52

游戏产业遭币圈硕鼠 100万台高配电脑沦为雷锋矿机

 5 years ago
source link: https://tech.sina.com.cn/it/2018-07-26/doc-ihfvkitw7311636.shtml?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

■本报记者 贺 骏

作为资深游戏玩家,一台高配的电脑是必不可少的。不过,这样的电脑很容易被某些“币圈”人士盯上。在机主毫不知情的情况下,大量游戏电脑已然成为某些人的“矿机”,为他们不舍昼夜的“挖币”。

日前, 腾讯 电脑管家正式披露了4个月前一起挖矿大案的细节,案中,389万台电脑沦为“肉鸡”,其中约100万台高配“肉鸡”被用于挖矿,另外约289万台普通“肉鸡”被用于弹窗广告。

据介绍,今年4月11日,警方在腾讯电脑管家和守护者计划的协助下,一举破获了“tlMiner”挖矿木马黑产公司。该公司位于辽宁大连,是大连高新技术企业,其通过网吧、吃鸡外挂、盗版视频软件等渠道传播投放木马,控制了389万台电脑,用于数字加密货币挖矿、强制广告等非法业务,合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云储币)等各类数字货币超过2000万枚,非法获利1500余万元。

“在国内,僵尸网络超过100万台是极少见的。我们以往发现的DDoS攻击或者远程控制密码类的,规模往往只有几万台、几十万台。控制100万台电脑去挖矿,这是一个非常严重的事件,而且还控制了289万台电脑进行强制广告,这是非常巨大的一个僵尸网络”,腾讯电脑管家高级安全专家李铁军接受《证券日报》记者采访时指出,“从我们提供情况,到警方完成破案,大概花了半年左右的时间。”

挖矿木马:悄悄地进村

值得一提的是,此次破获的“tlMiner”挖矿木马,还不是规模最大的一起。今年4月,腾讯方面还监测到一个遍布全球的PhotoMiner木马挖矿组织,该组织通过入侵FTP服务器、SMB服务器来扩大传播范围。自2016年首次被发现至今,PhotoMiner木马通过门罗币挖矿累计收入已达到8900万元。感染量排名前三的国家是中国(26%)、美国(25%)和德国(12%)。

“我们一直在观察黑色产业链。从去年下半年到现在,电脑上基本上就两大类病毒,一是勒索病毒,二是挖矿木马,其它的病毒已经极其少见了”,李铁军指出,相比于DDos攻击和勒索病毒,挖矿木马的风险最低,来钱最快,“每天每台计算机能给不法分子挣多少钱,他们的账号都看得非常清楚”。

事实上,之所以风险最低,是因为绝大部分被植入挖矿木马的游戏玩家都“无感”。 “游戏玩家非常在意电脑速度,而且还喜欢下载外挂,这两个诉求都会导致他们不安装或停用安全软件,给挖矿木马以趁虚而入的机会”,李铁军指出,“挖矿木马其实也很‘挑食’,只有那些配置非常高的电脑,他们才会入住,这样挖矿时对机器性能影响较小,机主不易察觉。而且,现在的挖矿木马都智能化了,如果CPU占用率超过50%,他就适可而止了”。

由于挖矿木马的“盗亦有道”,即使其在挖矿,用户对电脑性能降低的感觉也并不明显。李铁军还透露,当挖矿木马获知用户启动大型游戏后,还会暂时停工。等到用户没有操作电脑甚至息屏的时候,挖矿木马就会启动全速挖矿。“这种情况下,主机长期高负荷运转,主板、内存等硬件会提前报废,对电脑损害极大”。

值得一提的是,不同的挖矿木马之间,对于宿主的争抢也是毫不客气。李铁军透露,“我们最近发现的一个木马就是这样的,它会在电脑上检查其它挖矿木马的进程,找到之后,先把那个挖矿木马干掉,然后自己来挖矿”。

因为挖矿木马的“低调”特征使然,其对入住手机的兴趣并不大。“入住手机的挖矿木马也有,但很少,因为在手机上一挖矿,手机都烫,电池都受不了”,李铁军表示。

在李铁军看来,从技术角度上说,挖矿代码都是公开的,外挂程序也不复杂。此次出现高达389万台电脑沦为肉鸡的情况,与网络营销公司拥有大量各种网络传播渠道不无关系“大连这家公司他自身的互联网渠道资源就非常丰富,分发一个病毒非常容易”。

据了解,此次破获的“tlMiner”木马主要植入在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版视频网站、酷艺影视网吧VIP等程序中,通过网吧联盟、论坛、下载站和云盘等渠道传播。

勒索病毒:专门“劫富”

近年高发的两大病毒中,除了挖矿木马病毒,另一个就是勒索病毒。去年5月爆发WannaCry病毒,让全球用户一夜间就知道了它的大名。时至今日,勒索病毒的变种依旧猖獗。

李铁军指出:“勒索病毒这几年变化挺大的,去年勒索病毒是无差别的攻击所有入侵的电脑,入侵后不管三七二十一,先把电脑上数据文档加密了。现在的勒索病毒已经不这么做了,入侵后,云端的控制者会检查这台电脑有没有价值,是普通人的电脑,还是有钱人、企业高管的电脑;是企业的电脑还是普通消费者的电脑。如果是一家企业,会看是医疗机构还是政府机关或是其它,数据是不是特别值钱、值不值得做这件事情。这些通过浏览你的文档就能知道”。

最终结果是,勒索病毒最后加密的数据基本上都是高价值目标。“我们统计的情况是,行业用户中的医疗机构特别多,经常有医院的电脑被勒索病毒加密了,还有些是政府机关以及企业高管的电脑”,李铁军透露,“普通用户中了勒索病毒,重装系统就可以了,不法分子挣不到钱。从今年上半年情况看,勒索病毒案例的数量在减少,但质量在上升,针对企业高价值目标勒索的事件还是挺多的。”


About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK