» Что делать если на компьютере вирус-майнер
Информация к новости
  • Просмотров: 3 343
  • Автор: admin
  • Дата: 21-05-2018
21-05-2018

Что делать если на компьютере вирус-майнер

Категория: ---

 

Всем привет! Каждый активный пользователь ПК, который проводит много времени на различных интернет ресурсах рано или поздно задумывается о кибербезопасности своей операционной системы. Но далеко не все интернет серферы способны обеспечить свой компьютер необходимой защитой и надлежащим уходом. Для того, чтобы не стать жертвой вредоносного ПО, необходимо знать в каком направлении развиваются вирусы и как с ними бороться, ведь вероятность подхватить в сети новое детище хакеров, крайне высока. И далеко не факт, что антивирус спасет вас в такой ситуации. Самыми активными вредоносами в последнее время стали так называемые вирусы-майнеры, о которых мы с вами сегодня и поговорим.


Что делать если на компьютере вирус-майнер


Итак, что же такой вирус-майнер? Это вид вредоносного ПО, которое использует ресурсы зараженного компьютера (в основном видеокарту и процессор) для добычи различной криптовалюты. Чаще всего майнят Monero (XMR) и Zcash (ZEC), остальные анонимные виды валют используются реже. На данный момент в природе встречается два вида вирусов-майнеров.

1. Классические
Проникают на компьютер пользователя классическими способами, скрытно запускают процесс-майнер, маскируют его и указывают интернет-кошелек злоумышленника. По большому счету это самый обычный троян, только предназначение у него немного другое.

2. Браузерные
Бывает, заходишь на сайт, и вся система начинает жутко тормозить. При чём нехватка оперативной памяти зачастую здесь ни при чём. Если заглянуть в диспетчер задач, то можно увидеть стопроцентную загрузку системы браузером. Но как такое возможно, спросите вы? Это как раз дело рук браузерного майнера, который работает благодаря специальным скриптам на сайте. Таким хитрым способом не побрезговала даже знаменитая пиратская бухта:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

Что делать если на компьютере вирус-майнер


В чем опасность скрытого майнера?


Во-первых, из-за того, что некоторые компоненты вашего компьютера нагружаются на полную катушку, срок их эксплуатации значительно снижается. И хоть разработчики процессоров и видеокарт дают нам многолетнюю гарантию, я бы не стал надеяться, что любая железка способна проработать весь гарантийный срок на пределе своей мощности. Да и кому захочется, потом возиться с сервисными центрами? Более того, наибольшую опасность стабильная пиковая нагрузка представляет не для графического чипа видеокарты или кристалла центрального процессора, как вы могли подумать, а для системы охлаждения, ведь гарантия на нее, как правило, относительно небольшая из-за высокого уровня уязвимости перед износом. 

Во-вторых, что наиболее важно – ограниченная производительность всей системы. В подавляющем большинстве использовать ресурсы ПК для собственных нужд не удастся все из-за той же высокой нагрузки компонентов с помощью майнера. Однако это еще полбеды. Некоторые, особенно продвинутые версии скрытых майнеров способны анализировать запущенные в винде процессы и включаться только тогда, когда система находится в простое. Либо же запускаться, используя только определенное количество ресурсов. Например, когда вы просто сидите в браузере, вы по большому счету практически не нагружаете свою систему, разве что оперативную память, до которой майнеру и так нет никакого дела. В это время троян запускает скрытый майнер, который задействует 80% мощности вашего процессора для добычи криптовалюты, оставляя вам лишь 20%, которых в условиях серфинга будет вполне достаточно. Делается это для того, чтобы неопытный пользователь не смог заметить вредоноса сразу, тем самым оставляя паразита у себя на ПК как можно дольше. 

В-третьих, создание комплексных вирусов никто не отменял. Ничто не мешает злоумышленникам создавать две заразы в одном флаконе. Так, например, помимо скрытой криптодобычи, вы можете потерять конфеденциальную информацию, хранящуюся на ПК.

Как определить, что на компьютере вирус-майнер?


1. Самый очевидный признак – это медленная работа операционной системы. Однако, как я уже написал выше, некоторые хорошо замаскированные и продвинутые черви не выдают себя по данному критерию.

2. Дублированные системные процессы. В подавляющем большинстве подобные вирусы маскируются под стандартные системные службы и процессы. Однако самые простые и наглые версии вредоносов даже не маскируются и используют самые очевидные имена по типу: xmrig, xmr, systemminer и т.д. Вот список самых популярных используемых имен.
                      Silence                                svhosts                                winlogan
                      Carbon                               system64                                winlogo
                      Xmrrig32                             systemiissec                                logon
                 nscpucnminer64                               taskhost                                win1nit
              mrservicehost service                              vrmserver  
                    svchosts3                                vshell  
                     wininits                                sql31                                win1ogin
                     winlnlts                               taskhots                                win1ogins
                     taskngr                               svchostx                                ccsvchst
                     tasksvr
                               xmr86                            nscpucnminer64
                      mscl                                xmrig                            update_windows
                   cpuminer                                xmr  
3. Высокий нагрев. Из-за того, что железо нагружено на 100%, его тепловыделение соответственно повышается. Это, наверное, самый очевидный признак, который является ахиллесовой пятой новой заразы. Ведь если вы просто сидите в браузере, а из корпуса валит горячий, как из трубы паровоза воздух, то не нужно быть Шерлоком Холмсом чтобы заподозрить что-то неладное. Особенно легко выявить скрытый майнер на ноутбуке, когда клавиатура, на которой вы держите руки, начинает ощутимо нагреваться, ведь буквально в паре сантиметров под ней находятся все внутренности вашей раскладушки.

4. Автоматическое закрытие уже открытых приложений. Как я уже писал выше, в природе вирусов-майнеров встречаются продвинутые версии, которые способны активироваться не на полную мощность, чтобы не "спалиться”. Так вот, как оказалось, это далеко не единственный изощренный вид подобной заразы. Встречаются такие модификации, которые даже способны закрывать антивирусные утилиты. Безусловно, такие трюки прокатывают только с не самыми сильными представителями антивирусной защиты, но все же они есть. Так же некоторые майнеры умеют закрывать приложения, через которые проходит большое количество трафика. Например, загрузка файлов из интернета с помощью торрента или браузера. Да, друзья, современные компьютерные сорняки очень сильно эволюционировали и приспособились к окружающей среде, поэтому нужно держать ухо востро. 

P.S. В марте 2018 года был обнаружен вирус-майнер с функцией Kill-list, который способен даже устранять ему подобных конкурентов. При проникновении на компьютер жертвы, он так же, как и остальные умеет анализировать запущенные в операционной системе процессы, ничего сверхъестественного. Однако дальше начинается самое интересное. При обнаружении замаскированных процессов, которые уже направлены на скрытый майнинг, данный червь принудительно их блокирует и сам захватывает все ресурсы. То есть один паразит уничтожает другого паразита, за право быть единственной заразой в теле носителя. Забавно, не правда ли?
https://www.bleepingcomputer.com/news/security/coinminer-comes-with-a-process-kill-list-to-keep-competitors-at-bay/

Сколько зарабатывают создатели скрытых майнеров?


Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.
Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.
А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.

Как защититься от вируса-майнера?


Большинство из вас может подумать, что это все мелочи, ведь я владею платной версией антивируса и мне не одна зараза не страшна. К сожалению, спешу вас огорчить, но это не так. Часто утилиты, предназначенные для защиты пользователя от вредоносного ПО, зачастую бесполезны перед новыми, ранее неизведанными видами компьютерной заразы. И данный случай как раз является подтверждением этих слов. Если зайти на официальный сайт одного из самых популярных антивирусов – dr.Web, то вы увидите, сколько новых майнеров обнаруживается каждый день. Думаю, и не стоит говорить о том, что буквально пару дней назад система защиты была полностью бессильна перед всеми обнаруженными троянами.

Что делать если на компьютере вирус-майнер

К примеру, в период с 1 по 14 мая было выпущено 1179 обновлений базы сигнатур антивируса, которые направлены на борьбу с майнерами. https://updates.drweb.com
Более того, лазить по сомнительным сайтам для того, чтобы подцепить подобного рода заразу далеко не обязательно. Так например десятки тысяч пользователей были заражены через официальный сайт ВЦИОМ, который был взломан в 2015 году.
https://news.drweb.ru/show/?c=5&i=9497&lng=ru

Именно поэтому я рекомендую вам сильно не надеяться на вашу антивирусную защиту и совершить несколько простых профилактических действий для того чтобы минимизировать риск заражения новыми червями.

1. Перейти на сайт https://cryptojackingtest.com, который показывает, защищен ли ваш браузер от скрытого майнинга. Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен. Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.

2. Использовать браузеры, которые имеют встроенную защиту от майнинга, к примеру: Opera и Yandex.Browser, Chrome.
3. Самый радикальный метод, однако, один из самых эффективных – отключение javascript в браузере. Вводим в адресную строку следующее:
chrome://settings/content > Запретить javascript на всех сайтах. Здесь же можете настроить исключения, если имеются подозрения на какой-то конкретный сайт. Имейте ввиду, что большинство современных сайтов для корректной работы требуют данный язык сценариев.

4. Установить одно из предложенных расширений для браузера: NoCoin, AntiMiner, MineControl, MineBlock.
5. Отредактировать файл hosts, лежащий по адресу: C:\Windows\System32\drivers\etc\ 
В конец файла нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:

0.0.0.0 azvjudwr.info
0.0.0.0 cnhv.co
0.0.0.0 gus.host
0.0.0.0 jroqvbvw.info
0.0.0.0 jsecoin.com
0.0.0.0 jyhfuqoh.info
0.0.0.0 kdowqlpt.info
0.0.0.0 listat.biz
0.0.0.0 lmodr.biz
0.0.0.0 mataharirama.xyz
0.0.0.0 minecrunch.co
0.0.0.0 minemytraffic.com
0.0.0.0 miner.pr0gramm.com
0.0.0.0 reasedoper.pw
0.0.0.0 xbasfbno.info

6. Установить программу для мониторинга нагрузки на компоненты ПК. Например, MSI Afterburner отлично справляется с данной задачей. О том, как это сделать читайте отдельную статью. 
7. Если вы пользуетесь антивирусом, то регулярно обновляйте базы.

На этом список рекомендаций заканчивается. Будьте бдительны и следите за состоянием вашего компьютера, ведь нет лучше защиты, чем продвинутый пользователь у руля! На сегодня это все, до скорых встреч!
 
Статья, близкая по теме: Что такое - вирус шифровальщик
Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!
<
АндрейП

21 мая 2018 12:46

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 11.07.2016
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 20

Добрый день, Админ! В статье по тексту  "Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:", а далее

 0.0.0 azvjudwr.info
0.0.0 cnhv.co
0.0.0 gus.host
0.0.0 jroqvbvw.info ...

  Вопрос: сколько ноликов 3 или 4 в "0.0.0 cnhv.co" ??? или это не принципиально важно?

<
Cingular

22 мая 2018 00:09

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Можете рассказать о программе Universal Virus Sniffer (uVS). Говорят она довольно сложна для использования, но находит и вирусы и любые майнеры.

<
admin

22 мая 2018 07:30

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1465
  • Комментариев: 35485

Вот эта программа намного лучше и она точно находит любые майнеры

http://remontcompa.ru/1128-zemana-antimalware-otlichnoe-reshenie-dlya-zaschity-
vashego-kompyutera-ot-vseh-tipov-vredonosnyh-programm.html

 

Добрый день, Админ! В статье по тексту  "Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:", а далее

 0.0.0 azvjudwr.info

 

Добавил в статью скриншот.

<
andrei

24 мая 2018 00:22

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Пару месецев назад обнаружил у себя майнер работал об на 25% мощности проца и как только я открывал диспетчер задач он сам вырубался пришлось ставить утилиту для мониторинга процессов procexp и в ней показало, что запушщенное приложение работает через консоль. Три антивируса ничего не видели, по умолчанию был касперский, его снес поставил нод32, результата 0 от обоих, потом был аваст, он тоже ничего не нашел в итоге поставил авг и о чудо он обнаружил майнер.

<
Михаил73

24 мая 2018 07:55

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

в итоге поставил авг и о чудо он обнаружил майнер

 

ладно вам привирать, AVG очень посредственный антивирус. Что за майнер вы нашли с помощью него? Мож это и не майнер был.

 

У меня ESET NOD32 Smart Security 10, специально его тестировал на заражённом компе, нашёл все вредоносные программы, в том числе два майнера: svhosts и winlogan

 

<
andrei

24 мая 2018 10:18

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

ладно вам привирать, AVG очень посредственный антивирус

 

смымысл мне что либо тут приверирать просто расказал с чем столкнулся и это точно был майнер

а то что вы поимали майнеры

 

в том числе два майнера: svhosts и winlogan

 

с этими именами тоже ровным счетом ничего не говорит это названия стандартных процесов винды и под них может скрыватся что угодно

<
Андрей71

25 мая 2018 08:23

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 22.03.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 23

Я недавно случайно увидил запущенный батник и работающим майнером на терминале КИВИ, так вот почему они так жутко лагают, админ кто обслуживает терминалы потихому запускает майнеры)))))

<
admin

25 мая 2018 08:40

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1465
  • Комментариев: 35485

Всё возможно.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Вопрос:
Сколько будет 2+3=?
Ответ:*
НАВИГАЦИЯ

 

 

 

Архив новостей Июнь 2018 (19)
Май 2018 (35)
Апрель 2018 (32)
Март 2018 (27)
Февраль 2018 (21)
Январь 2018 (27)
^
Копирование материалов сайта разрешается только с гиперссылкой на источник