如何检测和清除您计算机上的加密劫持

在Web3技术的世界中，越来越常见的威胁之一是加密劫持——隐秘地利用您计算机的资源进行加密货币挖矿。这种形式的恶意软件可以悄无声息地渗透并在后台运行，对设备和数据安全构成严重威胁。

什么是加密劫持及其工作原理

加密挖矿(病毒挖矿)是一种恶意软件，属于木马类别，它会秘密安装在用户的计算机上，目的是利用计算资源来挖掘加密货币。与标准病毒不同，加密挖矿往往长时间不被察觉，逐渐耗尽系统资源。

当用户发现其设备上存在未经授权的挖矿时，必须立即采取措施删除恶意软件，以防止进一步的损害。

加密劫持的后果

在Windows系统中存在特洛伊木马会造成多层次的威胁：

• 数据泄露: 密码和机密信息可能会被截获和盗取
• 性能下降：由于CPU和GPU的负载，计算机运行速度显著降低。
• 设备的加速磨损: 持续的高负荷缩短了组件的使用寿命
• 增加的能耗: 导致电费上涨

加密劫持对笔记本电脑构成特别危险——它们的冷却系统并未针对长时间的高负荷进行设计，这可能导致设备迅速损坏。

主要的加密劫持类型

在现代网络犯罪中，使用了两种主要类型的加密劫持。

浏览器加密劫持

这种恶意软件类型不需要安装到计算机上。相反，它以JavaScript代码的形式嵌入网页，在访问感染的网站时被激活。只要用户在页面上，他的计算资源就会被用于挖矿。

浏览器加密劫持的特点在于，传统的 antivirus 通常无法发现它，因为恶意代码直接在浏览器中执行，形式上并不是操作系统的一部分。

系统加密劫持

经典的加密矿工变体是一个可执行文件或压缩档案，它在用户不知情的情况下被植入系统。安装后，此类木马在每次操作系统启动时自动运行。

系统加密劫持的功能可能会有所不同：

• 基本矿工专注于挖掘加密货币
• 高级选项还可以分析系统是否存在加密货币钱包，并将资金重定向到攻击者的地址

加密劫持的感染迹象

为了有效地检测和删除挖矿病毒，必须了解其特征表现。以下症状可能表明存在加密劫持：

• 显卡异常负载：风扇噪音、热量增加以及图形应用中的性能下降。可以使用程序 GPU-Z 来精确测量负载。

• 整体性能下降：如果系统变得明显较慢，请通过任务管理器检查CPU负载。如果没有运行资源密集型程序，但CPU的持续负载超过60%，这是一种令人担忧的迹象。

• 过度使用内存：加密劫持通常会消耗大量RAM来优化挖矿操作。

• 系统的自发性变化：文件删除、设置更改或不可解释的系统重新配置。

• 网络流量增加：矿工通常与矿池或管理服务器保持持续连接。一些选项也可能作为僵尸网络的一部分参与DDOS攻击。

• 浏览器问题: 经常崩溃，标签页自发关闭或在浏览网页时断开连接。

• 未知进程 在任务管理器中有随机或可疑的名称 (例如，"asikadl.exe").

加密劫持的检测和删除方法

在发现至少一个列举的症状时，建议对系统进行全面的 antivirus 扫描。在初步检查后，使用 CCleaner 类型的程序删除潜在的恶意软件残留文件是有益的。

重要的是要理解，现代加密劫持者正在进化并且可以：

• 将自己添加到防病毒软件的信任程序列表中
• 确定任务调度器的启动并暂时暂停其活动
• 使用各种伪装方法以避免被发现

手动检测加密劫持

为了更仔细的检查，可以使用以下方法：

1. 打开 Windows 注册表编辑器 (Win+R，输入 "regedit"，然后点击确定)
2. 使用搜索功能 (Ctrl+F) 来发现可疑进程
3. 请注意包含随机字符集或名称与合法软件不符的记录
4. 删除发现的可疑元素并重新启动计算机

如果重启后仍然存在加密劫持的迹象，则需要使用其他方法。

通过任务计划程序检查

有效的自动启动恶意软件检测方法：

1. 打开任务计划程序 (Win+R，输入"taskschd.msc"，点击确定)
2. 前往"任务调度器库"
3. 分析任务，特别是那些在系统启动时启动的任务
4. 检查每个可疑任务的“触发器”和“操作”标签

为了禁用潜在危险的任务:

• 右键单击任务名称
• 选择 "禁用" ( 进行临时封锁) 或 "删除" ( 进行完全删除)

为了更深入地分析自动加载，建议使用专门的软件，例如 AnVir Task Manager，它提供有关启动进程的扩展信息。

在复杂感染的情况下，使用具有深度扫描功能的专业 antivirus 解决方案，例如 Dr. Web，可能是有效的解决方案。在进行系统深度清理之前，建议先备份重要数据。

防止加密劫持的措施

为了最小化感染加密劫持的风险并保护自己的数字资产，建议采取以下预防措施：

• 定期更新操作系统，并在需要时每2-3个月进行一次完整恢复。

• 使用现代的杀毒软件，保持威胁数据库的主动更新和定期系统检查。

• 在安装之前，务必仔细检查软件，尤其是来自非官方来源的。

• 在运行之前 使用杀毒软件扫描所有下载的文件，以防止恶意代码被激活。

• 实践安全的网络冲浪，开启防火墙和杀毒软件的保护，避免访问可疑网站。

• 修改 hosts 文件 以阻止已知的恶意域名。您可以在 GitHub 的与防止加密劫持相关的部分找到这些域名的最新列表。

• 在日常使用计算机时避免以管理员权限进行操作，以限制恶意软件对系统资源的潜在访问。

• 通过 secpol.msc 工具设置 Windows 安全策略 以仅允许经过验证的应用程序运行。

• 限制通过防火墙和杀毒软件的端口使用，阻止恶意软件的潜在通信通道。

• 保护家庭网络，通过在路由器上设置强密码并关闭其发现和远程访问功能来实现。

• 应用权限分离原则 对所有计算机用户，限制程序安装的权限。

• 使用强密码 访问Windows系统，以防止计算机被未授权使用。

• 避免没有SSL证书的网站 (协议https)，因为它们会带来更高的安全风险。

• 在浏览器设置中禁用JavaScript以获得最大保护(虽然这可能会影响许多网站的功能)。

• 在Chrome浏览器中通过设置中的“隐私和安全”部分激活内置的挖矿保护。

额外的保护可以通过专门的浏览器扩展来实现，以阻止广告和潜在危险内容，例如 AdBlock 或 uBlock，这些扩展阻止恶意脚本的加载。