該文件存在惡意挖礦行為無法安裝此擴建

1. 發改委再度部署虛擬貨幣「挖礦」治理，虛擬貨幣「挖礦」行為存在哪些嚴重的危害

國家發改委：全面整治產業式集中式「挖礦」、國有單位涉及「挖礦」和比特幣「挖礦」

青瞳視角
11-16 11:07北京青年報北青網官方帳號
關注
今日（11月16日），在國家發改委11月例行發布會上，發改委新聞發言人孟瑋表示，將以產業式集中式「挖礦」、國有單位涉及「挖礦」和比特幣「挖礦」為重點開展全面整治。對執行居民電價的單位，若發現參與虛擬貨幣「挖礦」活動，將研究對其加征懲罰性電價，形成持續整治虛擬貨幣「挖礦」活動的高壓態勢。

11月10日下午，國家發改委組織召開虛擬貨幣「挖礦」治理專題視頻會議，會議強調，各省區市要堅決貫徹落實好虛擬貨幣「挖礦」整治工作的有關部署，切實負起屬地責任，建制度、抓監測，對本地區虛擬貨幣「挖礦」活動進行清理整治，嚴查嚴處國有單位機房涉及的「挖礦」活動。

據江蘇省通信管理局網站，該局近日全面排查江蘇省虛擬貨幣「挖礦」行為，監測發現江蘇省開展虛擬貨幣活動的礦池出口流量達136.77Mbps，參與「挖礦」的互聯網IP地址總數4502個，消耗算力資源超10PH/s，耗能26萬度/天。從IP地址歸屬和性質看，歸屬黨政機關、高校、企業被入侵利用開展虛擬貨幣「挖礦」行為的佔比約21%。

此外，浙江省針對「利用黨政機關、國有企事業和科研院校等單位公共資源參與『挖礦』的行為」，在全省范圍內開展專項整治工作。專項行動對全省涉嫌參與虛擬貨幣挖礦的4699個IP地址進行了全面篩查，梳理排查出77家單位的184個IP地址存在涉嫌利用公共資源從事挖礦行為。

9月，國家發展改革委等10部門聯合發布《關於整治虛擬貨幣「挖礦」活動的通知》（以下簡稱《通知》）。《通知》要求，區分虛擬貨幣「挖礦」增量和存量項目。嚴禁投資建設增量項目，禁止以任何名義發展虛擬貨幣「挖礦」項目；加快有序退出存量項目。

監管部門多次強調，嚴禁以數據中心名義開展虛擬貨幣「挖礦」活動；加大行政執法工作力度，堅決杜絕發電企業特別是小水電企業向虛擬貨幣「挖礦」項目網前供電、專線直供電等行為。嚴禁虛擬貨幣「挖礦」企業以任何形式發展自備電廠供電。

至今近2個月的時間，部分省、自治區、直轄市做了大量的虛擬貨幣「挖礦」清退排查工作。但是仍有一些水電站、數據中心在違規提供虛擬貨幣「挖礦」所需電力等。按照要求，一旦發現相關行為，《通知》強調，暢通12398能源監管投訴舉報熱線等各類渠道，嚴肅查處違法違

2. 鎸栫熆鐥呮瘨鎬庝箞澶勭悊

鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅錛

1銆佹煡鐪嬫湇鍔″櫒榪涚▼榪愯岀姸鎬佹煡鐪嬫湇鍔″櫒緋葷粺鏁翠綋榪愯屾儏鍐碉紝鍙戠幇鍚嶄負kdevtmpfsi鐨勬寲鐭胯繘紼嬪ぇ閲忓崰鐢ㄧ郴緇烠PU浣跨敤鐜囥

2銆佹煡鐪嬬鍙ｅ強澶栬仈鎯呭喌鏌ョ湅絝鍙ｅ紑鏀劇姸鎬佸強澶栬仈鎯呭喌錛屽彂鐜頒富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼負銆傚硅ュ栭儴鍦板潃榪涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧錛岃繘涓姝ョ『瀹氳ヨ繘紼嬩負鎮舵剰鎸栫熆榪涚▼錛氬畾浣嶆寲鐭胯繘紼嬪強鍏跺畧鎶よ繘紼婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃紼嬩腑涓嶄粎浼氫駭鐢熻繘紼媖devtmpfsi銆

6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦歡/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆

7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦歡銆

8銆佹煡鐪媠sh鏃ュ織鏂囦歡鏌ョ湅ssh鏃ュ織鏂囦歡錛屽彂鐜板ぇ閲忕櫥闄嗙棔榪逛互鍙婂叕閽ヤ笂浼犵棔榪廣

3. 集後門木馬、挖礦腳本、勒索病毒於一身，這個ZIP壓縮文件厲害了

近日，白帽子黑客Marco Ramilli捕獲到了一封「奇特」的惡意電子郵件，其中包含一條鏈接，一旦點擊就會導致一個名為「pik.zip」的壓縮文件被下載。之所以說它奇特，是因為包含在這個ZIP文件中的JavaScript腳本文件採用了西里爾字母進行命名——被命名為「Группа Компаний ПИК подробности заказа」，翻譯過來就是「PIK集團公司訂單詳情」。

需要說明的是，目前使用西里爾字母的文字包括俄語、烏克蘭語、盧森尼亞語、白俄羅斯語、保加利亞語、塞爾維亞語和馬其頓語等，而PIK恰好就是俄羅斯的一家房地產公司，擁有超過1.4萬名員工。也就是說，攻擊者顯然試圖將電子郵件偽裝成來自PIK公司，從而藉助該公司的聲譽開展攻擊活動。

Marco Ramilli表示，攻擊者使用了多種混淆技術來對該腳本JavaScript進行混淆處理。其中，在感染第一階段階段存在兩個主要的混淆流：

該腳本最終會釋放並執行一個虛假的圖像文件「msg.jpg」，該文件實際上是一個經過UPX加殼的Windows PE文件，被用於感染的第二階段。

在感染的第二階段，三個額外的模塊會被釋放並執行：一個後門木馬、一個挖礦腳本和一種此前曾被廣泛報道過的勒索病毒——Troldesh。

分析表明，第一個被釋放的模塊（327B0EF4.exe）與Troldesh非常相似。該勒索病毒會在加密目標文件之後對其進行重命名並附加一個「.crypted00000」擴展名。舉例來說，當一個名為「1.jp」的文件在被加密之後，其文件名就會被重命名為「hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007」。同時，Troldesh還會篡改計算機桌面的壁紙，以顯示勒索信息：

第二個被釋放的模塊（37ED0C97.exe）是被證實一個名為「nheqminer」的挖礦腳本，被用於挖掘大零幣（Zcash，一種加密貨幣）。

第三個安裝被釋放的模塊（B56CE7B7.exe）則被證實是Heur木馬，該木馬的主要功能是針對WordPress網站實施暴力破解，曾在2017年被廣泛報道。

根據Marco Ramilli的說法，該木馬的典型行為與HEUR.Trojan.Win32.Generic非常相似，包括：

一旦該木馬安裝成功，就會通過暴力破解來尋求弱口令憑證，而一旦發現了弱口令憑證，就將pik.zip復制到這些WordPress網站中。

Marco Ramilli認為，此次攻擊活動背後的攻擊者顯然試圖通過多種渠道來牟利——勒索病毒和加密貨幣挖礦腳本。此外，攻擊者還試圖通過受感染計算機來暴力破解並控制隨機的WordPress網站。這樣的攻擊活動工作量顯然非常大，且很容易被檢測到。因此，攻擊者不太可能是某個國家黑客組織，而只是一群想要同時通過多種方式來牟利的網路犯罪分子。

4. 各地相繼禁止比特幣 以太坊「挖 礦」後 NFT 區塊鏈將會是下一步走向

盡管中國禁止加密貨幣交易和「挖礦」，但對於區塊鏈技術的 探索 仍在持續。在剛剛閉幕的世界人工智慧大會上，分布 科技 創始人兼CEO達鴻飛在接受第一 財經 記者采訪時表示，「區塊鏈的可管理性」是近期的關注點。當前全球公有鏈市場規模和增長速度遠高於聯盟鏈業務，但公有鏈存在諸多局限性，如違法犯罪、黑客盜竊、網路風險、監管受阻等，且帶來巨量無法補救的損失。因此，如何增加區塊鏈的可管理性，將是區塊鏈走向主流的重要課題。

近兩個月幣圈可以說是非常的不太平，5月21日，國務院金融穩定發展委員會出台文件，聲明「打擊比特幣挖/礦和交易行為」。5月25日，內蒙古發改委發布打擊懲戒虛擬貨幣「挖/礦」行為八項措施（徵求意見稿）6月9日，青海省工業和信息化廳下發《關於對虛擬貨幣「挖/礦」項目開展清理整頓工作的通知》，並對有關虛擬貨幣挖/礦行為開展清理整頓。

6月18日，四川省發展改革委員會發布了《能源局關於清理關停虛擬貨幣「挖/礦」項目的通知》，對於虛擬貨幣挖/礦，在川相關電力企業需要在6月20日前完成甄別清理關停工作。

#比特幣[超話]# #數字貨幣# #歐易OKEx#

5. 挖礦會被電信公司發現

不確定，中國電信江蘇分公司校園門戶網站(pre.f-young.cn)提供下載的「天翼校園客戶端」被植入後門病毒，該病毒可接受黑客遠程指令，利用中毒電腦刷廣告流量，同時也會釋放「門羅幣」挖礦者病毒進行挖礦。用戶在安裝「天翼校園客戶端」之後，就會在安裝目錄中自動釋放speedtest.dll文件，也就是病毒的本體，所有執行下載、釋放其他病毒模塊等操作都由這個文件進行。廣告刷量模塊被執行後，它會創建一個隱藏的IE窗口，然後開始讀取雲端指令，在後台模擬用戶操作滑鼠、鍵盤點擊刷廣告。為了讓用戶不察覺這一情況，還屏蔽了音效卡播放廣告頁面中的聲音。
另外的病毒挖礦模塊，在分析之後發現所挖的是「門羅幣」，這是一種類似於「比特幣」的數字虛擬貨幣，每杖價格約500元。當病毒模塊開始「挖礦」時，計算機CPU資源佔用量明顯飆升，導致電腦性能變差，發熱量上升，同時電腦風扇也會高速運行，電腦噪音也會隨之增加。最後還發現，一款簽名為「中國電信股份有限公司」農歷日歷(Chinese Calendar)同樣存在該後門病毒。一般來說，像電信這樣大型企業公司的簽名應該不會存在什麼問題，這次被植入病毒確實讓人覺得有些奇怪，但究竟是怎麼被植入的，目前還沒有結果。
比特幣介紹：
一、比特幣的發行和交易的完成是通過挖礦來實現的，它以一個確定的但不斷減慢的速率被鑄造出來。每一個新區塊都伴隨著一定數量從無到有的全新比特幣。境外很多人以挖礦為生，但是在境內是不允許的，目前有關部門對此內容採取嚴打態勢。在家裡利用電腦挖礦，如果沒有大量用電的情況下，一般不會被供電局調查；如果耗電比較嚴重，又或者是有偷電行為，就有可能被供電局調查。到時候就不僅僅是被罰款那麼簡單了，還有可能承擔刑事責任。
二、工業互聯網平台和智能設備成為網路威脅的重要目標。據國家工業信息安全發展研究中心監測，第二季度我國境內共有22個工業互聯網平台提供服務，針對這些工業互聯網平台的、來源於境外的網路攻擊事件共有656起，涉及北京、重慶、湖南、內蒙古等地區；新增工業控制系統漏洞115個，涉及羅克韋爾、西門子、施耐德電氣等品牌的71款產品；我國境內感染工業互聯網智能設備惡意程序的受控IP地址共有52.7萬余個，受控IP地址數量在1萬個以上的僵屍網路共有13個。

6. 挖礦違法嗎有多嚴重

網路挖礦是犯法的。網路「挖礦」，是指計算機被植入的軟體程序，會通過特定演算法，在計算機上進行運算。運算完成後，自動得到特定結果，從而產生虛擬幣，這些虛擬幣可在第三方平台換算，從而獲得真實貨幣的行為，我國法律野陸兄明確禁止公民有加密貨幣挖礦交易的行為。網路挖礦犯法嗎網路挖礦是犯法的。網路「挖礦」，是指計算機被植入的軟體程序，會通過特定演算法，在計算機上進行運算。運算完成後，自動得到特定結果，從而產生虛擬幣，這些虛擬幣可在第三方平台換算，從而獲得真實貨幣的行為，我國法律明確禁止公民有加密貨幣挖礦交易的行為。

請點擊輸入圖片描述（最多18字）

網路挖礦犯法嗎的法律依據《刑法》第二百八十五條
      違反國家規定頌襲，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。
      違反國悉埋家規定，侵入前款規定以外的計算機信息系統或者採用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，處三頌襲年以下有期徒刑或者拘役，並處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。
      提供專門用於侵入、非法控制計算機信息系統的程序、工具，或者明知野陸兄他人實施侵入、非法控制計算機信息系統的悉埋違法犯罪行為而為其提供程序、工具，情節嚴重的，依照前款的規定處罰。

7. WannaMine挖礦木馬手工處理

關於病毒及木馬的問題，都說老生常談的了，這里就不講逆向分析的東西，網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實，很多時候都被問的煩了。

WannaCry勒索與WannaMine挖礦，雖然首次發生的時間已經過去很久了，但依舊能在很多家內網見到這兩個，各類殺毒軟體依舊無法清除干凈，但可以阻斷外聯及刪除病毒主體文件，但依然會殘留一些。此種情況下，全流量分析設備依舊可以監測到嘗試外聯，與445埠掃描行為。

WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後，仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。

WannaMine 全系使用「永恆之藍」漏洞，在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。

下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。

WannaMine2.0版本

該版本釋放文件參考如下：
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。

WannaMine3.0版本

該版本釋放文件參考如下：

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需刪除主服務snmpstorsrv與UPnPHostServices計劃任務

WannaMine4.0版本

該版本釋放文件參考如下：

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴：xml、log、dat、xsl、ini、tlb、msc</pre>

關於Windows下計劃任務與啟動項查看方式，建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下，可以到注冊表下查看。

注冊表下排查可疑的計劃任務

HKEY_LOCAL_

發現可疑項可至tasks下查看對應ID的Actions值

HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]

計劃任務文件物理目錄
C:

新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊，Autoruns可以用來檢查WMI與啟動項並進行刪除，在手動刪除病毒相關計劃任務與啟動項時，記得刪除相應的文件與注冊表ID對應項。

注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]

8. 我網上買了一個重裝系統U盤，重裝系統之後電腦里有一個惡意挖礦軟體，請問把這個卸載了就可以了嗎

直接卸載是不行的，建議「開始」-「運行」，輸入：regedit，打開windows注冊表，點擊上方：「編輯」-「查找」（不要勾選全字匹配，其他都勾上），輸入內容：lovecloud，然後將注冊表中所有與該內容有關的找出，全部刪掉。
你卸載掉該惡意軟體，同時在注冊表中搜不出任何與lovecloud有關的項，才能確定刪除干凈了。