量都不會被發現。近期，一些研究員發現另一種被稱為“Norman”的挖礦惡意軟件，其能利用被感染計算機的處理能力來挖掘加密貨幣，導致系統速度越來越慢，最終無法使用。

時刻警惕你的電腦

我們了解到，“Norman”的隱藏能力極強，當安全研究員發現它的蹤跡時，該惡意軟件已經感染了目標公司的幾乎所有計算機，且可能已經潛伏了多年。

“Norman”之所以有這樣強大的隱藏能力，原因在于黑客使用了多種終止程序進程，并在用戶關閉任務管理器后恢復工作，以防止用戶發現自己的電腦內存有可疑程序正在運行。

實際上，這類惡意軟件不僅可以長期蟄伏，還能通過命令和控制服務器（command and control）接收黑客的指令。對此，研究員表示他們不確定攻擊者是否真的“管理”這些惡意軟件。

與此同時，研究員還認為“Norman”的開發者，可能來自法國或者其他法語國家，因為在該惡意軟件代碼中含有用法語編寫的字符串。對此，安全專家表示，使用惡意軟件挖礦是從去年便開始流行的網絡犯罪形式之一。

對于普通用戶來說，需要警惕“電腦越用越卡”的情況。作為吞噬PC資源的“大戶”，挖礦病毒通過控制PC的處理器、顯卡等硬件，執行高負載的挖礦計算腳本來進行挖礦。一旦成功入侵到用戶PC，往往會導致CPU或是顯卡的負載上升數倍，不僅應用的運行速度被極大的拖慢，電力功耗也會劇烈增加。

根據相關安全報告顯示，政府、醫療、石油和天然氣等網絡安全相對薄弱的企事業單位是挖礦病毒的優先攻擊目標。雖然大部分PC在挖礦效率上完全無法同專業的“礦機”相提并論，但是“聚沙成塔”，一旦其控制的PC數量達到幾千臺甚至幾萬臺，其收益就是極其可觀了。

此外，挖礦病毒的風險還在于，其目的并非局限在竊取PC的計算能力方面，而是會利用自己善于隱匿的優勢，為威脅更大的APT攻擊預留了空間。一旦挖礦變得無利可圖，其很有可能將目標轉化為組織的數據資產與業務，帶來更嚴峻的威脅。

需要注意的是，當我們正常瀏覽網頁時，也有可能是在幫別人挖礦。這種擅自占用用戶資源的行為，其實已經構成違法犯罪，可以稱之為木馬病毒。根據Adguard的數據統計，全球已經有約有5億臺電腦曾被綁架挖礦。全網有超過3萬家網站內置了挖礦代碼，這些挖礦代碼可以使用戶在瀏覽了網頁時，調用計算機的資源來進行挖礦。對于流量比較小的網站來講，每天可以獲得幾美元的收入，而對于那些流量較大的網站，則可以達到數千美元。

如何找到挖礦病毒的“脈門”

斬斷入侵路徑是防范挖礦病毒最有效的方法，而社交工程就是黑客最常用的入侵方式。黑客會向組織內部的員工大量發送精心偽造的垃圾郵件，這些垃圾郵件一般會在附件中植入挖礦相關的惡意代碼，并使用具有誘惑力的標題和內容誘惑員工下載并打開。一旦成功侵入，病毒往往會注入系統進程，并讀取挖礦配置信息進行挖礦。

因此，對于挖礦病毒來說，生存時間是衡量其銷量的最重要標準。為了達到這一目標，網絡犯罪分子采取的戰術策略也在不斷演變，更多的是使用了免殺機制。在對抗挖礦病毒的過程中，持續的監察與發現能力至關重要。

在這里，安全公司的研究人員建議組織和用戶建立多層次、聯動的安全策略，部署防火墻、郵件網關等產品作為第一道防線，并部署行為監控和漏洞防護產品，有效阻止威脅到達客戶端。對于面臨挖礦病毒威脅的組織來說，要在挖礦病毒傳播的各個環節建立“抑制點”。目前，有很多不錯的安全廠商都可以提供完善的安全解決方案，保護用戶的電腦安全。

另一方面，在挖礦病毒發現與防范過程中，“人”扮演著重要的角色，組織的IT人員應該加強對于組織網絡資產的監測，對于出現的異常情況進行及時排查與處理。此外，強化員工的網絡安全教育也有利于員工降低點擊不明郵件、鏈接與文件的幾率，并能通過及時的自查與事件上報降低PC的染毒幾率。

在文章的最后，我們也提醒廣大用戶特別是企業用戶，要構建覆蓋全網的終端威脅發現系統，特別防范未知安全威脅，加強安全態勢感知能力提升，并通過精密編排的防御體系提升網絡安全恢復補救能力。