Crackonosh 是一種 Windows 惡意軟件，用於挖掘加密貨幣

安全研究人員發現了一種新的礦工惡意軟件。這個新的令人討厭的錯誤稱為 Crackonosh，它會在安全模式下強制重啟 Windows 機器以執行和安裝，而不會出現任何中斷。

惡意軟件的分發鏈並不是特別新穎或不常見。它主要分佈在提供盜版或破解軟件的網站、非法下載的種子以及共享盜版應用程序和內容的論壇上。

關於 Crackonosh 的奇怪事實是，儘管它是最近才被發現的，但研究人員認為它已經存在了幾年。在用戶開始提交有關其係統中突然丟失的防病毒軟件的報告後，對該惡意軟件的調查就開始了。

Crackonosh 的工作方式是，一旦用戶安裝了受感染的安裝程序或他們認為是應用程序的破解版本，它就會部署。部署有效負載後，它會更改 Windows 註冊表項，從而允許惡意軟件即使在安全模式下也能執行。完成此操作後，Crackonosh 會將 PC 設置為在下次重新啟動時自動以安全模式啟動，無需任何用戶輸入。

一旦系統在安全模式下重新啟動，可能會讓用戶感到困惑，惡意軟件首先禁用然後刪除 Windows Defender 和系統上發現的任何其他防病毒軟件。該惡意軟件會掃描系統驅動器中的各種流行和廣泛使用的防病毒軟件，然後將其刪除並清除系統日誌文件，從而幾乎不可能跟踪其活動。

完成所有這些之後，惡意軟件最終會安裝 XMRig——一種與 Monero 加密貨幣一起工作的礦工，並在活動時佔用大量系統資源。

據研究人員估計，Crackonosh 惡意軟件可能為其運營商賺取了大約 200 萬美元的門羅幣。估計的每日感染人數約為 1000 人，受感染系統總數估計為令人擔憂的 22 萬人。

當然，只要遠離聲稱託管付費軟件破解版的網站，就可以完全避免類似的感染。儘管隨著時間的推移和世界各地版權法的收緊，這些事件比十年或兩年前少見，但感染 Crackonosh 的人數之多表明這仍然是一個問題。