挖矿病毒

1. MsraMiner挖矿病毒

2018年最大的变化是病毒制造者将目标投向了挖矿领域,大量的挖矿病毒层出不穷,其中影响最大的是一个构造精密被称为 “MsraMiner”的挖矿僵尸网络。此病毒利用永恒之蓝漏洞攻击局域网中的机器,中毒机器会继续使用永恒之蓝漏洞攻击其它机器,并作为web服务器供其它机器下载,导致大量局域网主机被植入挖矿病毒,同时病毒持续升级对抗查杀。导致此病毒爆发的主要原因是:

(1)企业存在大量机器没有安装永恒之蓝漏洞补丁。

(2)企业内外网混用,并没有做到真正的隔离,连接互联网的一台机器中毒后,导致公司内网机器大量中毒。

(3)企业没有安装杀毒软件,没有及时更新病毒库,为病毒传播制造了有利条件。

2. 蠕虫化的勒索病毒

从WannaCry勒索病毒爆发以来,勒索病毒层出不穷,并且勒索病毒蠕虫化变得更加流行起来。2018年2月份,两家省级医院感染勒索病毒,导致服务中断。感染原因被怀疑是系统存在漏洞和弱口令,导致攻击者植入勒索病毒,并快速传播。

其中影响较大的Satan勒索病毒,不仅使用了永恒之蓝漏洞传播,还内置了多种web漏洞的攻击功能。相比传统的勒索病毒传播速度更快。虽然已经被解密,但是此病毒利用的传播手法却非常危险。

3. VPNFilter物联网病毒

VPNFilter恶意软件是一个多阶段、模块化的平台,具有多种功能,可支持情报收集和破坏性网络攻击操作,可感染71款甚至更多物联网设备,这些设备包括路由器、摄像头、机顶盒等。物联网设备中毒后较难发现,漏洞难以及时修补,甚至有的设备已经找不到生产厂商。这些感染物联网病毒的僵尸设备,会对全球网络安全造成很大的隐患。

4. 网页挖矿病毒新变化

全球将近5万家网站被攻击者植入挖矿脚本,其中很大一部分是Coinhive 脚本。Coinhive专门提供一个用来挖矿的JS引擎,当用户访问含有Coinhive代码的网页时,Coinhive的JS代码库就会在用户的浏览器上运行,挖矿程序就会开始工作,挖掘门罗币,消耗用户计算机的CPU资源。使用Coinhive默认的方式挖矿,已经很容易被发现。2018年上半年,网页挖矿病毒又出现新变化,出现了两种新的攻击方式,一种是做一个中转再访问Coinhive挖矿脚本的链接,另一种是自建平台不使用Coinhive,这种方式更加隐蔽,并且避免了Coinhive平台的手续费。