购买和挖矿是获得加密货币的两种方式。人们可以使用 Binance 和 Coinbase 等加密货币交易所购买加密货币。另一方面，矿工可以通过解决数学问题，通过加密货币挖掘过程赚取加密货币作为奖励。

由于加密货币使用称为区块链的分布式账本运行，因此自上次更新以来，数字数据库会使用每笔交易的数据进行更新。当被称为矿工的个人提供计算机能力以获得奖励时，就会产生区块。

尽管如此，由于挖矿涉及大量用电和昂贵的设备，世界各地的攻击者试图利用恶意脚本在不花一分钱的情况下获得加密货币。这种类型的网络犯罪称为加密劫持，它是两个词的组合：加密货币和劫持。

本文将解释各种类型的加密劫持，加密劫持的工作原理以及如何检测和防止恶意加密挖掘。

加密劫持是如何运作的？

黑客或网络犯罪分子在硬币挖矿过程中将加密劫持软件注入受害者的设备或从加密货币钱包中窃取加密货币。通过网络钓鱼电子邮件中发送的恶意链接，将恶意加密挖掘代码插入毫无戒心的受害者的设备中。

或者，入侵者将 JavaScript 代码插入网站或在线广告中，这些代码在受害者的浏览器加载时会自动运行。在每种情况下，受害者都会在代码将加密劫持脚本安装到设备中并让它在后台运行时工作。

无论采用何种技术，该脚本都会在受害者的计算机上执行复杂的数学运算，并将结果传输到黑客控制下的服务器，而不会损害设备的数据。然而，它们确实从计算机中窃取了处理能力。

较慢的计算机性能可能只是某些用户的问题。尽管如此，企业仍会产生高昂的电费和 IT 维护成本等成本。此外，由于加密挖掘脚本的蠕虫功能，其他计算资源也可能被感染。这些脚本还可能进行扫描以检测是否有任何其他加密挖掘恶意软件已经渗透到系统中。如果找到另一个加密矿工，该脚本会停止它。

最初，加密劫持者使用 JavaScript 代码来挖掘加密货币，同时向用户提供免费内容。如果网站对其运营持开放态度，并且只要用户仍留在该网站上，此策略就可能成功。用户面临的挑战是确定网站是否真实。

另一方面，恶意加密劫持是通过受感染的合法网站进行的，即使在用户离开网站后也会继续运行。用户访问的网站正在使用他们的计算机挖掘加密货币这一事实对用户来说是未知的。当可见窗口关闭时，秘密浏览器窗口将作为时钟后面或任务栏下方的弹出窗口保持打开状态。代码对系统资源的使用有助于防止检测到脚本。

Android 移动设备也可以通过特洛伊木马病毒或将用户重定向到受感染的网站来加密劫持矿工。特洛伊木马病毒是一种恶意软件，它通过使用网络钓鱼等社会工程方法冒充可信赖的应用程序来获取对用户系统的访问权限，从而将自己安装在计算机上。

加密劫持有哪些类型？

加密劫持恶意软件生命周期的三个主要阶段是脚本准备、脚本注入和攻击。对于所有形式的加密挖掘恶意软件，脚本准备和攻击阶段都是相同的。相比之下，脚本注入阶段是通过将恶意软件嵌入其他应用程序或将恶意脚本注入网站在本地执行的。

加密劫持者主要采用三种隐身技术来挖掘加密货币：

控制 IT 基础设施;

下载恶意软件以运行加密挖掘脚本;和

使用云服务。

使用 IT 基础设施在浏览器中注入恶意软件称为基于浏览器的加密劫持。例如，黑客使用编程语言来构建加密挖掘脚本，并将其插入到各种网站中。用户的计算机下载脚本的代码，该代码通过广告和过时或易受攻击的 WordPress 插件自动执行，从而导致加密劫持。

由于它们的受欢迎程度和用户在这些网站上花费的时间长短，YouTube 和其他媒体内容提供商是攻击者的绝佳目标。例如，YouTube 的 Google 广告包与加密劫持恶意软件相结合。只要用户停留在相关页面上，受害者主机组装的受损广告包就会参与非法挖矿。同样，用于加密劫持的恶意软件是在英国政府提供的插件中发现的。

基于文件的加密劫持是通过恶意电子邮件发生的，这些电子邮件看起来是合法的，但当点击时，会在用户不知情的情况下运行加密挖掘代码。与基于文件的加密劫持恶意软件相比，基于云的恶意软件安装在主机系统上以访问受害者的计算资源。因此，它们通常利用嵌入第三方软件和利用弱点等技术传输到主机系统。

当黑客利用云或基于主机的加密劫持时，他们会浏览公司的文档和源代码，以寻找应用程序编程接口 （API） 密钥来访问他们的云服务。一旦进入，黑客就会使用不受限制的中央处理使用 （CPU） 资源进行加密挖掘，从而在未经授权的情况下挖掘加密货币时增加账户费用。

通常采取以下步骤来进行基于主机的加密劫持攻击：

网络犯罪分子用于进行基于主机的加密劫持攻击的步骤

一旦攻击者从服务提供商那里收到所有加密货币收入，他们就有三种可能性来使用收入：使用加密货币混合服务来隐藏其踪迹，使用交易所或点对点交易转换为法定货币，并将其用作服务的数字货币。

加密劫持恶意软件的来源是什么？

服务提供商是加密劫持程序的主要开发商和销售商。例如，为了在2017年为网站和内容所有者提供第二收入来源，Coinhive是第一家提供即用型浏览器内挖掘脚本的服务提供商，该脚本迅速在攻击者中流行起来。网络犯罪分子占据了整个门罗币的相当大一部分Coinhive 运行时的哈希率。然而，由于 XMR 价格的快速下跌和公司盈利能力的下降，门罗币的所有者于 2019 年 3 月关闭了 Coinhive。

众所周知，攻击者会利用许多硬件和软件缺陷。例如，网络犯罪分子用挖矿恶意软件感染有故障的计算机，并迫使他们挖矿加密货币。其他加密劫持示例包括 2018 年在《洛杉矶时报》的“凶杀案报告”页面中发现埋藏的加密劫持代码。参观者的设备被用来开采门罗币未经授权的加密货币。此外，在2018年7月至8月期间，巴西超过200,000台MikroTik路由器受到加密劫持攻击的入侵，该攻击将CoinHive代码注入了大量的网络流量。

此外，许多矿池提供了几种即插即用的挖矿解决方案，攻击者可以修改这些解决方案以进行加密劫持。例如，XMRig 是一个开源、高性能的门罗币矿工实现，其签名存在于影响全球数百万终端设备的一些破坏性攻击中。

如何检测加密劫持

鉴于加密劫持恶意软件的普遍性和不断发展的性质，识别并阻止未经授权的采矿操作在用户不知情或未同意的情况下滥用任何计算平台的计算资源至关重要。虽然至关重要，但加密劫持检测并不容易，因为加密劫持在几个方面与传统恶意软件不同。如下所述，保持警惕并注意可能的迹象可能会帮助您抓住它。

网络犯罪分子没有像经典恶意软件那样控制受害者，而是利用受害者的计算能力。由于信誉良好的网站经常受到信任，并且消费者预计不会在他们的设备上进行任何未经同意的挖掘，因此可以使用恶意软件或将其集成到这些网站中，使它们看起来是无辜的。

由于加密劫持过程的资源要求，计算设备可能会过热，这可能会限制计算机的使用寿命或对计算机造成损坏。计算机过热可能表明您的设备有问题。

例如，性能不佳的计算机，处理速度慢或应用程序经常崩溃，可能表明加密劫持正在运行。

当用户停留在网站上时，加密劫持脚本会增加 CPU 使用率。因此，使用计算机的任务管理器检查 CPU 的利用率可能会通知您设备上当前正在运行的非法活动。

如何保护自己免受加密劫持攻击

由于预防胜于治疗，因此可以通过了解最新的加密挖掘恶意软件趋势来保护自己免受加密劫持。了解现代网络安全威胁可以帮助您检测和避免加密劫持。

加密劫持阻止程序可用于检测和阻止恶意恶意软件代码。同样，Ad Blocker Plus 可以防止通过在线广告进行加密劫持。此外，可以安装卡巴斯基全方位安全软件等网络安全程序，以避免成为加密挖掘恶意软件的受害者。

还建议为您的软件、操作系统和应用程序安装最新的更新，尤其是对于在线浏览器。此外，访问互联网时应禁用 JavaScript，以防止您的计算机感染加密劫持软件。但是，它可能会阻止您使用必要的功能。

在网上冲浪时搜索加密劫持网站并将其列入黑名单也是一种很好的做法。但是，新的加密挖掘恶意软件站点仍可能感染您的设备。您可能需要安装互联网安全软件，以防止加密劫持以及随后的计算机或手机故障。