现在，来自俄罗斯、土耳其、乌克兰和欧亚区域其他几个国家的超越 28,000 人正遭到大规模暗码钱银盗取歹意软件活动的影响。

　　该歹意软件活动将自己伪装成通过 YouTube 视频和欺诈性 GitHub 存储库推行的合法软件，受害者在其间下载受暗码保护的档案，然后引发感染。

　　据网络安全公司 Dr. Web 称，该活动运用盗版工作相关软件、游戏做弊和黑客行为，乃至主动买卖机器人来诈骗用户来下载歹意文件。

　　据悉，这次歹意软件活动一共影响了 28,000 多人，其间绝大多数是俄罗斯居民。别的。白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也发现了很多感染病例。

　　感染首要翻开一个自解压存档，该存档在下载时会躲避防病毒扫描，由于它受暗码保护。受害者输入供给的暗码后，存档会开释各种混杂的脚本、DLL 文件和用于发动主有用负载的数字签名加载程序的 AutoIT 解说器。

　　该歹意软件会检查调试东西是不是真的存在，以检查它是否在剖析人员的环境中运转，假设发现任何东西，则会停止。

　　接下来，它提取进犯后续阶段所需的文件，然后运用图像文件履行选项 (IFEO) 技能修正 Windows 注册表以完成持久性。

　　简而言之，它运用歹意服务绑架合法的 Windows 体系服务以及 Chrome 和 Edge 的更新进程，因而歹意软件文件会在这些进程发动时履行。

　　Windows 康复服务被禁用，而且歹意软件文件和文件夹的“删去”和“修正”权限被吊销，以防止测验整理。

　　从那时起，Ncat 网络实用程序用于与指令和操控 (C2) 服务器树立通讯。该歹意软件还可以搜集体系信息，包含运转的安全进程，并通过 Telegram 机器人盗取这些信息。

　　该活动将两个要害有用负载传送到受害者的机器上。第一个是“Deviceld.dll”，这是一个通过修正的库，用于履行 SilentCryptoMiner，它运用受害者的核算资源来发掘加密钱银。

　　第二个有用负载是“7zxa.dll”，这是一个通过修正的 7-Zip 库，充任编排器，监督 Windows 剪贴板中仿制的钱包地址，并将其替换为进犯者操控下的地址。

　　Dr. Web 没有在陈述中详细阐明 28,000 台受感染机器的潜在挖矿赢利，但发现仅 Clipper 就绑架了价值 6,000 美元的买卖，并将金额转移到进犯者的地址上。

　　为防止意外的经济损失，请用户仅从该项意图官方网站下载软件，并阻挠或越过 Google 查找上的推行成果。此外，请当心 YouTube 或 GitHub 上的同享链接，由于这一些渠道的合法性并不可以保证下载意图地的安全。