DataLife Engine / Что делать, если на компьютере вирус-майнер

Что делать, если на компьютере вирус-майнер



Всем привет! Каждый активный пользователь ПК, который проводит много времени на различных интернет ресурсах рано или поздно задумывается о кибербезопасности своей операционной системы. Но далеко не все интернет серферы способны обеспечить свой компьютер необходимой защитой и надлежащим уходом. Для того, чтобы не стать жертвой вредоносного ПО, необходимо знать в каком направлении развиваются вирусы и как с ними бороться, ведь вероятность подхватить в сети новое детище хакеров, крайне высока. И далеко не факт, что антивирус спасет вас в такой ситуации. Самыми активными вредоносами в последнее время стали так называемые вирусы-майнеры, о которых мы с вами сегодня и поговорим.


Что делать, если на компьютере вирус-майнер


Итак, что же такой вирус-майнер? Это вид вредоносного ПО, которое использует ресурсы зараженного компьютера (в основном видеокарту и процессор) для добычи различной криптовалюты. Чаще всего майнят Monero (XMR) и Zcash (ZEC), остальные анонимные виды валют используются реже. На данный момент в природе встречается два вида вирусов-майнеров.

1. Классические
Проникают на компьютер пользователя классическими способами, скрытно запускают процесс-майнер, маскируют его и указывают интернет-кошелек злоумышленника. По большому счету это самый обычный троян, только предназначение у него немного другое.

2. Браузерные
Бывает, заходишь на сайт, и вся система начинает жутко тормозить. При чём нехватка оперативной памяти зачастую здесь ни при чём. Если заглянуть в диспетчер задач, то можно увидеть стопроцентную загрузку системы браузером. Но как такое возможно, спросите вы? Это как раз дело рук браузерного майнера, который работает благодаря специальным скриптам на сайте. Таким хитрым способом не побрезговала даже знаменитая пиратская бухта:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/


В чем опасность скрытого майнера?




Во-первых, из-за того, что некоторые компоненты вашего компьютера нагружаются на полную катушку, срок их эксплуатации значительно снижается. И хоть разработчики процессоров и видеокарт дают нам многолетнюю гарантию, я бы не стал надеяться, что любая железка способна проработать весь гарантийный срок на пределе своей мощности. Да и кому захочется, потом возиться с сервисными центрами? Более того, наибольшую опасность стабильная пиковая нагрузка представляет не для графического чипа видеокарты или кристалла центрального процессора, как вы могли подумать, а для системы охлаждения, ведь гарантия на нее, как правило, относительно небольшая из-за высокого уровня уязвимости перед износом. 

Во-вторых, что наиболее важно – ограниченная производительность всей системы. В подавляющем большинстве использовать ресурсы ПК для собственных нужд не удастся все из-за той же высокой нагрузки компонентов с помощью майнера. Однако это еще полбеды. Некоторые, особенно продвинутые версии скрытых майнеров способны анализировать запущенные в винде процессы и включаться только тогда, когда система находится в простое. Либо же запускаться, используя только определенное количество ресурсов. Например, когда вы просто сидите в браузере, вы по большому счету практически не нагружаете свою систему, разве что оперативную память, до которой майнеру и так нет никакого дела. В это время троян запускает скрытый майнер, который задействует 80% мощности вашего процессора для добычи криптовалюты, оставляя вам лишь 20%, которых в условиях серфинга будет вполне достаточно. Делается это для того, чтобы неопытный пользователь не смог заметить вредоноса сразу, тем самым оставляя паразита у себя на ПК как можно дольше. 

В-третьих, создание комплексных вирусов никто не отменял. Ничто не мешает злоумышленникам создавать две заразы в одном флаконе. Так, например, помимо скрытой криптодобычи, вы можете потерять конфеденциальную информацию, хранящуюся на ПК.

Как определить, что на компьютере вирус-майнер?


1. Самый очевидный признак – это медленная работа операционной системы. Однако, как я уже написал выше, некоторые хорошо замаскированные и продвинутые черви не выдают себя по данному критерию.

2. Дублированные системные процессы. В подавляющем большинстве подобные вирусы маскируются под стандартные системные службы и процессы. Однако самые простые и наглые версии вредоносов даже не маскируются и используют самые очевидные имена по типу: xmrig, xmr, systemminer и т.д. Вот список самых популярных используемых имен.
                      Silence                               svhosts                               winlogan
                      Carbon                              system64                               winlogo
                      Xmrrig32                            systemiissec                               logon
                 nscpucnminer64                              taskhost                               win1nit
              mrservicehost service                             vrmserver 
                    svchosts3                               vshell 
                     wininits                               sql31                               win1ogin
                     winlnlts                              taskhots                               win1ogins
                     taskngr                              svchostx                               ccsvchst
                     tasksvr
                               xmr86                           nscpucnminer64
                      mscl                               xmrig                           update_windows
                   cpuminer                               xmr 
3. Высокий нагрев. Из-за того, что железо нагружено на 100%, его тепловыделение соответственно повышается. Это, наверное, самый очевидный признак, который является ахиллесовой пятой новой заразы. Ведь если вы просто сидите в браузере, а из корпуса валит горячий, как из трубы паровоза воздух, то не нужно быть Шерлоком Холмсом чтобы заподозрить что-то неладное. Особенно легко выявить скрытый майнер на ноутбуке, когда клавиатура, на которой вы держите руки, начинает ощутимо нагреваться, ведь буквально в паре сантиметров под ней находятся все внутренности вашей раскладушки.

4. Автоматическое закрытие уже открытых приложений. Как я уже писал выше, в природе вирусов-майнеров встречаются продвинутые версии, которые способны активироваться не на полную мощность, чтобы не "спалиться”. Так вот, как оказалось, это далеко не единственный изощренный вид подобной заразы. Встречаются такие модификации, которые даже способны закрывать антивирусные утилиты. Безусловно, такие трюки прокатывают только с не самыми сильными представителями антивирусной защиты, но все же они есть. Так же некоторые майнеры умеют закрывать приложения, через которые проходит большое количество трафика. Например, загрузка файлов из интернета с помощью торрента или браузера. Да, друзья, современные компьютерные сорняки очень сильно эволюционировали и приспособились к окружающей среде, поэтому нужно держать ухо востро. 

P.S. В марте 2018 года был обнаружен вирус-майнер с функцией Kill-list, который способен даже устранять ему подобных конкурентов. При проникновении на компьютер жертвы, он так же, как и остальные умеет анализировать запущенные в операционной системе процессы, ничего сверхъестественного. Однако дальше начинается самое интересное. При обнаружении замаскированных процессов, которые уже направлены на скрытый майнинг, данный червь принудительно их блокирует и сам захватывает все ресурсы. То есть один паразит уничтожает другого паразита, за право быть единственной заразой в теле носителя. Забавно, не правда ли?
https://www.bleepingcomputer.com/news/security/coinminer-comes-with-a-process-kill-list-to-keep-competitors-at-bay/



Сколько зарабатывают создатели скрытых майнеров?


Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.
Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.
А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.

Как защититься от вируса-майнера?


Большинство из вас может подумать, что это все мелочи, ведь я владею платной версией антивируса и мне не одна зараза не страшна. К сожалению, спешу вас огорчить, но это не так. Часто утилиты, предназначенные для защиты пользователя от вредоносного ПО, зачастую бесполезны перед новыми, ранее неизведанными видами компьютерной заразы. И данный случай как раз является подтверждением этих слов. Если зайти на официальный сайт одного из самых популярных антивирусов – dr.Web, то вы увидите, сколько новых майнеров обнаруживается каждый день. Думаю, и не стоит говорить о том, что буквально пару дней назад система защиты была полностью бессильна перед всеми обнаруженными троянами.

К примеру, в период с 1 по 14 мая было выпущено 1179 обновлений базы сигнатур антивируса, которые направлены на борьбу с майнерами. https://updates.drweb.com
Более того, лазить по сомнительным сайтам для того, чтобы подцепить подобного рода заразу далеко не обязательно. Так например десятки тысяч пользователей были заражены через официальный сайт ВЦИОМ, который был взломан в 2015 году.
https://news.drweb.ru/show/?c=5&i=9497&lng=ru

Именно поэтому я рекомендую вам сильно не надеяться на вашу антивирусную защиту и совершить несколько простых профилактических действий для того чтобы минимизировать риск заражения новыми червями.

1. Перейти на сайт https://cryptojackingtest.com, который показывает, защищен ли ваш браузер от скрытого майнинга. Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен. Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.

2. Использовать браузеры, которые имеют встроенную защиту от майнинга, к примеру: Opera и Yandex.Browser, Chrome.
3. Самый радикальный метод, однако, один из самых эффективных – отключение jаvascript в браузере. Вводим в адресную строку следующее:
 chrome://settings/content >Запретить jаvascript на всех сайтах. Здесь же можете настроить исключения, если имеются подозрения на какой-то конкретный сайт. Имейте ввиду, что большинство современных сайтов для корректной работы требуют данный язык сценариев.

4. Установить одно из предложенных расширений для браузера: NoCoin, AntiMiner, MineControl, MineBlock.
5. Отредактировать файл hosts, лежащий по адресу: C:\Windows\System32\drivers\etc\ 
В конец файла нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:

0.0.0.0 azvjudwr.info
0.0.0.0 cnhv.co
0.0.0.0 gus.host
0.0.0.0 jroqvbvw.info
0.0.0.0 jsecoin.com
0.0.0.0 jyhfuqoh.info
0.0.0.0 kdowqlpt.info
0.0.0.0 listat.biz
0.0.0.0 lmodr.biz
0.0.0.0 mataharirama.xyz
0.0.0.0 minecrunch.co
0.0.0.0 minemytraffic.com
0.0.0.0 miner.pr0gramm.com
0.0.0.0 reasedoper.pw
0.0.0.0 xbasfbno.info

6. Установить программу для мониторинга нагрузки на компоненты ПК. Например, MSI Afterburner отлично справляется с данной задачей. О том, как это сделать читайте отдельную статью. 
7. Если вы пользуетесь антивирусом, то регулярно обновляйте базы.

На этом список рекомендаций заканчивается. Будьте бдительны и следите за состоянием вашего компьютера, ведь нет лучше защиты, чем продвинутый пользователь у руля! На сегодня это все, до скорых встреч!
 
Статьи, близкие по теме:
  1. Google Chrome сильно грузит процессор: избавляемся от майнера
  2. Что такое - вирус шифровальщик
21-05-2018
Вернуться назад