Вирус майнер биткоин для

Вирус майнер — как обезопасить себя + все способы удаления, если уже подхватили

Криптоотрасль продолжает удивлять своей многогранностью, как в отношение способов получения прибыли, так и ценовыми движениями, не позволяющими грамотно производить аналитику.

Майнинг стал для многих пользователей основным источником дохода, а для кого-то превратился в полноценный бизнес.

Как и в любой отрасли, бизнес не всегда ведется честно, майнинг не стал исключением.

В одном из прошлых материалов мы рассказывали о скрытых майнерах, использующих ресурсы ПК или ноутбука в период, пока посетитель находится на сайте.

Закрытие вкладки сразу же избавляет от всех проблем.

В данном материале поговорим о более вредоносном варианте наживы на чужих вычислительных мощностях, а именно на майнере, встроенном в вирусную программу.

Содержание:

Как происходит вирусный майнинг

В процессе путешествий по сети, пользователь производит некое действие, которое может быть замаскировано под скачивание файла/картинки или под переход по внешней ссылке социальной сети в результате чего на компьютер скачивается вредоносная программа.

Она активируется, автоматически подключается к заданному разработчиком пулу и начинает добычу.

Основными монетами, которые добываются незаконным, так сказать, майнингом являются Monero и ZCash.

Отдельно нужно отметить тот факт, что далеко не все программы ограничиваются только майнингом.

Многим приданы функции поиска и копирования адресов кошельков различных криптосервисов, регистрационных данных бирж, секретных фраз и ключей, хранимых многими здесь же на ПК.

От антивирусов программы маскируются под видом официальных программ майнеров, для которых многие устанавливают исключения в системе защиты.

Самостоятельный поиск через перечень установленных программ или путем изучения содержимого папки “Program Files” также не всегда результативен, поскольку большинство пользователей просто не знают, что нужно искать.

В период активного становления данной отрасли ряд вредоносных программ удавалось вычислить и удалить благодаря тому, что они активизировали все неиспользуемые ресурсы ПК, что нередко приводило к перегревам и просто мешало работать.

Почему так происходит?

Выше упоминалось, что вредоносное ПО подключается к прописанному в нем пулу.

С ростом популярности криптовалют пулы стали активно бороться за клиентов, чтобы минимизировать количество непринятых блоков и увеличить профитность работы всех клиентов и свои комиссионные.

В результате требования к мощностям участников были сведены к минимуму, кроме того, не требовалось хоть каким-то образом подтверждать владение сдаваемыми в работу мощностями, поскольку предоставление личной информации противоречит анонимности и децентрализованности отрасли, как таковой.

Чтобы частично обезопасить пулы от происков мошенников, собственники подняли минимальную выплату добытых монет.

Такой шаг сделал практически бесполезным скрытый майнинг на небольшом количестве ПК, поскольку до вывода прибыли в части случаев дело не доходило.

С другой стороны, такие ограничения были предприняты не всеми ключевыми сервисами, что некоторым образом сконцентрировало злоумышленников, использующих вирус-майнинг на нескольких платформах.

Отдельно нужно сказать и о качественном росте тех, кто не отказался от получения прибыли за чужой счет.

Первым шагом в “выживании” стало снижение объемов используемых ресурсов, чтобы бот проработал дольше, ведь если он не мешает, то и искать его не станут.

Изрядно поумневшие программы скрытого майнинга могут оценивать производительность зараженного ПК в общем, а также процент задействованности.

В ситуации, когда пользователь нагружает оборудование своими задачами майнер отключается. Чтобы не вызывать подозрений, когда нагрузка спадает, работа продолжается.

Одна из антивирусных лабораторий в своем отчете уведомляла клиентов о том, что ряд вредоносных вирус-майнеров определяют активность пользователя за ПК и если оборудование оставлено на ночь включенным, процент используемых мощностей увеличивается до 50%.

Как искать вирус-майнер?

Если в процессе прочтения материала, описываемые ситуации показались знакомыми или в прошлом возникало подозрение, что ноутбук или компьютер загружены свыше того, что делаете вы сами, проведите вивисекцию, следуя ряду указаний:

• Откройте перечень программ, который используется в обычной ситуации и оцените нагрузку через диспетчер задач. В нормальной ситуации ничего не должно бросаться в глаза;
• Проверяем стабильность работы ОС запуском ресурсозатратной игры и/или используем программы оценки производительности системы. При периодической проверке показатели не должны разнится, если таковое происходит, в системе присутствует крот;
• Запустить специализированную программу, например, AIDA 64 проверяющую степень загруженности процессора и видеокарты приложениями, работающими в фоновом режиме.

Лучше всего произвести все процедуры и сравнить их показатели между собой, а также с информацией, полученной при прошлых проверках.

Разница производительности в 5 – 10% прямо говорит, что вирус майнер поселился на ПК и ситуацию необходимо срочно исправлять.

Решением данных ситуация будет установка и запуск программ, отслеживающих все активные процессы, например, AnVir Task Manager.

Она проведет качественный анализ и выдаст рекомендации по перечню работающих приложений которые считает подозрительными, ненужными или откровенно вредоносными и поможет их удалить.

Как избавиться от скрытого майнера?

Провести проверку с целью подтверждения подозрений о присутствии вирус майнера на ПК позволит глубокая проверка хорошим антивирусом.

Однако, таковая позволит только уточнить присутствие и в некоторых случаях укажет на конкретное место размещения.

Выковырять злодея из жесткого диска будет куда проблематичнее, поскольку не мало программ имеют функцию восстановления из *bat файла в случае, если встроенный сканер не находит исполнительный файл.

Согласно статистике, наибольшее количество заражений вирус-майнерами происходит после скачивания пиратского контента с торрент-треккеров.

Если трудности с производительностью возникли внезапно и привлекли Ваше внимание, вспомните, что из последнего было загружено и куда именно.

Важно удалить файлы, из которых установился вирус перед его удалением, чтобы при перезапуске все не вернулось на круги своя.

Слабый вирус-майнер

Поскольку пишут их под заказ, сложность и умение выживать напрямую зависят от цены. Для злоумышленников, не имеющих возможности массово заражать ПК и построить крупную прибыльную бот-сеть покупать дорогие скрипты не удобно, следовательно, они ограничиваются дешевыми и простыми в надежде на то, что “клиенты не заметят проблем”.

Настройки вредоносного ПО содержат и возможность редактирования нагрузки.

Первым делом, после удаления всего подозрительного с жесткого диска открываем диспетчер задач и закрываем все процессы, которые не знаем или которые занимают более 10% мощности.

Обращайте внимание на загруженность CPU (процессор) и GPU (видеокарта) сверх нормы и закрывайте их по очереди.

Не имеющий возможности восстановления или автозапуска после перезагрузки вирус-майнер уничтожен.

Сложные программы скрытого майнинга

К ним относятся версии, умеющие скрывать свое присутствие в системе, отключающиеся пред открытие диспетчера задач или сами его закрывающие.

Некоторые версии даже отслеживают запуск антивируса и удаляют исполнительную часть, восстанавливаясь после перезагрузки.

Несмотря на кажущуюся сложность избавления от проблем, оно возможно, главное четко следовать алгоритму поиска и удаления вирус майнера с ПК и запастись терпением:

• Запустить глубокую проверку антивирусом, обновленным до последней версии;
• Дождаться результата проверки и удалить все, что антивирус считает подозрительным;
• Перезагружаем ПК и входим в меню BIOS, где выбираем загрузку операционной системы с расширенными настройками Advanced Boot Options;
• Данный режим дает большое количество вариаций работы с системой, но нас интересует только безопасный режим с сетевой поддержкой (Safe Mode w Networking);
• Запускаем систему и авторизуемся под своими учетными данными:
• Находим в сети и скачиваем качественное ПО для работы со шпионскими программами, например, Malwarebytes Anti-Malware;

• В выбранном режиме, поисковое ПО будет находить все подозрительное, не входящее в базовые настройки Windows и автоматически удалять. Более того, будут удалены данные из системного реестра и подгружены базовые файлы для восстановления работоспособности ряда программ, часть файлов которых показалась подозрительной.

Как обезопасить ПК от скрытых майнеров

Прежде всего ограничьте посещение непроверенных сайтов и сразу же закрывайте любые информационные порталы, на которые ругается антивирус или защита браузера.

Установите качественное антивирусное ПО и постоянно его обновляйте.

Сделайте глубокие проверки периодическими, например, каждую ночь или раз в три дня, чтобы удалять любой мусор.

В идеальной ситуации отберите ряд надежных ресурсов для просмотра кино, прослушивания музыки и прочее, а также ограничьте скачивание контента с пиратских порталов.

Для тех, кто думает с собственной бот-сети

Разработчики и продавцы вирус майнеров на вопросы о законности деятельности отвечают – “под майнингом нет четкой юридической базы, потому привлечь к ответственности за него, в том числе и скрытый невозможно”.

Это так, однако, не стоит забывать о том, что установка программ любого характера без ведома владельца оборудования, взлом частных и корпоративных сетей юридическую базу имеют, как и вполне ощутимые сроки тюремного заключения.

В заключение

Если даже вы не связаны с криптоотраслью, не работаете в сети и не принимаете на электронные кошельки крупных сумм, не стоит пренебрегать мерами безопасности и становится новой жертвой мошенников.

Источник

Топ-5 самых популярных и опасных вирусов для скрытого майнинга

Учитывая популярность криптовалют, неудивительно, что киберпреступники продолжают разрабатывать и настраивать различные вредоносные программы для майнинга криптовалют. Действительно, этот вид угрозы является одним из наиболее распространенных и затрагивает широкий спектр платформ и устройств.

Предлагаем вам обзор Топ-5 наиболее опасных на сегодняшний день вирусов для майнинга — Linux.BtcMine.174, CoinHive Miner, XMRig, JSEcoin miner и WebCobra. Также в статье несколько советов, как обезопасить свое устройство от этих угроз..

Немного статистики о распространении вирусов-майнеров

Среди определенным исследователями 4,4 млн вирусных программ, которые появлялись на протяжении за 2007-2018 годов, четверть из них оказалась вирусами для криптомайнинга.

По данным VriesHD, более 415 000 маршрутизаторов по всему миру заражены вредоносным ПО, предназначенным для кражи вычислительных мощностей и тайного майнинга криптовалюты.

В прошлом году ученые из немецкого университета RWTH в Аахене определили, что с помощью браузерных вирусов добывают монет на $250 000 каждый месяц. В общей сложности, с помощью малварей добывают 4% от всех монет XMR.

Любопытно, что злоумышленники предпочитают CoinHive, в процентном соотношении добыча монет в мире через этот вирус составила 11,57%. Среди других вредоносов JSEcoin принадлежит 5,94% мирового скрытого майнинга, XMRig — 7,29%.

Карта распространения устройств, используемых для скрытого майнинга в 2018 году

Признаки заражения майнинг-вирусом

При заражении наиболее распространены такие признаки:

• Высокая загрузка ЦП и видеокарт;
• Веб-браузер использует более 50% мощности процессора;
• Программы медленно запускаются и работают;
• Медленный запуск веб-страниц;
• Мышь не хочет двигаться несколько минут.

Как обезопасить свое устройство от майнинга

Ключ к безопасности — осторожность. Поэтому, прежде всего, обращайте внимание на те программы и приложения, которые вы загружаете и устанавливаете из интернета. При инсталляции программ всегда выбирайте выборочную установку и отмените всё, что незнакомо — особенно дополнительное ПО.

Вместе с тем, лучше не забывать золотое правило безопасности — загружать ПО только из официальных источников, используя прямые ссылки на скачивание. И стараться не использовать сторонние загрузчики/установщики, так как разработчики монетизируют их могут распространять вредоносы.

Но что делать, если обнаружены признаки заражения майнинг-вирусом:

1. Откройте диспетчер задач и определите программы, которые наиболее всего задействуют ресурсы ЦП. Если загрузка процессора превышает 40%, то обязательно просканируйте устройство.
2. Удалите все подозрительные приложения и плагины в браузере.
3. Проанализируйте каждый шаг процессов загрузки / установки.
4. Все приложения, которые проникли в систему без разрешения, должны быть немедленно удалены, даже если они легитимны.

Диспетчер задач при скрытом майнинге

Надежной защитой от криптоджекинга служат современные антивирусы, блокировщики рекламы и специальные расширения для браузеров, которые блокируют такие скрипты. Так, обнаружить и заблокировать малварь помогут бесплатное расширение для браузера (Adblock) и антивирусные программы Spyhunter, Reimage, Malwarebytes, Plumbytes Anti-Malware или GridinSoft Anti-Malware.

Часто бесплатный сканер только проверит, заражен ли ваш компьютер. Чтобы удалить вредоносное обеспечение вам нужно будет приобрести полную версию.

Самые популярные вирусы для скрытого майнинга

Linux.BtcMine.174 — опасный гибридный троян

Специалистами Dr Web был обнаружен опасный троян для майнинга криптовалюты Monero (XMR). Вирус Linux.BtcMine.174 поражает устройства с операционными системами (ОС) Linux и Android по всему миру.

Он классифицируется как гибридная угроза, поскольку включает в себя сценарии атак нескольких типов инфекций. В одной из статей

, что этот вирус способен инфицировать другие сетевые устройства, удалять антивирусы и собирать информацию об учетных данных.

Сам троян представляет собой набор команд из 1000 строк кода. Инфекции начинаются со скрипта, который ищет место на локальном жестком диске с правами на запись. Там копирует себя и запускает остальные модули.

Обнаружено, что в атаках используются две уязвимости: первая CVE-2016-5195 позволяет получить доступ на запись в память; с помощью второй CVE-2013-2094 можно обрести привилегии администратора.

Конечно, это далеко не единственный вирус для ОС Linux: недавно мы писали, что японская компания Trend Micro выявила еще один вид майнера криптовалют — Coinminer.Linux.KORKERDS.AB.

Обнаруженные вредоносные программы в криптомайнинге, 2014-2018

Браузерный вирус CoinHive Miner

Cамый неприятный вид скрытого майнинга — это браузерный майнинг. Хакеры, используют устройства пользователей, посещающих сайты, для добычи криптовалюты. Один из таких вирусов — CoinHive Miner, предназначенный для добычи криптомонет Monero (XMR), Dashcoin (DASH), DarkNetCoin (DNET).

После установки этой вредоносной программы или расширения браузера CoinHive Miner будет добывать Monero, подключая устройства пользователей к coin-hive.com/lib/coinhive.min.js. Малварь задействует до 90% мощности процессора и видеокарты устройства. Как следствие, компьютер начинает зависать и глючить, а процессор перегревается и может выйти из строя.

Javascript-киберпреступники внедряют в бесплатные расширения или программы для браузеров, и таким способом распространяют его. Так, компания Trend Micro сообщала, что обнаружила CoinHive даже на YouTube.

XMRig

В группе вирусов выделяется XMRig. По сути, это легитимное программное обеспечение для майнинга Monero, доступное на GitHub. Однако исследователи обнаружили поразительное количество «дропперов», представляющие собой специальные вирусы, которые автоматически загружали XMRig на компьютеры — опять-таки, без согласия пользователей.

Запускается вирус с использованием root-прав администратора. Каждый раз при включении компьютера в диспетчере задач Windows выполняется несколько процессов xmrig.exe. Этот майнер игнорирует ограничения использования процессора в системах. Следовательно, потребление ресурсов процессора может достигать 90-100%, что неизбежно ведет к аппаратному сбою или полному отключению компьютера.

По словам экспертов, нередко он распространяется через компанию Rig Exploit Kit. Также троян может попасть на компьютер в виде загрузок с веб-сайтов или как скрытый компонент вместе с поддельными обновлениями программного обеспечения. Велика вероятность, что XMRIG Virus распространяется с рядом приложений рекламного типа, которые навязывают рекламу и собирают конфиденциальную информацию.

В мире есть сотни потенциально нежелательных программ, которые практически идентичны. Предлагая широкий спектр «полезных функций», они создают впечатление легитимности, но не приносят реальной пользы обычным пользователям. Единственная цель таких программ — приносить доход разработчикам: доставлять навязчивую рекламу и собирать конфиденциальную информацию, чем создают прямую угрозу конфиденциальности и безопасности при серфинге в интернете.

Большинство профессиональных антивирусных программ обнаруживают XMRig и отключают его перед входом в систему. Тем не менее, его создатели обновляют троян, чтобы избежать обнаружения и устранения антивирусом. По этой причине обновление настроек безопасности вашего антивируса является важной частью защиты вашей системы.

Троян XMRig также применяют для распространения других инфекций, в том числе шпионских. Также хакеры могут использовать его для уничтожения безопасности системы и повышения ее уязвимости.

Опасный JSEcoin

JSEcoin Pro Miner (load.jsecoin.com) также, как и XMRig, является легитимной программой, которую киберпреступники научились использовать для скрытого майнинга криптовалют, задействуя компьютеры ни в чем не подозревающих пользователей. Присутствие этого майнера ударяет по мощности ЦП, нагружая ее до максимума

Кроме того, троян load.jsecoin.com может сохранять некоторую информацию о своих пользователях — например, поисковые запросы, чтобы показывать тысячи объявлений на основе выбора пользователя. Помимо этого, он может открыть путь для проникновения на ваше устройство другим вредоносам и вирусам.

Троян нацелен на добычу Bitсoin (BTC), Monero (XMR) и других монет. Остановить эту вредоносную программу без специально разработанных программ сложно, даже обнаружить ее не всегда возможно.

Новый вредонос WebKobra

Исследователи McAfee Labs обнаружили новое вредоносное ПО из России, известное как «WebCobra». WebCobra заражает компьютер жертвы для установки майнера Cryptonight или Claymore Zcash, в зависимости от архитектуры, которую находит WebCobra.

Пока не вполне ясно, как распространяется эта угроза, но предполагают, что это происходит через фейковые инсталляторы PUP. Причем наибольшее количество инфекций происходит в Бразилии, Южной Африке и Соединенных Штатах.

Уникальность WebCobra в том, что этот вирус делает все возможное, чтобы как можно больше узнать о системе жертвы. Например, какую архитектуру он использует и есть ли антивирус. Кроме того, вредонос может остановить работу другого майнера.

В McAfee также обнаружили, что рост криптовзломов, особенно в случае WebCobra, связан с ростом цен на криптовалюту.

Цена на криптовалюту Monero достигла своего пика в начале 2018 года. Общее количество образцов вредоносного ПО продолжает расти.

В связи с тем, что сегодня одна из наиболее распространенных угроз — это скрытый майнинг криптовалют, пользователи и компании должны быть в курсе актуальных угроз и рассмотреть все возможные решений для обеспечения безопасности устройств

© Coin Post, 2017-2019. Все материалы данного сайта являются объектами авторского права. Запрещается копирование, распространение (в том числе, путем копирования на другие сайты и ресурсы в Интернете с указанием источника) или любое иное использование информации без предварительного согласия правообладателя.

Источник