别当僵尸矿工，小心三种挖矿程序把你的电脑当挖矿机

当您的电脑或行动装置(如今甚至包括IoT装置)感染虚拟货币挖矿程序时，就会变成一台「僵尸矿工」。装置会消耗一部分的CPU、记忆体、磁碟和电力来帮僵尸网络挖矿，也就是帮网络犯罪集团赚钱。挖矿会耗损电脑( PC或Mac )的使用寿命，如果是行动装置，则可能会造成过热、电池膨胀、甚至整个装置损毁，非常不值得！

那么，您怎样才会感染虚拟加密货币挖矿程序？您该如何加以预防？

什么是虚拟加密货币？

所谓的虚拟加密货币是一种设计用来作为交易媒介的数字货币，并采用强大的加密技术来确保金融交易安全、控管新货币发行、验证资产的移转」(参见英文维基百科「Cryptocurrency」词条)。有别于中央银行体系所发行的电子货币或纸钞，虚拟加密货币采用的是去集中化点对点网络节点与公开的分散式帐簿(也就是所谓的区块链)来处理并验证交易的一种货币。

2009年首次发行的比特币(Bitcoin)即是一般公认的第一个虚拟加密货币。从此之后，网络上至今已出现了4,000多种不同的虚拟加密货币，例如乙太币(Ethereum)、瑞波币(Ripple)、莱特币(Litecoin)与门罗币(Monero)都是目前流通的1500多种虚拟加密货币当中较为活跃的。一些企业，如：Microsoft、Dell、Virgin Galactic、Shopify、Tesla等等都已开始接受比特币和其他虚拟加密货币(且数量正在不断增加)。一些国家和地区，如美国、南韩、香港、日本及澳洲也开始接纳虚拟加密货币或开始制定相关法律。尽管某些国家完全拒绝承认、甚至明文禁止使用虚拟加密货币(参见「虚拟加密货币分布国家」(Cryptocurrencies by country)一文，Dividends Magazine，2017年10月25日)。

什么是挖矿?

虚拟加密货币挖矿(或简称挖矿) 是一种透过分散式点对点网络节点(也就是矿工) 来处理并验证交易的方式，这些矿工是由无数使用者装置所安装的挖矿程序所组成。交易在处理时都是以一个「区块」为单位，这区块需经过网络矿工运算出来的加密哈希码(一串固定长度的英文与数字) 加以验证然后才能加到「区块链」上，此区块链就是该货币的公开帐簿。这个动作完成之后，区块链就可以再继续接受下一个区块。货币持有人的虚拟加密货币钱包内的私密金钥(或称为「种子」) 就是货币持有人的识别码，此识别码也用来签署交易，如此可防止资料遭到篡改(由矿工运算出来的哈希码进行验证)。第一个计算出正确哈希码的矿工(也就是必须抢在任何其他矿工之前算出正确的哈希码)，就可以获得一定单位的货币作为报酬，这就是为何需要挖矿强大的运算效能，因为要在很短的时间内算出正确的哈希码(通常在10 分钟左右)。而为了计算这些哈希码，挖矿作业有可能使用一台或多台配备高阶显示卡(GPU) 的大型电脑，或者使用许许多多小型挖矿电脑经由网络同步运算。网络上也有一些所谓的矿池来集合众人之力共同挖矿，然后再依据彼此的贡献度来分享利润。

您的装置怎么会变成僵尸矿工？

并非只有正当的创业家才会想到集合大量的电脑来共同挖矿。您的电脑也可能遭网络犯罪集团挟持(也就是感染挖矿程序) 而在您毫不知情的情况下默默地帮歹徒挖矿。

三种挖矿程序把你的电脑当矿工

趋势科技目前已发现三种您可能会感染挖程序的情况(当然还有虚拟加密货币钱包内的货币可能直接被偷)：

1.网站挖矿程序:

暂时性的网站挖矿程序:某些网站现在也开始在网页中加入一些暂时性的网站挖矿程序，最有名的例子就是PirateBay网站所使用的CoinHive挖矿程序(该程序在网络上相当红)。当使用者在PirateBay的网站点选任何一处时，就会出现一个含有CoinHive挖矿程序的弹出视窗并开始挖矿，它会消耗访客电脑的大量CPU资源来执行Javascript挖矿程序。

隐藏式网站挖矿程序:还有一种更恶劣的是隐藏式网站挖矿程序，专门给网络犯罪集团用来植入网站当中，即使访客关闭浏览器之后也会持续在背后偷偷挖矿。其手法是将浏览器缩小至工作列隐藏，如此就能继续慢慢挖矿，所以使用者可能不会特别注意到，但CPU用量仍会高于异常状况。

2.本机挖矿程序:

这种挖矿程序会假冒成软体更新，然后在您的电脑上安装挖矿程序，例如您可能看过的假Flash Player更新程序，它会在您浏览网站时弹出一个视窗要您安装更新才能正常检视网站内容。另一个例子是HiddenMiner，这是一个专门假冒成Google Play更新的应用程序，会躲在Android装置内偷挖门罗币(Monero)，进而导致装置过热，并可能让装置故障。这与另一个Android上的门罗币挖矿程序Loapi类似，后者已经被其他资安研究人员指出可能造成装置电池膨胀。

3.无档案式挖矿程序:

最后一种是所谓的无档案式挖矿程序，一开始会先执行PowerShell脚本来入侵电脑，然后再经由Mimikatz或EternalBlue漏洞在网络内横向移动，接着在用Windows Management Instrumentation (WMI)来入侵其扫瞄的网络。这等于开了一个持续、非同步的无档案式后门，让歹徒在背后操控您的电脑来挖矿，结果会让CPU用量变高。