Как скрыть майнинг биткоинов

Что такое скрытый майнер, чем он опасен и как от него избавиться

Добыча криптовалют ведется как легальным, так и не вполне законным способом. Сегодня существуют так называемые скрытые майнеры, которые майнят криптовалюту посредством чужих вычислительных мощностей.

При этом, хозяин ПК или другого устройства может даже и не знать о том, что у него установлено такое вредоносное ПО.

В статье рассказывается о том, что такое скрытый майнинг, какие риски он несет для владельцев компьютеров и как обнаружить вредоносные программы и избавиться от них.

Содержание:

Что такое теневой майнинг

Суть этого процесса заключается в добыче криптовалюты с чужого компьютера сторонним лицом с использованием специального программного обеспечения.

Для того, чтобы начать добывать криптовалюту с чужого компьютера, злоумышленнику достаточно внедрить туда специальной ПО.

Кстати, его функционал редко ограничивается одним лишь майнингом.

Чаще всего, присутствуют и сопутствующие возможности по краже важной информации, получения доступа к электронным кошелькам и так далее.

Каким образом скрытые майнеры обычно попадают на ПК?

В первую очередь, через скачанные из сети Интернет приложения или при просмотре определенных сайтов.

Чаще всего, речь идет о скачивании «варезного» программного обеспечения, с которым, в качестве «нагрузки» идет и вирусный файл.

Обычно он самораспаковывается и запускается без ведома пользователя.

Поэтому первой мерой предосторожности является установка современного антивируса с последними обновлениями, который обычно блокирует скачивание вредоносных файлов. Правда, как показывает практика, этой меры бывает недостаточно. Но с ней, по крайней мере, шансы на внедрение вредоносных файлов снижаются.

Еще один вариант – установка программы напрямую. Сделать это намного сложнее, так как необходимо получить не виртуальный, а реальный доступ к машине.

Наконец, еще один вариант – получение удаленного доступа к ПК. Здесь также есть свои определенные сложности.

Как осуществляется скрытый майнинг

Для начала, злоумышленник подключается к одному из пулов для майнинга, так как добывать криптовалюту с помощью одного ПК самостоятельно не имеет смысла.

Хотя некоторым удается создать свою собственную сеть, установив ПО на множество машин одновременно.

В этом случае, шансы на успех значительно повышаются.

Дело в том, что такая программа, как уже отмечалось выше, попадает на ПК обычно вместе с другими файлами (к примеру, скачанная игра, фильм, музыка или документы).

Установка производится в тихом режиме без участия пользователя.

А если это «взломанная» (активированная) программа, то чаще всего пользователь вообще отключает антивирус, чтобы тот пропустил установку, тем самым самостоятельно открывает полный доступ к своему компьютеру, пусть даже временно.

Какие опасности таит в себе подобное ПО

Основные риски, связанные с работой таких программ, относятся к группе технических. Дело в том, что обычный вирус может наносить вред операционной системе.

Что касается скрытого майнера, помимо всего перечисленного выше, он еще и существенно нагружает систему. Особенно видеокарту.

В результате, существуют риски сокращения ресурса этой платы. Помимо видеокарты, скрытые майнеры могут нанести вред и другим комплектующим.

Самая большая проблема заключается в том, что современные антивирусники, как уже отмечалось выше, в большинстве своем не способны распознать подобное программное обеспечение.

Соответственно, пользователю приходится искать его самостоятельно. Для этого есть определенные рекомендации.

Основные способы обнаружения ботнетов (скрытый майнер)

С учетом того, что антивирусное программное обеспечение оказывается бессильным в этом вопросе, пользователи должны определять наличие вредоносных приложений самостоятельно.

Сделать это не так просто, как может показаться на первый взгляд, но реально.

После этого, проводится углубленная проверка с повышением нагрузки. Здесь уже может потребоваться игра с высокими системными требованиями.

Затем можно запустить AIDA64 проверить нагрузку на видеокарту и ЦП до и после закрытия фоновых программ.

Наконец, сравниваются все показатели и делаются соответствующие выводы.

Остановимся на некоторых моментах подробнее. Одним из самых простых способов для пользователей, обнаруживших вероятность присутствия скрытого майнера является переустановка системы с форматированием диска С.

Однако такой вариант подходит далеко не всем. На этом диске могут храниться другие важные файлы, которые будут утеряны при форматировании.

Хотя такой вариант является самым надежным и простым. Сегодня установить тот же Windows может даже начинающий пользователь, следуя простым инструкциям инсталлятора.

Рассмотрим подробнее работу с приложением AIDA64.

После запуска приложения, необходимо войти в OSD и здесь отметить такие пункты, как показатели температуры видеокарты и процессора, уровень их загрузки и занятость оперативной памяти.

После применения выбранных параметров на рабочем столе появится виджет.

Также, для определения того, что нагружает видеокарту, можно пользоваться ProcessExplorer. Причем здесь не нужны никакие дополнительные настройки.

Программа работает сразу же после запуска.

Еще один метод – проверка диска С на наличие слишком больших папок. Дело в том, что именно в них может скрываться майнер. Причем вес таких папок может достигать нескольких гигабайтов. Это один из самых простых способов обнаружения такого рода программного обеспечения.

Иногда можно встретить рекомендации по обнаружению такой скрытой программы через диспетчер задач.

Однако современное вредоносное ПО для скрытого майнинга настраивается таким образом, что следы присутствия скрываются.

Маскироваться программное обеспечение может под обычные программы, используемые на ПК. Поэтому найти его бывает не так просто.

Основные проблемы при обнаружении такого ПО

Одна из проблем заключается в том, что скрытые майнеры могут встраиваться не только на сайты с пиратским программным обеспечением, но и в рекламу на YouTube.

Впервые об этой проблеме заговорил специалист по кибербезопасности Трой Марш. Многие пользователи жаловались на то, что специальный скрипт использовал до 80% мощностей их ПК для добычи криптовалюты Монеро.

Еще один пример – сайты создания фавиконок. Эти небольшие изображения используются вебмастерами для уникализации во вкладке браузера, чтобы пользователю было проще перемещаться между закладками.

Основная проблема заключается в том, что подобные ресурсы пользуются доверием пользователей и последние вряд ли заподозрят, что подозрительное программное обеспечение могло прийти именно оттуда.

Удаление

Для удаления недостаточно просто обнаружить файл или папку подозрительно большого размера.

Поэтому лучше установить антивирусные программы (некоторые специалисты рекомендуют именно portable версии, так как вирусы могут блокировать установку антивирусного ПО, что часто встречается).

Проводить процедуру чистки лучше всего в безопасном режиме. В этом случае шансы на то, что вредоносное ПО сможет заблокировать работу антивируса минимальны.

На этом этапе важно удалить не только и не столько скрытый майнер, сколько программу, которая его устанавливала. Потому что в случае уничтожения майнера, это же приложение сможет его восстановить через какое-то время.

Основная задача на этом этапе – не только удалить причины и следствия, но и убедиться в том, что речь идет именно о том вирусе, который устанавливал майнер.

Дело в том, что современные хакеры прекрасно осведомлены о том, какими именно методами пользователи будут пытаться чистить компьютер.

Соответственно, они стремятся всячески скрыть следы майнеров и установщика.

Возможна ситуация, когда не помогает ни одна мера. Антивирус не может определить вредоносную программу.

Тогда лучше обращаться к специалистам, либо просто переустановить систему, о чем уже говорилось выше. В случае форматирования диска С, вредоносное ПО вместе с майнером будет удалено.

В данном случае важно убедиться в том, что на диске С не остается никаких важных программ или документов. Потому что в процессе форматирования все они будут удалены.

Читайте также:

Профилактические меры

Попадание вредоносного ПО со скрытым майнером – это первый сигнал к тому, что пользователь должен пересмотреть сайты, которые он посещает.

Как уже отмечалось выше, чаще всего вирусы приходят именно в процессе скачивания какого-то пиратского контента (торренты, шары и так далее), а также при посещении сомнительных сайтов (онлайн-фильмы, порно, игровые проекты).

Последние, в свою очередь, переходят по ссылке и получают вирус на свой ПК.

В качестве меры для профилактики можно использовать антивирусное ПО. Некоторые скрытые майнеры запускаются именно через стандартные вирусы.

Соответственно, такое ПО сможет их обнаружить и обезвредить иногда еще на стадии попытки записи на ПК.

Что касается загрузки контента, лучше отказаться от нее вообще. Особенно если установлен биткоин кошелек. В случае попадания вируса, данные от него, в том числе приватные ключи в процессе транзакций могут попасть в руки злоумышленнику.

Вывод

Это еще и угроза для операционной системы, всей важной информации, которая хранится на компьютере, а также отдельных комплектующих, ресурс которых может существенно сократиться ввиду работы на предельных нагрузках.

В этой связи, необходим постоянный мониторинг, своевременное обнаружение вредоносного ПО и удаление теневого майнера.

Источник

Скрытый майнинг. Найти и обезвредить

Удивительно, но факт: криптовалюты, используемые для майнинга на персональном компьютере , в особенности Monero, чаще всего применяются в скрытом майнинге на CPU. Только за последние шесть месяцев доход от скрытого майнинга составил около $7 млн, и от этого технологического новшества требуется защита.

Виды скрытого майнинга криптовалют

Основой для вирусных майнеров является технология ботнета. Ботнет — это сеть ботов, являющаяся самым популярным инструментом современных хакеров. Суть в том, что злоумышленники распространяют майнер-бота, а затем управляют им удаленно. И способов заражения вирус-майнером существует несколько видов.

1. Недочеты операционной системы.

Метод заключается в уязвимости протокола Windows. Слабое место проявилось у серверов, отключивших обновление системы. Они не загружали вирус сами, он был залит через уязвимость Windows — эксплойт EternalBlue. Ботнет Smominru установил программу для добычи Monero на 500 тыс. серверов. Пострадали в основном компьютеры России, Индии и Тайваня, а прибыль от скрытого майнинга Монеро составила более $3 млн.

2. «Добровольная» установка дроппера.

Дроппер — это программа, которая скрытно устанавливает вирусные программы. Самый обычный пример — скачивание бесплатного инсталляционного файла популярной игры. Игра действительно устанавливается и запускается, но вот после запуска загружается еще и майнер с дополнительными инструментами, обеспечивающий маскировку вируса под системный процесс и автозапуск.

Кстати, распространение скрытого майнера часто происходит через установочные пакеты игр. Аудитория, которая скачивает игры, зачастую обладает мощными ПК. К тому же геймеры, не задумываясь, открывают для установщика права администратора и отключают антивирусные программы для улучшения производительности игры.

Еще в 2014 году был известен случай добычи биткойна через установщик игры Watch Dogs. Наиболее часто в качестве дроппера используется программа MinerGate. Скрытый майнинг minergate применялся в случае с Watch Dogs и остается одним из наиболее удобных программ для вирусного майнинга.

Сейчас доход от вирусных добытчиков получают не только хакеры. Купить ботнет для майнинга не так уж сложно. Для этого даже не требуется посещать даркнет. Всего за 500 руб. предлагаются готовые решения для скрытого майнинга под ключ, в арсенал которых входят:

• вирус;
• бесплатная склейка майнера с любой программой;
• инструкция по накрутке скачиваний и установок программы;
• замена криптовалюты по ходу процесса.

Тихий майнер представляет собой архив, который распаковывается во временную директорию. Мануалы о том, как сделать скрытый майнер minergate, появлялись в сети еще в 2014 году. Представьте, сколько желающих заработать с минимальными вложениями нашлось за четыре года.

3. Скрытый веб-майнинг (криптоджекинг).

Это один из тех способов, когда злоумышленника можно выявить. Им является администратор сайта. Естественно, хакеры могут «завладеть» управлением сайта и встроить майнинг-скрипты. В любом случае за функционирование сайта всегда отвечает администратор.

Веб-майнеры — это программы, которые работают при открытом браузере или в фоновом режиме. Запускается такая программа при открытии сайта через команду скрипта, написанного на языке JavaScript. Также скрытый веб-майнинг криптовалют может быть запущен через расширения для браузера.

Примеров довольно много: торрент-трекер PirateBay, правительственные сайты США и Великобритании, расширение SafeBrowse для гугл-хрома, stealth mining в интернет-магазинах, популярных CMS, реклама YouTube. Наиболее часто зараженными являются сайты для взрослых (более 50% случаев).

Самым популярным является скрипт Coinhive для майнинга Monero — он стал синонимом принудительного веб-майнинга.

Профилактика и защита от скрытого майнинга криптовалют на ПК

Первым делом, конечно же, можно установить антивирус. Совершенно необязательно для этого скачивать громоздкие программы, которые и сами способны тормозить систему. Достаточно наличия главного инструмента, которого боится большинство вредоносных программ, — песочницы. Естественно, песочница не всегда отсеивает постороннее ПО. Необходимой профилактикой вирусов является регулярная проверка системы специальными программами, одной из которых является утилита Win Patrol Monitor. Она не позволяет вносить изменения в реестр без ведома владельца ПК. Время от времени можно проверять планировщик задач — он используется для запуска нежелательных процессов.

Как обнаружить вирус-майнер

Основным признаком вирус-майнинга является торможение и перегрузка системы. Как уже отмечалось, майнеры маскируются под системные процессы. Также они могут влиять на работу антивирусов, перезагружать компьютер при попытке нахождения вируса, дублировать процессы запуска ПО. Но не стоит забывать, что подозрительное торможение системы может быть вызвано обычным трояном. Чтобы узнать, майнит ли компьютер, необходимо применить несколько утилит:

• Установить утилиту AIDA 64.
• Проверить загруженность системы с помощью AIDA64.
• Если при полном отключении всех программ нагрузка остается, действовать дальше.
• Установить утилиту An Vir Task Manager, которая отображает каждый процесс, работающий на устройстве. Проверить все запущенные задачи на сайте Virus Total.
• Если вирус найден, необходимо скопировать адрес его местоположения.
• Установить утилиту AVZ и удалить вирус-майнер с ПК.

Если все это не помогло, необходимо подключить программу RKill. Она удалит все процессы, мешающие корректной работе утилит и антивирусов. Затем снова необходимо запустить AVZ и просканировать систему.

Источник