Нещодавно ми розповідали про Майнінг біткоіни . Є люди, які добувають цю «криптовалюта» чесним шляхом, купують обладнання, а є люди, які роблять це за допомогою інших.
Днями один користувач почав скаржитися на те, що його комп'ютер став сильно гальмувати. Переглянувши логи антивірусу і журнал комп'ютера я помітив, що на його комп'ютер встановилася дивна програма в профіль користувача IMG002 і почала вантажити процесор. Користувач зловив Miner Bitcoin. Провівши аналіз, я хочу з вами поділитися, що ж зловив користувач і як з цим боротися.
Trojan.CoinMiner - це велика сім'я троянських вірусів, які вже заразили мільйони комп'ютерів. Trojan.CoinMiner надзвичайно небезпечний троянський кінь, який глибоко вторгається в вашу систему. Програма проникає на комп'ютер обманним шляхом і використовує його можливості з метою власника. Головним завданням трояна є Майнінг криптовалюта за рахунок чужих ресурсів. Завантажити та встановити біткоіни майнер можна випадково - програма часто має вигляд фотографії або файлу Word. При цьому черв'як не тільки «викачує» ресурси з комп'ютера, але і краде особисту інформацію, що для користувача може бути ще небезпечнішою.
Програма Bitcoin miner була створена людьми, які ставили завданням підключити до роботи якомога більшу кількість ПК і підвищити заробіток Bitcoin. Зловмисники виходили з факту, що багато людей використовують ресурси «машин» на 10-20%. При видобутку криптовалюта потужності споживається більше - до 80-100%. Сьогодні кожен користувач мережі без відома для себе може перетворитися в Майнера. Різниця тільки в тому, що така людина не буде отримувати прибуток - вона дістається тому, хто «інфікував» комп'ютер. Сам ПК перетворюється на робота з видобутку криптовалюта. Система біткоіни винагороджує «шахтарів» і як бонус надає 25 Bitcoin за один видобутий блок. Власне, завдяки активній діяльності Майнер і обробці проведених транзакцій і забезпечується працездатність всієї структури.
Після завантаження та інсталяції біткоіни Майнера ПК навантажується на максимум. При цьому власник комп'ютера-жертви може і не помітити, що ресурси комп'ютера хтось «качає». Розпізнати ж вірус нескладно - коефіцієнт завантаження комп'ютера зростає в кілька разів. Притому що «важкі» програми можуть бути закриті. Головне завдання зловмисника, який інфікує комп'ютер - зробити злочин менш помітним і змусити користувачів перейти по підступної посиланням. Як тільки програма завантажена, можливості ПК переходять у власність хакера. При цьому злочинець може вирішувати безліч завдань, починаючи з Майнінг криптовалюта і закінчуючи збором особистої інформації.
До слова, троян Miner Bitcoin - далеко не єдина програма такого роду. До його появи антивірусних програм вже вдавалося знаходити масу черв'яків, що використовують ресурси ПК для власних цілей. Одним з таких є Badminer - програма, яка шукала блоки обробки інформації в ПК і застосовувала їх у видобутку криптовалюта. Комп'ютер не здатний сам по собі добувати Bitcoin. Але для хакерів не існує неможливого. Фахівці з комп'ютерів знаходять зламані «машини», які мають певну історію видобутку криптовалюта, і відправляють туди свої віруси. Якщо зловмисникові вдається підібрати ключ до більш ніж мільйону комп'ютерів, то його витрати (часові та фінансові) окупаються в повному обсязі.
Trojan.CoinMiner - це загальна назва для всіх вірусів даного типу.
Є ще кілька подібних симптомів, як вірус потрапляє в вашу систему:
- Випадкове додаток завантажує ЦП майже на 100%
- Ваш комп'ютер починають працювати повільно або заморожування кожен раз.
- Все веб-сайти завантажуються довше, ніж зазвичай.
- Ваш комп'ютер або ноутбук від перегріву, вимкнути або перезавантажити.
Також, Якщо ваш комп'ютер заражений, Ви можете перевірити цю папку на вашому комп'ютері:
З: \ Users (Ваше ім'я користувача) \ AppDataRoaminghodl
З: \ Users (Ваше ім'я користувача) \ AppDataRoamingETH
З: \ Users (Ваше ім'я користувача) \ AppDataLocalEthash
Останній каталог часто може зайняти кілька гігабайт на вашому комп'ютері. Цей вірус може дати віддалений доступ до вашого ПК, так що творець Trojan.CoinMiner можна легко контролювати ваш комп'ютер і ви нічого не бачив.
Часто можна помітити, що ви заразити з цим вірусом, якщо ви бачите cmd.exe або Engine.exe (також відомий як - sgminer.exe або SGM.exe) в диспетчері завдань. Ці процеси завантажують процесор на 100% і ваш комп'ютер починає працювати повільніше або просто короткочасно зависає.
І якщо подивитися в диспетчер задач, то ми побачимо.
Як же антивіруси реагують на даний вірус?
Як же позбутися від даної зарази?
Насамперед звичайно ж варто відключити даний комп'ютер від мережі, але у мене такої можливості не було т.к комп'ютер знаходиться далеко, і я додав сайти куди ломиться вірус в проксі-сервер тим самим перекрив йому доступ.
Потім пішов на сайт nod 32 для скачування nod 32
І робимо завантажувальну флешку. Як зробити завантажувальну флешку ми розповідали в нашому уроці « Створення завантажувальної флешки (Rufus) ».
І перевіряємо комп'ютер на наявність вірусів. NOD 32 відмінно справляється в даній завданням.
Але буває й інша ситуація як моя, ви перебуваєте далеко і немає можливості, тоді в даному випадку нам допоможе KVRT ( Kaspersky Virus Removal Tool )
На жаль, на офіційному сайті я не знайшов актуальної версії антивіруса, і перейшов за іншим посиланням і скачав актуальний
Через велику кількість файлів на комп'ютері перевірка комп'ютера затягнулася. Але після перевірки, і перезавантаження комп'ютер став стабільно працювати.
висновок:
Користувачам мережі варто бути обережними зі скачуванням і інсталяцією підозрілих файлів, а також при роботі з торрент-клієнтами. В іншому випадку комп'ютер може перетворитися в «робота», що займається тільки здобиччю біткоіни. Сподіваюся що ми допомогли комусь позбудеться від даного вірусу і в разі потрапляння на вудку, ви будите знати що робити.
Як же антивіруси реагують на даний вірус?Як же позбутися від даної зарази?