如果电脑速度变慢了 它可能正在帮别人干这件事

你知道吗？挖矿病毒不仅吞噬电力，更能拖慢你的计算能力。许多“中招”的数据中心，以及无法精确统计的僵尸网络，正在贪婪的吞噬电力、拖慢企业的计算能力。对于个人用户而言，“矿工”可能就躲藏在你我的电脑当中。

黑客很可能已经偷偷往受害者得电脑中植入了挖矿软件，且持续数量都不会被发现。近期，一些研究员发现另一种被称为“Norman”的挖矿恶意软件，其能利用被感染计算机的处理能力来挖掘加密货币，导致系统速度越来越慢，最终无法使用。

时刻警惕你的电脑

我们了解到，“Norman”的隐藏能力极强，当安全研究员发现它的踪迹时，该恶意软件已经感染了目标公司的几乎所有计算机，且可能已经潜伏了多年。

“Norman”之所以有这样强大的隐藏能力，原因在于黑客使用了多种终止程序进程，并在用户关闭任务管理器后恢复工作，以防止用户发现自己的电脑内存有可疑程序正在运行。

实际上，这类恶意软件不仅可以长期蛰伏，还能通过命令和控制服务器（command and control）接收黑客的指令。对此，研究员表示他们不确定攻击者是否真的“管理”这些恶意软件。

与此同时，研究员还认为“Norman”的开发者，可能来自法国或者其他法语国家，因为在该恶意软件代码中含有用法语编写的字符串。对此，安全专家表示，使用恶意软件挖矿是从去年便开始流行的网络犯罪形式之一。

对于普通用户来说，需要警惕“电脑越用越卡”的情况。作为吞噬PC资源的“大户”，挖矿病毒通过控制PC的处理器、显卡等硬件，执行高负载的挖矿计算脚本来进行挖矿。一旦成功入侵到用户PC，往往会导致CPU或是显卡的负载上升数倍，不仅应用的运行速度被极大的拖慢，电力功耗也会剧烈增加。

根据相关安全报告显示，政府、医疗、石油和天然气等网络安全相对薄弱的企事业单位是挖矿病毒的优先攻击目标。虽然大部分PC在挖矿效率上完全无法同专业的“矿机”相提并论，但是“聚沙成塔”，一旦其控制的PC数量达到几千台甚至几万台，其收益就是极其可观了。

此外，挖矿病毒的风险还在于，其目的并非局限在窃取PC的计算能力方面，而是会利用自己善于隐匿的优势，为威胁更大的APT攻击预留了空间。一旦挖矿变得无利可图，其很有可能将目标转化为组织的数据资产与业务，带来更严峻的威胁。

需要注意的是，当我们正常浏览网页时，也有可能是在帮别人挖矿。这种擅自占用用户资源的行为，其实已经构成违法犯罪，可以称之为木马病毒。根据Adguard的数据统计，全球已经有约有5亿台电脑曾被绑架挖矿。全网有超过3万家网站内置了挖矿代码，这些挖矿代码可以使用户在浏览了网页时，调用计算机的资源来进行挖矿。对于流量比较小的网站来讲，每天可以获得几美元的收入，而对于那些流量较大的网站，则可以达到数千美元。

如何找到挖矿病毒的“脉门”

斩断入侵路径是防范挖矿病毒最有效的方法，而社交工程就是黑客最常用的入侵方式。黑客会向组织内部的员工大量发送精心伪造的垃圾邮件，这些垃圾邮件一般会在附件中植入挖矿相关的恶意代码，并使用具有诱惑力的标题和内容诱惑员工下载并打开。一旦成功侵入，病毒往往会注入系统进程，并读取挖矿配置信息进行挖矿。

因此，对于挖矿病毒来说，生存时间是衡量其销量的最重要标准。为了达到这一目标，网络犯罪分子采取的战术策略也在不断演变，更多的是使用了免杀机制。在对抗挖矿病毒的过程中，持续的监察与发现能力至关重要。

在这里，安全公司的研究人员建议组织和用户建立多层次、联动的安全策略，部署防火墙、邮件网关等产品作为第一道防线，并部署行为监控和漏洞防护产品，有效阻止威胁到达客户端。对于面临挖矿病毒威胁的组织来说，要在挖矿病毒传播的各个环节建立“抑制点”。目前，有很多不错的安全厂商都可以提供完善的安全解决方案，保护用户的电脑安全。

另一方面，在挖矿病毒发现与防范过程中，“人”扮演着重要的角色，组织的IT人员应该加强对于组织网络资产的监测，对于出现的异常情况进行及时排查与处理。此外，强化员工的网络安全教育也有利于员工降低点击不明邮件、链接与文件的几率，并能通过及时的自查与事件上报降低PC的染毒几率。

在文章的最后，我们也提醒广大用户特别是企业用户，要构建覆盖全网的终端威胁发现系统，特别防范未知安全威胁，加强安全态势感知能力提升，并通过精密编排的防御体系提升网络安全恢复补救能力。