游戏产业遭币圈硕鼠 100万台高配电脑沦为雷锋矿机

　　■本报记者 贺 骏 

　　作为资深游戏玩家，一台高配的电脑是必不可少的。不过，这样的电脑很容易被某些“币圈”人士盯上。在机主毫不知情的情况下，大量游戏电脑已然成为某些人的“矿机”，为他们不舍昼夜的“挖币”。

　　日前，腾讯电脑管家正式披露了4个月前一起挖矿大案的细节，案中，389万台电脑沦为“肉鸡”，其中约100万台高配“肉鸡”被用于挖矿，另外约289万台普通“肉鸡”被用于弹窗广告。

　　据介绍，今年4月11日，警方在腾讯电脑管家和守护者计划的协助下，一举破获了“tlMiner”挖矿木马黑产公司。该公司位于辽宁大连，是大连高新技术企业，其通过网吧、吃鸡外挂、盗版视频软件等渠道传播投放木马，控制了389万台电脑，用于数字加密货币挖矿、强制广告等非法业务，合计挖掘DGB（极特币）、HSR（红烧肉币）、XMR（门罗币）、SHR（超级现金币）、BCD（比特币钻石）、SIA（云储币）等各类数字货币超过2000万枚，非法获利1500余万元。

　　“在国内，僵尸网络超过100万台是极少见的。我们以往发现的DDoS攻击或者远程控制密码类的，规模往往只有几万台、几十万台。控制100万台电脑去挖矿，这是一个非常严重的事件，而且还控制了289万台电脑进行强制广告，这是非常巨大的一个僵尸网络”，腾讯电脑管家高级安全专家李铁军接受《证券日报》记者采访时指出，“从我们提供情况，到警方完成破案，大概花了半年左右的时间。” 

　　挖矿木马：悄悄地进村

　　值得一提的是，此次破获的“tlMiner”挖矿木马，还不是规模最大的一起。今年4月，腾讯方面还监测到一个遍布全球的PhotoMiner木马挖矿组织，该组织通过入侵FTP服务器、SMB服务器来扩大传播范围。自2016年首次被发现至今，PhotoMiner木马通过门罗币挖矿累计收入已达到8900万元。感染量排名前三的国家是中国（26%）、美国（25%）和德国（12%）。

　　“我们一直在观察黑色产业链。从去年下半年到现在，电脑上基本上就两大类病毒，一是勒索病毒，二是挖矿木马，其它的病毒已经极其少见了”，李铁军指出，相比于DDos攻击和勒索病毒，挖矿木马的风险最低，来钱最快，“每天每台计算机能给不法分子挣多少钱，他们的账号都看得非常清楚”。

　　事实上，之所以风险最低，是因为绝大部分被植入挖矿木马的游戏玩家都“无感”。 “游戏玩家非常在意电脑速度，而且还喜欢下载外挂，这两个诉求都会导致他们不安装或停用安全软件，给挖矿木马以趁虚而入的机会”，李铁军指出，“挖矿木马其实也很‘挑食’，只有那些配置非常高的电脑，他们才会入住，这样挖矿时对机器性能影响较小，机主不易察觉。而且，现在的挖矿木马都智能化了，如果CPU占用率超过50%，他就适可而止了”。

　　由于挖矿木马的“盗亦有道”，即使其在挖矿，用户对电脑性能降低的感觉也并不明显。李铁军还透露，当挖矿木马获知用户启动大型游戏后，还会暂时停工。等到用户没有操作电脑甚至息屏的时候，挖矿木马就会启动全速挖矿。“这种情况下，主机长期高负荷运转，主板、内存等硬件会提前报废，对电脑损害极大”。

　　值得一提的是，不同的挖矿木马之间，对于宿主的争抢也是毫不客气。李铁军透露，“我们最近发现的一个木马就是这样的，它会在电脑上检查其它挖矿木马的进程，找到之后，先把那个挖矿木马干掉，然后自己来挖矿”。

　　因为挖矿木马的“低调”特征使然，其对入住手机的兴趣并不大。“入住手机的挖矿木马也有，但很少，因为在手机上一挖矿，手机都烫，电池都受不了”，李铁军表示。

　　在李铁军看来，从技术角度上说，挖矿代码都是公开的，外挂程序也不复杂。此次出现高达389万台电脑沦为肉鸡的情况，与网络营销公司拥有大量各种网络传播渠道不无关系“大连这家公司他自身的互联网渠道资源就非常丰富，分发一个病毒非常容易”。

　　据了解，此次破获的“tlMiner”木马主要植入在“吃鸡”游戏外挂、海豚加速器（修改版）、高仿盗版视频网站、酷艺影视网吧VIP等程序中，通过网吧联盟、论坛、下载站和云盘等渠道传播。

　　勒索病毒：专门“劫富”

　　近年高发的两大病毒中，除了挖矿木马病毒，另一个就是勒索病毒。去年5月爆发WannaCry病毒，让全球用户一夜间就知道了它的大名。时至今日，勒索病毒的变种依旧猖獗。

　　李铁军指出：“勒索病毒这几年变化挺大的，去年勒索病毒是无差别的攻击所有入侵的电脑，入侵后不管三七二十一，先把电脑上数据文档加密了。现在的勒索病毒已经不这么做了，入侵后，云端的控制者会检查这台电脑有没有价值，是普通人的电脑，还是有钱人、企业高管的电脑；是企业的电脑还是普通消费者的电脑。如果是一家企业，会看是医疗机构还是政府机关或是其它，数据是不是特别值钱、值不值得做这件事情。这些通过浏览你的文档就能知道”。

　　最终结果是，勒索病毒最后加密的数据基本上都是高价值目标。“我们统计的情况是，行业用户中的医疗机构特别多，经常有医院的电脑被勒索病毒加密了，还有些是政府机关以及企业高管的电脑”，李铁军透露，“普通用户中了勒索病毒，重装系统就可以了，不法分子挣不到钱。从今年上半年情况看，勒索病毒案例的数量在减少，但质量在上升，针对企业高价值目标勒索的事件还是挺多的。”