挖礦病毒爆發事件

❶ 比特幣挖礦平台被入侵情形如何

斯洛維尼亞挖礦平台NiceHash周四在其官網發布一則聲明，聲稱該平台遭遇黑客攻擊，大量比特幣被盜，目前平台各項服務已全面關閉。

NiceHash方面表示比特幣被盜是因為錢包遭遇入侵，公司正在核實被盜的比特幣數量，並配合有關部門進行調查。根據存儲比特幣錢包的地址顯示，此次約有4700多枚比特幣被盜。

卡巴斯基實驗室的惡意軟體分析師Sergey Yunakovsky認為，加密貨幣不再是一個遙不可及的技術。最近，我們觀察到針對不同類型的加密貨幣的惡意軟體攻擊有所增加，我們預計這一趨勢將繼續下去。

而加密貨幣價格的飆漲是它們被黑客盯上的主要原因。比特幣在本周上演瘋狂上漲的行情，隨著本周六美國市場比特幣期貨推出的臨近，市場對比特幣的狂熱在周四達到新高潮，該數字貨幣價格在約40個小時內飆升了約40%，連續突破五個千元關口，升破17000美元。周四，一些交易所的比特幣價格甚至一度升破19000美元，24小時內漲幅超50%。

❷ 電腦中了挖礦病毒

方法/步驟
首先，如果是菜鳥寫出的病毒，大家可以太任務管理器中，找到該文件路徑，直接終結進程樹，或直接找到路徑刪除即可。

2/6
第二，如果對方技術夠本，我們很難終結進程，那麼，我們可以下載一個電腦管家，現在的電腦管家也增大了挖礦病毒的掃描率，如果查找到直接清理即可。

3/6
第三，如果電腦管家也無法搞定那麼，我們可以avast查殺，這個程序在殺毒方面，簡直是第一，對於挖礦病毒來說，更是猶如利劍。

4/6
第四，如果使用avast之後，我們還懷疑電腦有挖礦病毒的話，我們先打開進程手動把文檔路徑放到隔離區。

5/6
第五，在放到隔離區之後，我們使用avast的放鬆以供分析，然後發給avast的工作員工，備注懷疑是挖礦病毒，對方給我們人工分析，如果是，對方也會幫我們刪除。

6/6
第六，如果在專業堅定之後，我們還有所懷疑的話，如果不是大牛，那麼，大舅就需要重裝電腦了，畢竟，一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)

❸ WannaMine挖礦木馬手工處理

關於病毒及木馬的問題，都說老生常談的了，這里就不講逆向分析的東西，網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實，很多時候都被問的煩了。

WannaCry勒索與WannaMine挖礦，雖然首次發生的時間已經過去很久了，但依舊能在很多家內網見到這兩個，各類殺毒軟體依舊無法清除干凈，但可以阻斷外聯及刪除病毒主體文件，但依然會殘留一些。此種情況下，全流量分析設備依舊可以監測到嘗試外聯，與445埠掃描行為。

WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後，仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。

WannaMine 全系使用「永恆之藍」漏洞，在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。

下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。

WannaMine2.0版本

該版本釋放文件參考如下：
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。

WannaMine3.0版本

該版本釋放文件參考如下：

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需刪除主服務snmpstorsrv與UPnPHostServices計劃任務

WannaMine4.0版本

該版本釋放文件參考如下：

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴：xml、log、dat、xsl、ini、tlb、msc</pre>

關於Windows下計劃任務與啟動項查看方式，建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下，可以到注冊表下查看。

注冊表下排查可疑的計劃任務

HKEY_LOCAL_

發現可疑項可至tasks下查看對應ID的Actions值

HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]

計劃任務文件物理目錄
C:

新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊，Autoruns可以用來檢查WMI與啟動項並進行刪除，在手動刪除病毒相關計劃任務與啟動項時，記得刪除相應的文件與注冊表ID對應項。

注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]

❹ 集後門木馬、挖礦腳本、勒索病毒於一身，這個ZIP壓縮文件厲害了

近日，白帽子黑客Marco Ramilli捕獲到了一封「奇特」的惡意電子郵件，其中包含一條鏈接，一旦點擊就會導致一個名為「pik.zip」的壓縮文件被下載。之所以說它奇特，是因為包含在這個ZIP文件中的JavaScript腳本文件採用了西里爾字母進行命名——被命名為「Группа Компаний ПИК подробности заказа」，翻譯過來就是「PIK集團公司訂單詳情」。

需要說明的是，目前使用西里爾字母的文字包括俄語、烏克蘭語、盧森尼亞語、白俄羅斯語、保加利亞語、塞爾維亞語和馬其頓語等，而PIK恰好就是俄羅斯的一家房地產公司，擁有超過1.4萬名員工。也就是說，攻擊者顯然試圖將電子郵件偽裝成來自PIK公司，從而藉助該公司的聲譽開展攻擊活動。

Marco Ramilli表示，攻擊者使用了多種混淆技術來對該腳本JavaScript進行混淆處理。其中，在感染第一階段階段存在兩個主要的混淆流：

該腳本最終會釋放並執行一個虛假的圖像文件「msg.jpg」，該文件實際上是一個經過UPX加殼的Windows PE文件，被用於感染的第二階段。

在感染的第二階段，三個額外的模塊會被釋放並執行：一個後門木馬、一個挖礦腳本和一種此前曾被廣泛報道過的勒索病毒——Troldesh。

分析表明，第一個被釋放的模塊（327B0EF4.exe）與Troldesh非常相似。該勒索病毒會在加密目標文件之後對其進行重命名並附加一個「.crypted00000」擴展名。舉例來說，當一個名為「1.jp」的文件在被加密之後，其文件名就會被重命名為「hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007」。同時，Troldesh還會篡改計算機桌面的壁紙，以顯示勒索信息：

第二個被釋放的模塊（37ED0C97.exe）是被證實一個名為「nheqminer」的挖礦腳本，被用於挖掘大零幣（Zcash，一種加密貨幣）。

第三個安裝被釋放的模塊（B56CE7B7.exe）則被證實是Heur木馬，該木馬的主要功能是針對WordPress網站實施暴力破解，曾在2017年被廣泛報道。

根據Marco Ramilli的說法，該木馬的典型行為與HEUR.Trojan.Win32.Generic非常相似，包括：

一旦該木馬安裝成功，就會通過暴力破解來尋求弱口令憑證，而一旦發現了弱口令憑證，就將pik.zip復制到這些WordPress網站中。

Marco Ramilli認為，此次攻擊活動背後的攻擊者顯然試圖通過多種渠道來牟利——勒索病毒和加密貨幣挖礦腳本。此外，攻擊者還試圖通過受感染計算機來暴力破解並控制隨機的WordPress網站。這樣的攻擊活動工作量顯然非常大，且很容易被檢測到。因此，攻擊者不太可能是某個國家黑客組織，而只是一群想要同時通過多種方式來牟利的網路犯罪分子。

❺ 電腦中挖礦病毒了怎麼辦

電腦中病毒，那麼最好的解決辦法就是格式化系統盤或是全盤，或是重新分區後重裝系統，通過系統光碟或是製作的u盤啟動盤來安裝，通過快捷鍵或是進入bios中設置開機啟動項從cd或是usb啟動然後安裝系統，這樣電腦就可以恢復正常使用運行的

❻ 比特幣病毒什麼時候在中國爆發的

5月12日開始，比特幣勒索計算機病毒在全球爆發。目前，全英國上下16家醫院遭到大范圍攻擊，中國眾多高校也紛紛中招。黑客則通過鎖定電腦文件來勒索用戶交贖金，而且只收比特幣。

而在這次爆發的全球性電腦病毒事件中，手機中國也收到了一封勒索郵件，幸好收到郵件的這個機器是一台測試機，沒對我們造成什麼影響。不過，對於畢業季的高校生就不一樣了，論文被鎖那可是關乎到畢業的。那麼面對這次爆發的勒索病毒，大家該怎麼樣應對，做哪些防護措施呢？

首先來了解一下這次的病毒特性

黑客發起的這個電腦病毒會將系統上的大量文件加密成為.onion為後綴的文件，中毒後被要求支付比特幣贖金才能解密恢復文件，對個人資料造成嚴重損失，而殺毒軟體並不能解密這些加密後的文件。但大家也千萬不要聽信黑客所謂的「給錢就解密」的說法，因為黑客不一定會嚴守信用，另外比特幣價格不菲，對普通用戶來說也是一筆不小的數目。

其次需要注意病毒爆發的背景

國內的專業人士表示，根據網路安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。「永恆之藍」會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。

由於以前國內多次爆發利用445埠傳播的蠕蟲，運營商對個人用戶已封掉445埠，但是教育網並沒有此限制，仍然存在大量暴露445埠的機器。據有關機構統計，目前國內平均每天有5000多台機器遭到NSA「永恆之藍」黑客武器的遠程攻擊，教育網是受攻擊的重災區。

應對方法有哪些？

1.關閉445埠，具體操作方法大家可以自行搜索查詢。

2.目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，可盡快為電腦安裝此補丁。

至於XP、2003等微軟已不再提供安全更新的機器，微博的專業人士推薦使用「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的

❼ 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

❽ 英媒：比特幣挖礦曝首例死亡事件

據《每日電訊報》網站7月22日報道，比特幣開采被稱為數字世界的淘金熱。正是虛擬世界的克朗代克（位於加拿大西北部，以19世紀末的淘金熱而聞名）可以讓參與者一夜致富

報告說，盡管比特幣礦工坐在計算機終端前，而不是在阿拉斯加的冰雪中挖掘，熱衷於比特幣開採的金礦商也開始意識到這一活動也可能是危險的

據報道，一名比特幣礦工因試圖提高計算機計算能力以獲取更多比特幣而在計算機爆炸中喪生，這可能是比特幣開采造成的第一例死亡報告指出，26歲的泰國人Danai MAME的死亡，是由於缺乏對比特幣開采活動的監管而導致的一系列工業事故中的最新一起

據報道，比特幣開采是一個「眾包」過程，全球數十萬參與者可以通過該過程驗證比特幣交易並確保其合法性。這些所謂的礦商可以在完成一定數量的交易驗證後獲得比特幣獎勵

報告指出，該行業已經吸引了大量的新人，一些人聲稱每天可以賺取數百美元。然而，由於驗證交易所需的高計算能力，許多礦工將多台計算機連接在一起以獲得更多利潤。這意味著，如果這些行為不受監管，它們將造成潛在的危險並對環境有害

據報道，MAME因多個計算機硬碟出現故障而心煩意亂。他迫不及待地等待維修人員第二天修理設備，並試圖自己修理。結果，他引發了一場爆炸，死於觸電

他的兄弟阿皮瓦說，當他周三早上與維修人員一起進入馬姆的房間時，他發現自己已經死亡。阿比瓦說：「為了提高計算能力，他改裝了電腦。」。我認為這不安全，但我哥哥自己把電腦改造成了比特幣挖掘。他非常熱衷於采礦我們判斷他想親自修理有故障的機器，但他觸電了。」當地警察桑迪·舒舍武說。

報告指出，這起事故將加劇人們對比特幣開采缺乏監管的擔憂。目前，大多數采礦活動都是在亞洲進行的，因為這里有大量的廉價技術工人，根據英國劍橋大學的一項研究，全球比特幣開采活動的年耗電量超過阿根廷

據報道，比特幣開采事故時有發生。例如，在俄羅斯東部符拉迪沃斯托克附近，一名居民非法將他的計算機連接到一棟公寓樓的供電系統，導致公寓樓起火

#歐易OKEx# #比特幣[超話]# #數字貨幣#