来源:证券日报
■本报记者何军
作为资深游戏玩家,一台高配的电脑必不可少。但是,这样的电脑很容易被一些“钱圈”的人盯上。在机主不知情的情况下,大量游戏电脑成了某些人的“挖矿机”,没日没夜地“挖币”。
日前,腾讯电脑管家正式披露了4个月前一起重大挖矿案的细节。该案中,389万台电脑沦为“肉鸡”,其中约100万台高档“肉鸡”用于挖矿,约289万台普通“肉鸡”用于弹窗广告。
据介绍,今年4月11日,警方在腾讯电脑管家和守护者计划的协助下,一举破获了“tlMiner”挖矿木马黑产公司。公司位于辽宁省大连市,是大连市高新技术企业。其通过网吧、吃鸡外挂、盗版视频软件等渠道传播、投放木马,控制电脑389万台,用于数字加密货币挖矿、强制广告等非法业务。总共开采了DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金币)、BCD(比特币)。
“在中国,超过100万的僵尸网络很少。我们以往发现的DDoS攻击或远程控制密码的规模往往只有几万或几十万。控制100万台电脑挖矿是非常严重的事件,还控制289万台电脑进行强制广告,是一个非常庞大的僵尸网络。”腾讯电脑管家资深安全专家李铁军在接受《证券日报》记者采访时指出,“从我们提供信息到警方破案,大概用了半年时间。”
挖矿木马:悄悄进村
值得一提的是,此次被破解的“tlMiner”挖矿木马并不是最大的一个。今年4月,腾讯还监测到一个遍布全球的PhotoMiner木马挖矿组织,通过入侵FTP服务器和SMB服务器来扩大传播。自2016年首次被发现以来,PhotoMiner木马通过门罗币挖矿累计收入已达8900万元。感染人数排名前三的国家分别是中国(26%)、美国(25%)和德国(12%)。
“我们一直在观察黑色产业链。从去年下半年到现在,电脑上的病毒基本上有两种,一种是勒索病毒,一种是挖矿木马,其他病毒极其少见。”李铁军指出,相比DDos攻击和勒索软件,挖矿木马风险最低,来钱最快。“每天每台电脑都可以为犯罪分子挣钱,他们的账目可以看得很清楚。”
其实风险最低是因为大部分被植入挖矿木马的游戏玩家都是“麻木不仁”的。“游戏玩家非常关心电脑的速度,他们也喜欢下载插件。这两种诉求会导致他们不安装或停止使用安全软件,给挖矿木马以可乘之机。”李铁军指出,“挖矿木马也很挑食。只有那些配置非常高的电脑才会留下来,这样挖矿对机器性能影响不大,机主也不容易察觉。而且现在的挖矿木马都是智能的。如果CPU利用率超过50%,就要适可而止。”
由于挖矿木马的“贼途”,即使挖矿,用户对电脑性能下降的感觉也不明显。李铁军还透露,挖矿木马在得知用户开始大型游戏时,会暂时停止工作。当用户不操作电脑甚至屏幕时,挖矿木马就会全速启动挖矿。“这种情况下,如果主机长时间高负载运行,主板、内存等硬件会提前报废,对电脑的损害很大”。
值得一提的是,不同挖矿木马之间,对主机的争夺也是不礼貌的。李铁军透露,“我们最近发现的一个木马就是这样的。它会检查电脑上其他挖矿木马的进度。它被发现后,会先杀死挖矿木马,然后自己挖矿。”
因为挖矿木马的“低调”特性比特币,他们对手机的逗留兴趣不大。“手机里也有挖矿木马,但很少,因为在手机上挖矿的时候,手机发热,电池受不了”,李铁军说。
在李铁军看来,从技术角度来说,挖矿代码都是开放的,外挂程序并不复杂。这次多达389万台电脑沦为肉鸡,与网络营销公司拥有大量各种网络传播渠道不无关系。“大连这家公司有非常丰富的互联网渠道资源,非常容易传播一个病毒”。
据了解,被破解的“tlMiner”木马主要植入在“吃鸡”游戏插件、海豚加速器(修改版)、高仿盗版视频网站、酷易影视网吧VIP等程序中。通过网吧联盟、论坛、下载站、云盘传播。
勒索病毒:专门“劫富”
近年来,除了挖矿木马病毒,另一种就是勒索病毒。去年5月WannaCry病毒爆发,一夜之间让全世界的用户都知道了它的名字。时至今日,勒索软件的变种依然猖獗。
李铁军指出:“勒索病毒这几年变化很大。去年,勒索软件不分青红皂白地攻击了所有入侵的电脑。入侵之后,不管3721,电脑上的数据文件都是先加密的。现在的勒索软件已经不这么做了。入侵后,云端的控制器会检查这台电脑是否值钱,是普通人的电脑,还是有钱人、企业高管的电脑;无论是企业电脑还是普通消费电脑。如果是企业,那就要看是医疗机构、政府机关还是别的什么,数据是不是特别有价值,值得做。这些可以通过浏览你的文档来了解”。
这样一来,勒索软件最终加密的数据基本都是高价值的目标。“根据我们的统计,行业内的用户中有大量的医疗机构,医院的电脑也经常被勒索病毒加密,还有一部分是政府机关和企业高管的电脑。”李铁军透露,“普通用户被勒索病毒感染,重装系统就可以了,不法分子赚不到钱。从今年上半年的情况来看,勒索案件数量在减少,但质量在上升。针对企业高价值目标的敲诈事件还不少。”