名为H2Miner的危险僵尸网络卷土重来。它劫持计算机秘密挖掘门罗币(XMR),某些情况下还会部署勒索软件。
网络安全研究人员表示,该恶意软件自2019年首次出现以来已扩大攻击范围。新版本现可针对Linux服务器、Windows桌面系统和云容器发起攻击。
你的电脑可能正沦为加密货币挖矿工具
据网络安全公司Fortinet称,攻击者通过利用已知软件漏洞获取访问权限,包括许多系统仍在使用的Log4Shell和Apache ActiveMQ漏洞。
入侵成功后,病毒会安装名为XMRig的工具——这是一款合法的开源矿机软件。
但在未经用户许可的情况下,该软件会在后台运行,盗用计算机算力为黑客赚取门罗币。
此外,H2Miner会使用智能脚本禁用杀毒工具,并终止系统中可能正在运行的其他矿机程序。
随后彻底清除操作痕迹:在Linux系统中创建每10分钟重新下载恶意软件的定时任务(cron job),在Windows系统中设置每15分钟静默运行的计划任务。
勒索软件模块加剧危害
该病毒不仅限于加密货币挖矿。名为Lcrypt0rx的新攻击模块还能锁定你的计算机。
它通过简单但极具破坏性的方式覆写主引导记录(控制计算机启动的关键部分),导致系统无法正常启动。
勒索软件还会添加虚假系统设置来隐藏自身并建立持久化机制。
该攻击活动利用廉价云服务器和配置不当的服务进行传播。设备感染后,恶意软件会扫描其他可感染系统——尤其是Docker容器和阿里云等云平台。
同时通过U盘传播,并循环检测杀毒进程逐个关闭。
安全专家警告称,彻底清除H2Miner需要进行深度清理,必须删除所有相关定时任务、计划任务和注册表项。
只要残留一个隐藏脚本,僵尸网络就能自我重装并继续秘密挖矿。
交易者与加密货币用户须知
此类攻击并不直接针对加密货币钱包,而是通过窃取算力为攻击者生成新的门罗币。
自托管节点、云矿工和非托管的VPS服务面临风险尤其高。
若系统异常发热或突然变慢,建议检查是否存在sysupdate.exe等异常进程或持续外联行为。
门罗币的隐私特性使其备受攻击者青睐。但对用户而言,真正的风险在于设备失控——在不知情中为加密货币犯罪提供资金支持。
相关文章