Crackonosh 是一种 Windows 恶意软件，用于挖掘加密货币

安全研究人员发现了一种新的矿工恶意软件。这个新的令人讨厌的错误称为 Crackonosh，它会在安全模式下强制重启 Windows 机器以执行和安装，而不会出现任何中断。

恶意软件的分发链并不是特别新颖或不常见。它主要分布在提供盗版或破解软件的网站、非法下载的种子以及共享盗版应用程序和内容的论坛上。

关于 Crackonosh 的奇怪事实是，尽管它是最近才被发现的，但研究人员认为它已经存在了几年。在用户开始提交有关其系统中突然丢失的防病毒软件的报告后，对该恶意软件的调查就开始了。

Crackonosh 的工作方式是，一旦用户安装了受感染的安装程序或他们认为是应用程序的破解版本，它就会部署。部署有效负载后，它会更改 Windows 注册表项，从而允许恶意软件即使在安全模式下也能执行。完成此操作后，Crackonosh 会将 PC 设置为在下次重新启动时自动以安全模式启动，无需任何用户输入。

一旦系统在安全模式下重新启动，可能会让用户感到困惑，恶意软件首先禁用然后删除 Windows Defender 和系统上发现的任何其他防病毒软件。该恶意软件会扫描系统驱动器中的各种流行和广泛使用的防病毒软件，然后将其删除并清除系统日志文件，从而几乎不可能跟踪其活动。

完成所有这些之后，恶意软件最终会安装 XMRig——一种与 Monero 加密货币一起工作的矿工，并在活动时占用大量系统资源。

据研究人员估计，Crackonosh 恶意软件可能为其运营商赚取了大约 200 万美元的门罗币。估计的每日感染人数约为 1000 人，受感染系统总数估计为令人担忧的 22 万人。

当然，只要远离声称托管付费软件破解版的网站，就可以完全避免类似的感染。尽管随着时间的推移和世界各地版权法的收紧，这些事件比十年或两年前少见，但感染 Crackonosh 的人数之多表明这仍然是一个问题。