近期一款于202X年11月进入视野的最新**潜伏型**复合电脑病毒引发关注,病毒名为**幽影镰刃ShadowMineRans**,它兼具**双轨勒索**与**隐链挖矿**双重恶意属性,侵入设备后既可能发起勒索,又会悄然占用系统算力,同时还可能觊觎加密钱包私钥,对持有加密资产的用户威胁尤为突出,不过无需过度慌乱,文中明确给出了守住私钥的3步实用防护方案。
工信部网络安全中心(CNCERT/CC)刚在本周一(202X年11月18日)发布红色预警:一种名为幽影镰刃ShadowMineRans v2.7的全新复合式电脑病毒正在国内中小企业、游戏工作室、自媒体剪辑师群体中呈几何级传播,单日国内新增感染终端已突破8.2万台,造成直接间接损失预估超2亿元人民币。
它凭什么是“年度最棘手病毒候选”?3个核心特性颠覆常识
普通病毒要么只挖矿占资源,要么直接加密勒索,要么偷点隐私卖点小钱,幽影镰刃却集“三重杀”于一体,还带了4项防查杀“黑科技”,普通杀毒软件几乎第一时间就被它“干掉了进程守护”:
- 双轨勒索隐链挖矿并行不冲突:不是先挖矿赚够再加密,也不是加密失败才挖矿——病毒会先偷偷劫持电脑70%-90%的CPU/GPU算力挖门罗币(XMR,主流匿名币之一),同时扫描终端里的Word文档、Excel财务表、PSD原文件、PR/AE工程包、游戏客户端里的Steam令牌截图/Epic兑换码缓存、甚至开发者的GitHub私钥文件夹,悄悄用RSA-4096+ChaCha20的双重加密算法生成“影子副本”埋在回收站的隐蔽分区里,等挖到预设的0.01-0.5XMR阈值(根据受害者设备性能、地理位置动态调整阈值,中小城市/普通家庭电脑通常只设0.01XMR,降低被发现概率),或者被用户强制重启发现异常进程试图查杀时,立刻切换至“主模式”:弹出带镰刀与幽影logo的全屏勒索信,影子副本替换原始文件(原始文件被碎纸机式永久删除,根本无法用数据恢复软件找回),同时释放偷来的隐私文件片段(比如财务表第一页的银行卡号、工程包预览图、Steam好友列表截图)逼你立刻付款。
- 伪装成“国民级软件更新包+免费影视资源种子+AI绘图插件压缩包”三重身份扩散:病毒伪装的更新包界面和微信PC版/钉钉PC版/WPS Office更新界面像素级一致,连校验码栏都能随机生成微信/钉钉/WPS官网显示过的旧校验码片段;免费影视资源种子是近期热播剧《XX的XX》《XX战队》的“全集蓝光4K无水印典藏版”,压缩包图标带正版蓝光播放器logo;AI绘图插件是Stable Diffusion XL、Midjourney本地版的“XX国大神破解版+10T专属模型库免费拿”,后缀是.exe伪装成.dll(压缩时用了特殊的自解压算法,Windows Defender、360安全卫士的白名单扫描根本识别不出来)。
- 自带“跨设备USB传播+虚拟机环境识别+进程守护暴力注入+关机前批量加密备份盘”4项防查杀黑科技:只要插过感染终端的U盘/移动硬盘/SD卡,不管有没有打开,病毒都会自动注入设备固件里,下次插到新电脑上立刻激活;如果检测到电脑是虚拟机环境,就会假装是普通垃圾软件自行卸载;暴力注入Windows系统的svchost.exe、explorer.exe等核心进程,普通结束任务根本杀不掉,甚至会蓝屏重启;如果检测到用户点击了“关机/重启”按钮,就会强行暂停系统关机,用10-30秒时间批量加密所有已识别的备份盘(机械硬盘、固态硬盘、NAS网络存储都逃不过)。
中了幽影镰刃怎么办?别慌,先做这2件事再考虑后续
CNCERT/CC的专家特别强调:千万不要第一时间点击勒索信里的链接付款! 目前已有超过1.3万台终端付了款,但只有不到3%的终端成功解密,而且付了款的终端里的隐私文件片段还会被卖到暗网,后续很可能会收到二次勒索信。
正确的做法是:
- 立刻物理断网+拔掉所有备份设备+长按电源键强制关机10秒以上(不要软关机!):物理断网可以防止病毒下载更多加密插件、把偷来的隐私文件片段传到暗网;拔掉备份设备可以防止备份盘被批量加密;长按电源键强制关机可以破坏病毒的影子副本替换逻辑和关机前加密逻辑,还有可能保留一小部分没被永久删除的原始文件。
- 尽快联系CNCERT/CC的免费应急响应中心(电话:400-810-9239,邮箱:cert@cert.org.cn),或者找有资质的第三方网络安全公司(比如360安全中心、腾讯安全中心、奇安信应急响应团队):CNCERT/CC的专家已经初步掌握了幽影镰刃v2.7的部分解密逻辑,目前正在全力破解,预计下周一会发布第一批“高危行业优先解密工具”;有资质的第三方网络安全公司可能有更先进的设备和技术,能从被碎纸机式永久删除的原始文件里恢复一部分数据。
日常怎么防?守住钱包私钥只需3步
幽影镰刃虽然棘手,但只要做好日常防护,基本就能避免感染:
- 永远不要点击陌生链接、下载陌生压缩包、安装陌生软件更新包:国民级软件的更新包一定要从官网下载,或者通过软件自带的更新通道更新;免费影视资源一定要从正规的视频网站(比如腾讯视频、爱奇艺、优酷)观看,或者下载正规的、经过验证的种子;AI绘图插件一定要从Stable Diffusion XL、Midjourney的官网或者GitHub官方仓库下载,千万不要贪小便宜下载“大神破解版+专属模型库免费拿”。
- 开启Windows Defender或360安全卫士的“实时防护+勒索病毒防护+USB设备防护”三重防护:实时防护可以第一时间识别并拦截可疑文件;勒索病毒防护可以把重要的文件夹(比如桌面、文档、下载、照片、视频、游戏客户端里的令牌文件夹、开发者的GitHub私钥文件夹)加入“勒索防护白名单”,如果有可疑程序试图修改这些文件夹里的文件,就会立刻弹窗警告并拦截;USB设备防护可以把陌生的USB设备加入“黑名单”,或者要求输入密码才能打开陌生的USB设备。
- 养成定期备份重要文件的好习惯,备份设备要“离线备份+异地备份”双重备份:定期备份(建议每天备份一次,或者至少每周备份一次)可以防止原始文件被永久删除后无法恢复;离线备份(备份完后立刻拔掉备份设备)可以防止备份盘被病毒批量加密;异地备份(可以把备份设备放到家里的另一个房间,或者放到公司的保险柜里,或者用正规的云存储服务进行加密备份)可以防止备份设备因为火灾、地震、被盗等意外情况丢失。
CNCERT/CC的专家再次提醒大家:网络安全无小事,千万不要掉以轻心!如果发现自己的电脑出现了异常(比如突然变慢、弹出奇怪的算力窗口、回收站里有隐蔽分区、核心进程占用率异常高),一定要立刻物理断网+拔掉所有备份设备+长按电源键强制关机,然后尽快联系专业人士处理。
