（一）什么是虚拟货币？什么是虚拟货币“挖矿”？

虚拟货币“挖矿”活动指通过专用“矿机”计算生产虚拟货币的过程，能源消耗和碳排放量大，对国民经济贡献度低，对产业发展、科技进步等带动作用有限，加之虚拟货币生产、交易环节衍生的风险越发突出，其盲目无序发展对推动经济社会高质量发展和节能减排带来不利影响。

1.2021年11月10日，国家发改委组织召开虚拟货币 “挖矿”治理专题视频会议，特别强调各省区市要坚决贯彻落实好虚拟货币“挖矿”整治工作的有关部署，切实负起属地责任，建制度、抓监测，对本地区虚拟货币“挖矿”活动进行清理整治，对虚拟货币“挖矿”活动进行清理整治，严查严处国有单位机房涉及的“挖矿”活动。

3.2021年9月3日，国家发展改革委等部门关于整治数字货币“挖矿”活动的通知。要求全面梳理排查数字货币“挖矿”项目。禁以数据中心名义开展数字货币“挖矿”活动等要求。2021年6月21日,中国人民银行有关部门就银行和支付机构为数字货币交易炒作提供服务问题，约谈了多家银行和支付机构，禁止使用机构服务开展数字货币交易。

5.2018年10月26日，《中华人民共和国循环经济促进法(2018修正)》第五十条：生产、销售列入淘汰名录的产品、设备的，依照《中华人民共和国产品质量法》的规定处罚。使用列入淘汰名录的技术、工艺、设备、材料的，由县级以上地方人民政府循环经济发展综合管理部门责令停止使用，没收违法使用的设备、材料，并处五万元以上二十万元以下的罚款；情节严重的，由县级以上人民政府循环经济发展综合管理部门提出意见，报请本级人民政府按照国务院规定的权限责令停业或者关闭。

（三）“挖矿”行为的分类

1.用户浏览访问含有mine、pool、monero等关键词的可疑“挖矿”域名；

3.黑客通过暴力破解操作系统的ssh、ftp、telnet等服务的弱口令，或漏洞利用进入操作系统等，从而获取主机权限并下载“挖矿”病毒程序，并在内网进行横向扩展，感染其他主机。

一是会造成大量的能源消耗和碳排放，违背新发展理念，不利于国家碳达峰、碳中和目标的实现。

三是扰乱正常的金融秩序甚至社会秩序，其往往成为洗钱、非法转移资产等违法犯罪活动的工具；更有犯罪团伙通过向社会公众推销购买虚拟货币“挖矿”设备，或以租赁“挖矿”算力为由，吸引投资者购买算力份额，骗取居民个人钱财，影响社会秩序稳定。

二、防治措施

（一）预防

（1）培养良好的计算机使用习惯，个人电脑应在长时间不使用的情况下或下班时，及时关机。

（3）安装安全防护软件或者杀毒软件，开启实时防护和自动更新功能。

（5）非必要不要开启远程控制，如必须使用应在使用完后立即关闭服务。

（7）不打开来源不明的链接、文档、邮件、邮件附件等。

（9）不使用未经杀毒的U盘、移动硬盘等存储设备。

（1）通过技术手段做好服务器主机绑定隔离措施，阻止主机间非授权访问。

（3）使用正版操作系统，及时更新操作系统补丁。

（5）计算机登录口令要有足够的长度和复杂性，建议密码长度10位以上，严禁使用弱口令、空口令和缺省出厂口令，设置安全策略规则并定期更换登录口令，Linux服务器建议使用密钥认证。

（7）从正规渠道下载安装软件，不安装未知来源的第三方软件；重要系统可以考虑在测试机、虚拟运行环境上安装软件进行安全检测。

（9）公共服务器应限制用户对管理员权限的使用，不允许私自安装软件，降低用户服务运行权限。

（11）开启系统日志记录功能，并按照规定留存相关的网络日志不少于六个月。

通过在网络侧部署防火墙、流量管控、日志审计等安全设备，加强对“挖矿”的监测、识别、阻断和溯源；阻止数据中心服务器访问互联网，特殊需要上互联网的服务器，按最小化原则进行授权；部署网络安全威胁管理平台、漏洞扫描系统等产品，对安

在互联网和数据中心出口防火墙、IPS/IDS、智能DNS等安全设备上启用“挖矿”病毒等拦截防护功能，并及时更新特征库、情报库；有条件的可以配置出口防火墙、IPS等与第三方网络安全威胁情报系统联动，防火墙根据情报阻断“挖矿”行为，封禁矿池IP地址、域名等；另广东省高等教育学会信息网络专业委员会为广东省教育单位提供的最新矿池IP地址参考列表，各单位可及时获取并配置到防火墙等设备的出访拦截列表中。

4.加强对教学科研服务器的管理。

严格落实教学科研服务器及机房管理责任，明确实际负责人、网络安全管理员，避免出现失管失控设备在线运行，一经发现应立即断网下线。

安全管理员及运维人员，规范开展服务器安全运维管理工作，定期巡检、升级，加强监控及时发现服务器异常情况并处置各类网络安全问题，制定应急预案并定期开展演练；如服务器数量或机房达到一定规模，建议使用专业技术机构或聘请专业技术人员协助开展运维管理工作。

“挖矿”行为主要通过主机检测和网络流量检测来发现。建议组织所有用户开展一次主机自查，同时要求网络管理员基于网络流量主动发现存在的“挖矿”行为。

对“挖矿”病毒的检测可通过安装杀毒软件进行查杀，同时结合以下各检查项对计算机进行排查：

检查网络是否有异常连接。

检查是否有异常未知进程。

检查系统文件、系统命令是否被篡改。

检查系统定时任务是否存在未知任务。

检查查看当前系统活跃的进程信息，是否向矿池发起TCP请求。

安全设备告警，访问了可疑“挖矿”域名，访问了可疑IP尤其是境外IP，访问目标主机的时间是否存在可疑行为，如非工作时间，访问时间间隔有一定规律性。

通过DNS流量分析，结合威胁情报，识别“挖矿”域名请求，对可疑主机进一步溯源排查。

对于无法识别潜在的“挖矿”行为，可通过最新的安全态势感知平台进行深度检测和分析。另CERNET华南地区网络中心已建立基于广东省教科网的安全态势感知平台，可针对各单位的教科网流量进行“挖矿”行为监测和预警。

检测出的可能存在“挖矿”行为IP后应进行IP溯源，进一步确认是主动“挖矿”行为还是感染“挖矿”病毒。确认主机存在“挖矿”，应先进行断网、隔离，再进行清理处置。对于主动安装“挖矿”软件的主机，建议扣留设备，保留证据，报纪检监察部门处置；对于感染“挖矿”病毒的主机，相关处置措施如下：

Windows系统处置。通过进程内存处置、自启动目录文件删除、自启动配件文件的清除/修改，注册表项的清除/修改，计划任务删除、账号删除、WMI自启动删除、文件的删除和恢复等处置动作，彻底清除用户网络中的“挖矿”病毒。

主机上的“挖矿”病毒或“挖矿”软件必须进行彻底清除。因“挖矿”病毒具有相当隐藏性，并可能被黑客植入后门，“挖矿”建议做好备份后，彻底重装操作系统。“挖矿”如无法进行重装系统操作的，建议由安全专业人员进行处置。

积累“挖矿”病毒以及其他恶意软件感染事件的数据，对于发现的矿池要及时在防火墙等安全设备封禁，对于主动“挖矿”或感染“挖矿”病毒的内网主机，建立IP和物理位置信息库，调整对应的安全防护措施。

“挖矿”整治是一项长期的工作，必须做好持续整治的准备。