Что делать, если на компьютере вирус-майнер

Что делать, если на компьютере вирус-майнер

Что делать, если на компьютере вирус-майнер

Категория: Безопасность / Интернет
Добавил:
access_timeОпубликовано: 21-05-2018
visibilityПросмотров: 24 791
chat_bubble_outlineКомментариев: 8

Всем привет! Каждый активный пользователь ПК, который проводит много времени на различных интернет ресурсах рано или поздно задумывается о кибербезопасности своей операционной системы. Но далеко не все интернет серферы способны обеспечить свой компьютер необходимой защитой и надлежащим уходом. Для того, чтобы не стать жертвой вредоносного ПО, необходимо знать в каком направлении развиваются вирусы и как с ними бороться, ведь вероятность подхватить в сети новое детище хакеров, крайне высока. И далеко не факт, что антивирус спасет вас в такой ситуации. Самыми активными вредоносами в последнее время стали так называемые вирусы-майнеры, о которых мы с вами сегодня и поговорим.

d187d182d0be d0b4d0b5d0bbd0b0d182d18c d0b5d181d0bbd0b8 d0bdd0b0 d0bad0bed0bcd0bfd18cd18ed182d0b5d180d0b5 d0b2d0b8d180d183d181 d0bcd0b0 65d309478e26a

Что делать, если на компьютере вирус-майнер

Итак, что же такой вирус-майнер? Это вид вредоносного ПО, которое использует ресурсы зараженного компьютера (в основном видеокарту и процессор) для добычи различной криптовалюты. Чаще всего майнят Monero (XMR) и Zcash (ZEC), остальные анонимные виды валют используются реже. На данный момент в природе встречается два вида вирусов-майнеров.
1. Классические
Проникают на компьютер пользователя классическими способами, скрытно запускают процесс-майнер, маскируют его и указывают интернет-кошелек злоумышленника. По большому счету это самый обычный троян, только предназначение у него немного другое.
2. Браузерные
Бывает, заходишь на сайт, и вся система начинает жутко тормозить. При чём нехватка оперативной памяти зачастую здесь ни при чём. Если заглянуть в диспетчер задач, то можно увидеть стопроцентную загрузку системы браузером. Но как такое возможно, спросите вы? Это как раз дело рук браузерного майнера, который работает благодаря специальным скриптам на сайте. Таким хитрым способом не побрезговала даже знаменитая пиратская бухта:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

d187d182d0be d0b4d0b5d0bbd0b0d182d18c d0b5d181d0bbd0b8 d0bdd0b0 d0bad0bed0bcd0bfd18cd18ed182d0b5d180d0b5 d0b2d0b8d180d183d181 d0bcd0b0 65d30947b0703

В чем опасность скрытого майнера?

Во-первых, из-за того, что некоторые компоненты вашего компьютера нагружаются на полную катушку, срок их эксплуатации значительно снижается. И хоть разработчики процессоров и видеокарт дают нам многолетнюю гарантию, я бы не стал надеяться, что любая железка способна проработать весь гарантийный срок на пределе своей мощности. Да и кому захочется, потом возиться с сервисными центрами? Более того, наибольшую опасность стабильная пиковая нагрузка представляет не для графического чипа видеокарты или кристалла центрального процессора, как вы могли подумать, а для системы охлаждения, ведь гарантия на нее, как правило, относительно небольшая из-за высокого уровня уязвимости перед износом. 
Во-вторых, что наиболее важно – ограниченная производительность всей системы. В подавляющем большинстве использовать ресурсы ПК для собственных нужд не удастся все из-за той же высокой нагрузки компонентов с помощью майнера. Однако это еще полбеды. Некоторые, особенно продвинутые версии скрытых майнеров способны анализировать запущенные в винде процессы и включаться только тогда, когда система находится в простое. Либо же запускаться, используя только определенное количество ресурсов. Например, когда вы просто сидите в браузере, вы по большому счету практически не нагружаете свою систему, разве что оперативную память, до которой майнеру и так нет никакого дела. В это время троян запускает скрытый майнер, который задействует 80% мощности вашего процессора для добычи криптовалюты, оставляя вам лишь 20%, которых в условиях серфинга будет вполне достаточно. Делается это для того, чтобы неопытный пользователь не смог заметить вредоноса сразу, тем самым оставляя паразита у себя на ПК как можно дольше. 
В-третьих, создание комплексных вирусов никто не отменял. Ничто не мешает злоумышленникам создавать две заразы в одном флаконе. Так, например, помимо скрытой криптодобычи, вы можете потерять конфеденциальную информацию, хранящуюся на ПК.

Как определить, что на компьютере вирус-майнер?

1. Самый очевидный признак – это медленная работа операционной системы. Однако, как я уже написал выше, некоторые хорошо замаскированные и продвинутые черви не выдают себя по данному критерию.
2. Дублированные системные процессы. В подавляющем большинстве подобные вирусы маскируются под стандартные системные службы и процессы. Однако самые простые и наглые версии вредоносов даже не маскируются и используют самые очевидные имена по типу: xmrig, xmr, systemminer и т.д. Вот список самых популярных используемых имен.
                      Silence                                svhosts                                winlogan
                      Carbon                               system64                                winlogo
                      Xmrrig32                             systemiissec                                logon
                 nscpucnminer64                               taskhost                                win1nit
              mrservicehost service                              vrmserver  
                    svchosts3                                vshell  
                     wininits                                sql31                                win1ogin
                     winlnlts                               taskhots                                win1ogins
                     taskngr                               svchostx                                ccsvchst
                     tasksvr
                               xmr86                            nscpucnminer64
                      mscl                                xmrig                            update_windows
                   cpuminer                                xmr  
3. Высокий нагрев. Из-за того, что железо нагружено на 100%, его тепловыделение соответственно повышается. Это, наверное, самый очевидный признак, который является ахиллесовой пятой новой заразы. Ведь если вы просто сидите в браузере, а из корпуса валит горячий, как из трубы паровоза воздух, то не нужно быть Шерлоком Холмсом чтобы заподозрить что-то неладное. Особенно легко выявить скрытый майнер на ноутбуке, когда клавиатура, на которой вы держите руки, начинает ощутимо нагреваться, ведь буквально в паре сантиметров под ней находятся все внутренности вашей раскладушки.
4. Автоматическое закрытие уже открытых приложений. Как я уже писал выше, в природе вирусов-майнеров встречаются продвинутые версии, которые способны активироваться не на полную мощность, чтобы не «спалиться”. Так вот, как оказалось, это далеко не единственный изощренный вид подобной заразы. Встречаются такие модификации, которые даже способны закрывать антивирусные утилиты. Безусловно, такие трюки прокатывают только с не самыми сильными представителями антивирусной защиты, но все же они есть. Так же некоторые майнеры умеют закрывать приложения, через которые проходит большое количество трафика. Например, загрузка файлов из интернета с помощью торрента или браузера. Да, друзья, современные компьютерные сорняки очень сильно эволюционировали и приспособились к окружающей среде, поэтому нужно держать ухо востро. 
P.S. В марте 2018 года был обнаружен вирус-майнер с функцией Kill-list, который способен даже устранять ему подобных конкурентов. При проникновении на компьютер жертвы, он так же, как и остальные умеет анализировать запущенные в операционной системе процессы, ничего сверхъестественного. Однако дальше начинается самое интересное. При обнаружении замаскированных процессов, которые уже направлены на скрытый майнинг, данный червь принудительно их блокирует и сам захватывает все ресурсы. То есть один паразит уничтожает другого паразита, за право быть единственной заразой в теле носителя. Забавно, не правда ли?
https://www.bleepingcomputer.com/news/security/coinminer-comes-with-a-process-kill-list-to-keep-competitors-at-bay/

Сколько зарабатывают создатели скрытых майнеров?

d187d182d0be d0b4d0b5d0bbd0b0d182d18c d0b5d181d0bbd0b8 d0bdd0b0 d0bad0bed0bcd0bfd18cd18ed182d0b5d180d0b5 d0b2d0b8d180d183d181 d0bcd0b0 65d30947d7283

Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.
Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.
А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.

Как защититься от вируса-майнера?

Большинство из вас может подумать, что это все мелочи, ведь я владею платной версией антивируса и мне не одна зараза не страшна. К сожалению, спешу вас огорчить, но это не так. Часто утилиты, предназначенные для защиты пользователя от вредоносного ПО, зачастую бесполезны перед новыми, ранее неизведанными видами компьютерной заразы. И данный случай как раз является подтверждением этих слов. Если зайти на официальный сайт одного из самых популярных антивирусов – dr.Web, то вы увидите, сколько новых майнеров обнаруживается каждый день. Думаю, и не стоит говорить о том, что буквально пару дней назад система защиты была полностью бессильна перед всеми обнаруженными троянами.

d187d182d0be d0b4d0b5d0bbd0b0d182d18c d0b5d181d0bbd0b8 d0bdd0b0 d0bad0bed0bcd0bfd18cd18ed182d0b5d180d0b5 d0b2d0b8d180d183d181 d0bcd0b0 65d30948041fc

К примеру, в период с 1 по 14 мая было выпущено 1179 обновлений базы сигнатур антивируса, которые направлены на борьбу с майнерами. https://updates.drweb.com
Более того, лазить по сомнительным сайтам для того, чтобы подцепить подобного рода заразу далеко не обязательно. Так например десятки тысяч пользователей были заражены через официальный сайт ВЦИОМ, который был взломан в 2015 году.
https://news.drweb.ru/show/?c=5&i=9497&lng=ru
Именно поэтому я рекомендую вам сильно не надеяться на вашу антивирусную защиту и совершить несколько простых профилактических действий для того чтобы минимизировать риск заражения новыми червями.
1. Перейти на сайт https://cryptojackingtest.com, который показывает, защищен ли ваш браузер от скрытого майнинга. Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен. Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.

d187d182d0be d0b4d0b5d0bbd0b0d182d18c d0b5d181d0bbd0b8 d0bdd0b0 d0bad0bed0bcd0bfd18cd18ed182d0b5d180d0b5 d0b2d0b8d180d183d181 d0bcd0b0 65d309482e201

2. Использовать браузеры, которые имеют встроенную защиту от майнинга, к примеру: Opera и Yandex.Browser, Chrome.
3. Самый радикальный метод, однако, один из самых эффективных – отключение jаvascript в браузере. Вводим в адресную строку следующее:
 chrome://settings/content >Запретить jаvascript на всех сайтах. Здесь же можете настроить исключения, если имеются подозрения на какой-то конкретный сайт. Имейте ввиду, что большинство современных сайтов для корректной работы требуют данный язык сценариев.

d187d182d0be d0b4d0b5d0bbd0b0d182d18c d0b5d181d0bbd0b8 d0bdd0b0 d0bad0bed0bcd0bfd18cd18ed182d0b5d180d0b5 d0b2d0b8d180d183d181 d0bcd0b0 65d3094855117

4. Установить одно из предложенных расширений для браузера: NoCoin, AntiMiner, MineControl, MineBlock.
5. Отредактировать файл hosts, лежащий по адресу: C:WindowsSystem32driversetc 
В конец файла нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:
0.0.0.0 azvjudwr.info
0.0.0.0 cnhv.co
0.0.0.0 gus.host
0.0.0.0 jroqvbvw.info
0.0.0.0 jsecoin.com
0.0.0.0 jyhfuqoh.info
0.0.0.0 kdowqlpt.info
0.0.0.0 listat.biz
0.0.0.0 lmodr.biz
0.0.0.0 mataharirama.xyz
0.0.0.0 minecrunch.co
0.0.0.0 minemytraffic.com
0.0.0.0 miner.pr0gramm.com
0.0.0.0 reasedoper.pw
0.0.0.0 xbasfbno.info

d187d182d0be d0b4d0b5d0bbd0b0d182d18c d0b5d181d0bbd0b8 d0bdd0b0 d0bad0bed0bcd0bfd18cd18ed182d0b5d180d0b5 d0b2d0b8d180d183d181 d0bcd0b0 65d309487afd2

6. Установить программу для мониторинга нагрузки на компоненты ПК. Например, MSI Afterburner отлично справляется с данной задачей. О том, как это сделать читайте отдельную статью. 
7. Если вы пользуетесь антивирусом, то регулярно обновляйте базы.
На этом список рекомендаций заканчивается. Будьте бдительны и следите за состоянием вашего компьютера, ведь нет лучше защиты, чем продвинутый пользователь у руля! На сегодня это все, до скорых встреч!
 
Статьи, близкие по теме:
  1. Google Chrome сильно грузит процессор: избавляемся от майнера
  2. Что такое — вирус шифровальщик
tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку

Выделите и нажмите Ctrl+Enter

Безопасность, Интернет
если на компьютере вирус-майнер, Что делать