该文件存在恶意挖矿行为无法安装此扩建

1. 发改委再度部署虚拟货币「挖矿」治理，虚拟货币「挖矿」行为存在哪些严重的危害

国家发改委：全面整治产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”

青瞳视角
11-16 11:07北京青年报北青网官方帐号
关注
今日（11月16日），在国家发改委11月例行发布会上，发改委新闻发言人孟玮表示，将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。对执行居民电价的单位，若发现参与虚拟货币“挖矿”活动，将研究对其加征惩罚性电价，形成持续整治虚拟货币“挖矿”活动的高压态势。

11月10日下午，国家发改委组织召开虚拟货币“挖矿”治理专题视频会议，会议强调，各省区市要坚决贯彻落实好虚拟货币“挖矿”整治工作的有关部署，切实负起属地责任，建制度、抓监测，对本地区虚拟货币“挖矿”活动进行清理整治，严查严处国有单位机房涉及的“挖矿”活动。

据江苏省通信管理局网站，该局近日全面排查江苏省虚拟货币“挖矿”行为，监测发现江苏省开展虚拟货币活动的矿池出口流量达136.77Mbps，参与“挖矿”的互联网IP地址总数4502个，消耗算力资源超10PH/s，耗能26万度/天。从IP地址归属和性质看，归属党政机关、高校、企业被入侵利用开展虚拟货币“挖矿”行为的占比约21%。

此外，浙江省针对“利用党政机关、国有企事业和科研院校等单位公共资源参与‘挖矿’的行为”，在全省范围内开展专项整治工作。专项行动对全省涉嫌参与虚拟货币挖矿的4699个IP地址进行了全面筛查，梳理排查出77家单位的184个IP地址存在涉嫌利用公共资源从事挖矿行为。

9月，国家发展改革委等10部门联合发布《关于整治虚拟货币“挖矿”活动的通知》（以下简称《通知》）。《通知》要求，区分虚拟货币“挖矿”增量和存量项目。严禁投资建设增量项目，禁止以任何名义发展虚拟货币“挖矿”项目；加快有序退出存量项目。

监管部门多次强调，严禁以数据中心名义开展虚拟货币“挖矿”活动；加大行政执法工作力度，坚决杜绝发电企业特别是小水电企业向虚拟货币“挖矿”项目网前供电、专线直供电等行为。严禁虚拟货币“挖矿”企业以任何形式发展自备电厂供电。

至今近2个月的时间，部分省、自治区、直辖市做了大量的虚拟货币“挖矿”清退排查工作。但是仍有一些水电站、数据中心在违规提供虚拟货币“挖矿”所需电力等。按照要求，一旦发现相关行为，《通知》强调，畅通12398能源监管投诉举报热线等各类渠道，严肃查处违法违

2. 鎸栫熆鐥呮瘨鎬庝箞澶勭悊

鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅锛

1銆佹煡鐪嬫湇鍔″櫒杩涚▼杩愯岀姸鎬佹煡鐪嬫湇鍔″櫒绯荤粺鏁翠綋杩愯屾儏鍐碉紝鍙戠幇鍚嶄负kdevtmpfsi鐨勬寲鐭胯繘绋嬪ぇ閲忓崰鐢ㄧ郴缁烠PU浣跨敤鐜囥

2銆佹煡鐪嬬鍙ｅ強澶栬仈鎯呭喌鏌ョ湅绔鍙ｅ紑鏀剧姸鎬佸強澶栬仈鎯呭喌锛屽彂鐜颁富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼负銆傚硅ュ栭儴鍦板潃杩涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧锛岃繘涓姝ョ‘瀹氳ヨ繘绋嬩负鎭舵剰鎸栫熆杩涚▼锛氬畾浣嶆寲鐭胯繘绋嬪強鍏跺畧鎶よ繘绋婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃绋嬩腑涓嶄粎浼氫骇鐢熻繘绋媖devtmpfsi銆

6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦欢/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆

7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦欢銆

8銆佹煡鐪媠sh鏃ュ織鏂囦欢鏌ョ湅ssh鏃ュ織鏂囦欢锛屽彂鐜板ぇ閲忕櫥闄嗙棔杩逛互鍙婂叕閽ヤ笂浼犵棔杩广

3. 集后门木马、挖矿脚本、勒索病毒于一身，这个ZIP压缩文件厉害了

近日，白帽子黑客Marco Ramilli捕获到了一封“奇特”的恶意电子邮件，其中包含一条链接，一旦点击就会导致一个名为“pik.zip”的压缩文件被下载。之所以说它奇特，是因为包含在这个ZIP文件中的JavaScript脚本文件采用了西里尔字母进行命名——被命名为“Группа Компаний ПИК подробности заказа”，翻译过来就是“PIK集团公司订单详情”。

需要说明的是，目前使用西里尔字母的文字包括俄语、乌克兰语、卢森尼亚语、白俄罗斯语、保加利亚语、塞尔维亚语和马其顿语等，而PIK恰好就是俄罗斯的一家房地产公司，拥有超过1.4万名员工。也就是说，攻击者显然试图将电子邮件伪装成来自PIK公司，从而借助该公司的声誉开展攻击活动。

Marco Ramilli表示，攻击者使用了多种混淆技术来对该脚本JavaScript进行混淆处理。其中，在感染第一阶段阶段存在两个主要的混淆流：

该脚本最终会释放并执行一个虚假的图像文件“msg.jpg”，该文件实际上是一个经过UPX加壳的Windows PE文件，被用于感染的第二阶段。

在感染的第二阶段，三个额外的模块会被释放并执行：一个后门木马、一个挖矿脚本和一种此前曾被广泛报道过的勒索病毒——Troldesh。

分析表明，第一个被释放的模块（327B0EF4.exe）与Troldesh非常相似。该勒索病毒会在加密目标文件之后对其进行重命名并附加一个“.crypted00000”扩展名。举例来说，当一个名为“1.jp”的文件在被加密之后，其文件名就会被重命名为“hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007”。同时，Troldesh还会篡改计算机桌面的壁纸，以显示勒索信息：

第二个被释放的模块（37ED0C97.exe）是被证实一个名为“nheqminer”的挖矿脚本，被用于挖掘大零币（Zcash，一种加密货币）。

第三个安装被释放的模块（B56CE7B7.exe）则被证实是Heur木马，该木马的主要功能是针对WordPress网站实施暴力破解，曾在2017年被广泛报道。

根据Marco Ramilli的说法，该木马的典型行为与HEUR.Trojan.Win32.Generic非常相似，包括：

一旦该木马安装成功，就会通过暴力破解来寻求弱口令凭证，而一旦发现了弱口令凭证，就将pik.zip复制到这些WordPress网站中。

Marco Ramilli认为，此次攻击活动背后的攻击者显然试图通过多种渠道来牟利——勒索病毒和加密货币挖矿脚本。此外，攻击者还试图通过受感染计算机来暴力破解并控制随机的WordPress网站。这样的攻击活动工作量显然非常大，且很容易被检测到。因此，攻击者不太可能是某个国家黑客组织，而只是一群想要同时通过多种方式来牟利的网络犯罪分子。

4. 各地相继禁止比特币 以太坊“挖 矿”后 NFT 区块链将会是下一步走向

尽管中国禁止加密货币交易和“挖矿”，但对于区块链技术的 探索 仍在持续。在刚刚闭幕的世界人工智能大会上，分布 科技 创始人兼CEO达鸿飞在接受第一 财经 记者采访时表示，“区块链的可管理性”是近期的关注点。当前全球公有链市场规模和增长速度远高于联盟链业务，但公有链存在诸多局限性，如违法犯罪、黑客盗窃、网络风险、监管受阻等，且带来巨量无法补救的损失。因此，如何增加区块链的可管理性，将是区块链走向主流的重要课题。

近两个月币圈可以说是非常的不太平，5月21日，国务院金融稳定发展委员会出台文件，声明“打击比特币挖/矿和交易行为”。5月25日，内蒙古发改委发布打击惩戒虚拟货币“挖/矿”行为八项措施（征求意见稿）6月9日，青海省工业和信息化厅下发《关于对虚拟货币“挖/矿”项目开展清理整顿工作的通知》，并对有关虚拟货币挖/矿行为开展清理整顿。

6月18日，四川省发展改革委员会发布了《能源局关于清理关停虚拟货币「挖/矿」项目的通知》，对于虚拟货币挖/矿，在川相关电力企业需要在6月20日前完成甄别清理关停工作。

#比特币[超话]# #数字货币# #欧易OKEx#

5. 挖矿会被电信公司发现

不确定，中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”被植入后门病毒，该病毒可接受黑客远程指令，利用中毒电脑刷广告流量，同时也会释放“门罗币”挖矿者病毒进行挖矿。用户在安装“天翼校园客户端”之后，就会在安装目录中自动释放speedtest.dll文件，也就是病毒的本体，所有执行下载、释放其他病毒模块等操作都由这个文件进行。广告刷量模块被执行后，它会创建一个隐藏的IE窗口，然后开始读取云端指令，在后台模拟用户操作鼠标、键盘点击刷广告。为了让用户不察觉这一情况，还屏蔽了声卡播放广告页面中的声音。
另外的病毒挖矿模块，在分析之后发现所挖的是“门罗币”，这是一种类似于“比特币”的数字虚拟货币，每杖价格约500元。当病毒模块开始“挖矿”时，计算机CPU资源占用量明显飙升，导致电脑性能变差，发热量上升，同时电脑风扇也会高速运行，电脑噪音也会随之增加。最后还发现，一款签名为“中国电信股份有限公司”农历日历(Chinese Calendar)同样存在该后门病毒。一般来说，像电信这样大型企业公司的签名应该不会存在什么问题，这次被植入病毒确实让人觉得有些奇怪，但究竟是怎么被植入的，目前还没有结果。
比特币介绍：
一、比特币的发行和交易的完成是通过挖矿来实现的，它以一个确定的但不断减慢的速率被铸造出来。每一个新区块都伴随着一定数量从无到有的全新比特币。境外很多人以挖矿为生，但是在境内是不允许的，目前有关部门对此内容采取严打态势。在家里利用电脑挖矿，如果没有大量用电的情况下，一般不会被供电局调查；如果耗电比较严重，又或者是有偷电行为，就有可能被供电局调查。到时候就不仅仅是被罚款那么简单了，还有可能承担刑事责任。
二、工业互联网平台和智能设备成为网络威胁的重要目标。据国家工业信息安全发展研究中心监测，第二季度我国境内共有22个工业互联网平台提供服务，针对这些工业互联网平台的、来源于境外的网络攻击事件共有656起，涉及北京、重庆、湖南、内蒙古等地区；新增工业控制系统漏洞115个，涉及罗克韦尔、西门子、施耐德电气等品牌的71款产品；我国境内感染工业互联网智能设备恶意程序的受控IP地址共有52.7万余个，受控IP地址数量在1万个以上的僵尸网络共有13个。

6. 挖矿违法吗有多严重

网络挖矿是犯法的。网络“挖矿”，是指计算机被植入的软件程序，会通过特定算法，在计算机上进行运算。运算完成后，自动得到特定结果，从而产生虚拟币，这些虚拟币可在第三方平台换算，从而获得真实货币的行为，我国法律野陆兄明确禁止公民有加密货币挖矿交易的行为。网络挖矿犯法吗网络挖矿是犯法的。网络“挖矿”，是指计算机被植入的软件程序，会通过特定算法，在计算机上进行运算。运算完成后，自动得到特定结果，从而产生虚拟币，这些虚拟币可在第三方平台换算，从而获得真实货币的行为，我国法律明确禁止公民有加密货币挖矿交易的行为。

请点击输入图片描述（最多18字）

网络挖矿犯法吗的法律依据《刑法》第二百八十五条
      违反国家规定颂袭，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
      违反国悉埋家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三颂袭年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
      提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知野陆兄他人实施侵入、非法控制计算机信息系统的悉埋违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

7. WannaMine挖矿木马手工处理

关于病毒及木马的问题，都说老生常谈的了，这里就不讲逆向分析的东西，网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实，很多时候都被问的烦了。

WannaCry勒索与WannaMine挖矿，虽然首次发生的时间已经过去很久了，但依旧能在很多家内网见到这两个，各类杀毒软件依旧无法清除干净，但可以阻断外联及删除病毒主体文件，但依然会残留一些。此种情况下，全流量分析设备依旧可以监测到尝试外联，与445端口扫描行为。

WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后，仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。

WannaMine 全系使用“永恒之蓝”漏洞，在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。

下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。

WannaMine2.0版本

该版本释放文件参考如下：
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 删除系统服务名与DLL文件对应的wmassrv。

WannaMine3.0版本

该版本释放文件参考如下：

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine4.0版本

该版本释放文件参考如下：

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀：xml、log、dat、xsl、ini、tlb、msc</pre>

关于Windows下计划任务与启动项查看方式，建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下，可以到注册表下查看。

注册表下排查可疑的计划任务

HKEY_LOCAL_

发现可疑项可至tasks下查看对应ID的Actions值

HKEY_LOCAL_ asks[图片上传失败...(image-e8f3b4-1649809774433)]

计划任务文件物理目录
C:

新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击，Autoruns可以用来检查WMI与启动项并进行删除，在手动删除病毒相关计划任务与启动项时，记得删除相应的文件与注册表ID对应项。

注册表下查看开机启动项
HKEY_CURRENT_或runOnce [图片上传失败...(image-8a357b-1649809774432)]

8. 我网上买了一个重装系统U盘，重装系统之后电脑里有一个恶意挖矿软件，请问把这个卸载了就可以了吗

直接卸载是不行的，建议“开始”-“运行”，输入：regedit，打开windows注册表，点击上方：“编辑”-“查找”（不要勾选全字匹配，其他都勾上），输入内容：lovecloud，然后将注册表中所有与该内容有关的找出，全部删掉。
你卸载掉该恶意软件，同时在注册表中搜不出任何与lovecloud有关的项，才能确定删除干净了。