Sophos: 如何应对加密货币挖矿恶意软件

　　在经历了2017年指数级上涨之后，加密货币价格今年前几个月一路狂跌，但在4月24日比特币价格又再度突破9000美元，其他加密货币也涨声一片。如同过山车般的价格让监管部门和投资者应接不暇。加密货币的暴利让网络攻击者开始利用加密货币挖矿恶意软件感染网站来谋取利益。

　　基于网络的加密货币挖矿软件恶意软件(cryptominer)，

　　加密货币挖矿是一个发现比特币、门罗币以及以太坊和莱特币等其他加密数字货币的过程，它需要强大的计算机处理能力，这会降低性能并产生损耗。

　　这以前通常不会产生问题，因为这一活动基本上仅限于选择这样做的人，但随着加密数字货币的价格暴涨，情况开始发生改变。

　　合法加密货币挖矿程序运行时会征得用户同意，但恶意程序不会，而是选择悄悄地摄取计算机资源。SophosLabs发现了越来越多的新变体，新变体发生了以下改变：

　　新变体的表现形式不再是可执行文件，而是隐藏在网络中的脚本，在浏览器中挖掘加密数字货币。访问这些网站的用户不会看到任何挖矿操作，可能出现问题的唯一线索是用户的计算机变慢，散热器加速运转。

　　很明显的一个例子是Coinhive，这种门罗币挖矿程序首次出现于2017年9月中旬，由于加密数字货币价值激增，隐藏有Coinhive的网站数量呈增长趋势。曾有光顾布宜诺斯艾利斯星巴克的顾客在连接咖啡店的“免费”Wi-Fi时出现了10秒钟的延迟，这是因为他们的笔记本电源被秘密地用于挖掘加密货币。

　　考虑到其寄生本质，Sophos已经将Coinhive和其他基于JavaScript的cryptominer标记为恶意软件，当用户偶然访问隐藏这些恶意软件的某个网站时，恶意软件将被阻止。

　　如上所述，JavaScript挖矿程序以及来自Coinhive的挖矿程序被添加到网站中，并在浏览器中运行，使用用户的CPU生成加密数字货币。用户可能注意到计算机性能下降，CPU利用率升高，以及电池消耗的速度比平常更快。

　　Coinhive还会利用移动设备，用户可能会很快注意到设备温度大幅升高。

　　加密数字货币价值促使Coinhive数量攀升

　　随着加密数字货币价值猛增，SophosLabs注意到使用Coinhive脚本的网站数量也在稳步增加。

　　Coinhive在自我推销时号称是一种可以替代广告的收入来源。

　　臭名昭著的洪流网站海盗湾(Pirate Bay)就是这样一种恶意软件：利用Coinhive的代码，悄悄使用用户的浏览器挖掘加密数字货币，而不通知用户。网站将Coinhive JavaScript代码嵌入搜索页面，挖掘门罗币。

　　如何应对

　　为了确保不被网站中托管的JavaScript cryptominer(如Coinhive)攻击，当发掘cryptomining迹象时，用户可以采取以下措施[1]。

　　1. 检查CPU。在Mac上查看“活动监视器”，或在Windows中查看“任务管理器”。如果笔记本有散热器，您可能听到散热器加速运转，这是在散去CUP芯片高负荷运转产生的大量热量。

　　2. 考虑使用JavaScript控制插件。NoScript是一款广受欢迎的免费工具，您可以用它控制浏览器中入侵性的JavaScript、Flash和Java。

　　3. 查看杀毒软件是否能够检测挖矿工具。例如，Sophos产品可以将基于浏览器的挖矿程序归类为PUA(潜在不必要应用)。PUA不是恶意软件，您可以选择阻止或允许其运行。

　　4. 立即修复。能够进入服务器的黑客会添加cryptomining代码，从所有访问您网站的用户那里谋取“意外之财”，而让您承担投诉的后果。

　　[1] https://nakedsecurity.sophos.com/2017/12/14/starbucks-wi-fi-hijacked-customers-laptops-to-mine-cryptocurrency/

(本文不涉密)
责任编辑：路沙

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。