在近来针对韩国的网络攻击活动中，FortiGuard 注意到 VenusLocker 勒索软件团伙开始转向数字货币挖矿，恶意程序在感染目标系统后将进行门罗币（XMR，一种开源数字货币）的挖掘。显然，该团伙正试图在数字货币热中赚上一笔。

“越来越多的人意识到，数字货币可能是一种盈利可观的投资，在可预见的将来，这种状况很可能会持续下去。天下攘攘，哪里有利润，哪里就势必会成为恶意软件的集散地。” FortiGuard 在报告中写道。

同时，研究人员表示：“反勒索软件缓解措施的提出使得加密目标系统文件变得更加困难，因此勒索软件也被迫做出了转变。”

在刚过去的 10 月份，微软向 Win10 的 Windows Defender Security 中添加了 Controlled folder access 特性，旨在预防重要文件被恶意（或意外）更改。此功能有效阻止了勒索软件的攻击，这可能是 VenusLocker 团伙决定改变目标的原因之一。

另外，为什么会选择门罗币，而不是更火的比特币？按照 FortiGuard 的说法，门罗币的挖掘算法是专为普通计算机设计的，而比特币挖掘算法针对的是配备专用集成电路或 GPU 的高端计算机。其次，较之比特币，门罗币拥有更高级别的匿名性和不可追踪性。

而这些针对韩国的矿工程序正通过垃圾邮件进行传播，恶意附件采用的是在韩国国内广泛使用的 EGG 压缩格式文档。攻击者会声称其中包含被黑网站泄露的重要个人信息等带有诱惑性的虚假提示，意在使受害者打开附件。

“恶意程序执行后会转而运行内嵌的门罗币挖矿程序 XMRig v2.4.2，为了实现隐藏以避免引起怀疑，挖矿程序会通过创建远程线程的方式在合法组件 wuapp.exe 中执行。很多欺骗手法都和 VenusLocker 勒索软件用到的方案相似，除了目标路径外，快捷方式文件也几乎完全相同。” 研究人员解释道。

最后 FortiGuard 还表示，目前数字货币的价值比以往任何时候都更加的诱人，因此从勒索软件转向数字货币挖矿将会成为一种趋势，并且可能一直延续到 2018 年。