作為資深游戲玩家，一臺高配的電腦是必不可少的。不過，這樣的電腦很容易被某些“幣圈”人士盯上。在機主毫不知情的情況下，大量游戲電腦已然成為某些人的“礦機”，為他們不舍晝夜的“挖幣”。

日前，騰訊電腦管家正式披露了4個月前一起挖礦大案的細(xì)節(jié)，案中，389萬臺電腦淪為“肉雞”，其中約100萬臺高配“肉雞”被用于挖礦，另外約289萬臺普通“肉雞”被用于彈窗廣告。

據(jù)介紹，今年4月11日，警方在騰訊電腦管家和守護者計劃的協(xié)助下，一舉破獲了“tlMiner”挖礦木馬黑產(chǎn)公司。該公司位于遼寧大連，是大連高新技術(shù)企業(yè)，其通過網(wǎng)吧、吃雞外掛、盜版視頻軟件等渠道傳播投放木馬，控制了389萬臺電腦，用于數(shù)字加密貨幣挖礦、強制廣告等非法業(yè)務(wù)，合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現(xiàn)金幣)、BCD(比特幣鉆石)、SIA(云儲幣)等各類數(shù)字貨幣超過2000萬枚，非法獲利1500余萬元。

“在國內(nèi)，僵尸網(wǎng)絡(luò)超過100萬臺是極少見的。我們以往發(fā)現(xiàn)的DDoS攻擊或者遠(yuǎn)程控制密碼類的，規(guī)模往往只有幾萬臺、幾十萬臺。控制100萬臺電腦去挖礦，這是一個非常嚴(yán)重的事件，而且還控制了289萬臺電腦進(jìn)行強制廣告，這是非常巨大的一個僵尸網(wǎng)絡(luò)”，騰訊電腦管家高級安全專家李鐵軍接受《證券日報》記者采訪時指出，“從我們提供情況，到警方完成破案，大概花了半年左右的時間。”

挖礦木馬：悄悄地進(jìn)村

值得一提的是，此次破獲的“tlMiner”挖礦木馬，還不是規(guī)模最大的一起。今年4月，騰訊方面還監(jiān)測到一個遍布全球的PhotoMiner木馬挖礦組織，該組織通過入侵FTP服務(wù)器、SMB服務(wù)器來擴大傳播范圍。自2016年首次被發(fā)現(xiàn)至今，PhotoMiner木馬通過門羅幣挖礦累計收入已達(dá)到8900萬元。感染量排名前三的國家是中國(26%)、美國(25%)和德國(12%)。

“我們一直在觀察黑色產(chǎn)業(yè)鏈。從去年下半年到現(xiàn)在，電腦上基本上就兩大類病毒，一是勒索病毒，二是挖礦木馬，其它的病毒已經(jīng)極其少見了”，李鐵軍指出，相比于DDos攻擊和勒索病毒，挖礦木馬的風(fēng)險最低，來錢最快，“每天每臺計算機能給不法分子掙多少錢，他們的賬號都看得非常清楚”。

事實上，之所以風(fēng)險最低，是因為絕大部分被植入挖礦木馬的游戲玩家都“無感”。 “游戲玩家非常在意電腦速度，而且還喜歡下載外掛，這兩個訴求都會導(dǎo)致他們不安裝或停用安全軟件，給挖礦木馬以趁虛而入的機會”，李鐵軍指出，“挖礦木馬其實也很‘挑食’，只有那些配置非常高的電腦，他們才會入住，這樣挖礦時對機器性能影響較小，機主不易察覺。而且，現(xiàn)在的挖礦木馬都智能化了，如果CPU占用率超過50%，他就適可而止了”。

由于挖礦木馬的“盜亦有道”，即使其在挖礦，用戶對電腦性能降低的感覺也并不明顯。李鐵軍還透露，當(dāng)挖礦木馬獲知用戶啟動大型游戲后，還會暫時停工。等到用戶沒有操作電腦甚至息屏的時候，挖礦木馬就會啟動全速挖礦。“這種情況下，主機長期高負(fù)荷運轉(zhuǎn)，主板、內(nèi)存等硬件會提前報廢，對電腦損害極大”。

值得一提的是，不同的挖礦木馬之間，對于宿主的爭搶也是毫不客氣。李鐵軍透露，“我們最近發(fā)現(xiàn)的一個木馬就是這樣的，它會在電腦上檢查其它挖礦木馬的進(jìn)程，找到之后，先把那個挖礦木馬干掉，然后自己來挖礦”。

因為挖礦木馬的“低調(diào)”特征使然，其對入住手機的興趣并不大。“入住手機的挖礦木馬也有，但很少，因為在手機上一挖礦，手機都燙，電池都受不了”，李鐵軍表示。

在李鐵軍看來，從技術(shù)角度上說，挖礦代碼都是公開的，外掛程序也不復(fù)雜。此次出現(xiàn)高達(dá)389萬臺電腦淪為肉雞的情況，與網(wǎng)絡(luò)營銷公司擁有大量各種網(wǎng)絡(luò)傳播渠道不無關(guān)系“大連這家公司他自身的互聯(lián)網(wǎng)渠道資源就非常豐富，分發(fā)一個病毒非常容易”。

據(jù)了解，此次破獲的“tlMiner”木馬主要植入在“吃雞”游戲外掛、海豚加速器(修改版)、高仿盜版視頻網(wǎng)站、酷藝影視網(wǎng)吧VIP等程序中，通過網(wǎng)吧聯(lián)盟、論壇、下載站和云盤等渠道傳播。

勒索病毒：專門“劫富”

近年高發(fā)的兩大病毒中，除了挖礦木馬病毒，另一個就是勒索病毒。去年5月爆發(fā)WannaCry病毒，讓全球用戶一夜間就知道了它的大名。時至今日，勒索病毒的變種依舊猖獗。

李鐵軍指出：“勒索病毒這幾年變化挺大的，去年勒索病毒是無差別的攻擊所有入侵的電腦，入侵后不管三七二十一，先把電腦上數(shù)據(jù)文檔加密了?，F(xiàn)在的勒索病毒已經(jīng)不這么做了，入侵后，云端的控制者會檢查這臺電腦有沒有價值，是普通人的電腦，還是有錢人、企業(yè)高管的電腦;是企業(yè)的電腦還是普通消費者的電腦。如果是一家企業(yè)，會看是醫(yī)療機構(gòu)還是政府機關(guān)或是其它，數(shù)據(jù)是不是特別值錢、值不值得做這件事情。這些通過瀏覽你的文檔就能知道”。

最終結(jié)果是，勒索病毒最后加密的數(shù)據(jù)基本上都是高價值目標(biāo)。“我們統(tǒng)計的情況是，行業(yè)用戶中的醫(yī)療機構(gòu)特別多，經(jīng)常有醫(yī)院的電腦被勒索病毒加密了，還有些是政府機關(guān)以及企業(yè)高管的電腦”，李鐵軍透露，“普通用戶中了勒索病毒，重裝系統(tǒng)就可以了，不法分子掙不到錢。從今年上半年情況看，勒索病毒案例的數(shù)量在減少，但質(zhì)量在上升，針對企業(yè)高價值目標(biāo)勒索的事件還是挺多的。”