Що робити якщо на комп'ютері вірус-майнер

1. У чому небезпека прихованого Майнера?
2. Як визначити, що на комп'ютері вірус-майнер?
3. Скільки заробляють творці прихованих Майнер?
4. Як захиститися від вірусу-Майнера?

Всім привіт! Кожен активний користувач ПК, який проводить багато часу на різних інтернет ресурсах рано чи пізно замислюється про кібербезпеки своєї операційної системи. Але далеко не всі інтернет серфери здатні забезпечити свій комп'ютер необхідним захистом і належним доглядом. Для того, щоб не стати жертвою шкідливого ПО, необхідно знати в якому напрямку розвиваються віруси і як з ними боротися, адже ймовірність підхопити в мережі нове дітище хакерів, вкрай висока. І далеко не факт, що антивірус врятує вас в такій ситуації. Найактивнішими шкідливий останнім часом стали так звані віруси-Майнер, про які ми з вами сьогодні і поговоримо.

Отже, що ж такий вірус-майнер? Це вид шкідливого ПО, яке використовує ресурси зараженого комп'ютера (в основному відеокарту і процесор) для видобутку різної криптовалюта . Найчастіше Майні Monero (XMR) і Zcash (ZEC), інші анонімні види валют використовуються рідше. На даний момент в природі зустрічається два види вірусів-Майнер.

1. Класичні

Проникають на комп'ютер користувача класичними способами, таємно запускають процес-майнер, маскують його і вказують інтернет-гаманець зловмисника. За великим рахунком це самий звичайний троян, тільки призначення у нього трохи інше.

2. Браузерні

Буває, заходиш на сайт, і вся система починає моторошно гальмувати. При чому нестача оперативної пам'яті часто тут ні при чому. Якщо заглянути в диспетчер задач, то можна побачити стовідсоткове завантаження системи браузером. Але як таке можливо, запитаєте ви? Це як раз справа рук браузерного Майнера, який працює завдяки спеціальним скриптів на сайті. Таким хитрим способом не побрезговала навіть знаменита піратська бухта:

https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

У чому небезпека прихованого Майнера?

По-перше, через те, що деякі компоненти вашого комп'ютера навантажуються на повну котушку, термін їх експлуатації значно знижується. І хоч розробники процесорів і відеокарт дають нам багаторічну гарантію, я б не став сподіватися, що будь-яка залізяка здатна пропрацювати весь гарантійний термін на межі своєї потужності. Та й кому захочеться, потім возитися з сервісними центрами? Більш того, найбільшу небезпеку стабільна пікове навантаження представляє не для графічного чіпа відеокарти або кристала центрального процесора, як ви могли подумати, а для системи охолодження, адже гарантія на неї, як правило, відносно невелика через високого рівня вразливості перед зносом.

По-друге, що найбільш важливо - обмежена продуктивність всієї системи. У переважній більшості використовувати ресурси ПК для власних потреб не вдасться все через ту ж високого навантаження компонентів за допомогою Майнера. Однак це ще півбіди. Деякі, особливо просунуті версії прихованих Майнер здатні аналізувати запущені в винде процеси і включатися тільки тоді, коли система знаходиться в просте. Або ж запускатися, використовуючи тільки певну кількість ресурсів. Наприклад, коли ви просто сидите в браузері, ви за великим рахунком практично не навантажувати свою систему, хіба що оперативну пам'ять, до якої Майнер і так немає ніякого діла. В цей час троян запускає прихований майнер, який задіює 80% потужності вашого процесора для видобутку криптовалюта, залишаючи вам лише 20%, яких в умовах серфінгу буде цілком достатньо. Робиться це для того, щоб недосвідчений користувач не зміг помітити шкідливий відразу, тим самим залишаючи паразита у себе на ПК якомога довше.

По-третє, створення комплексних вірусів ніхто не відміняв. Ніщо не заважає зловмисникам створювати дві зарази в одному флаконі. Так, наприклад, крім прихованої кріптодобичі, ви можете втратити конфіденційність інформацію, що зберігається на ПК.

Як визначити, що на комп'ютері вірус-майнер?

1. Найбільш очевидний ознака - це повільна робота операційної системи. Однак, як я вже написав вище, деякі добре замасковані і просунуті хробаки не видають себе за даним критерієм.

2. Дубльовані системні процеси. У переважній більшості подібні віруси маскуються під стандартні системні служби і процеси. Однак найпростіші і нахабні версії шкідливий навіть не маскуються і використовують найочевидніші імена на кшталт: xmrig, xmr, systemminer і т.д. Ось список найпопулярніших використовуваних імен.

Silence svhosts winlogan Carbon system64 winlogo Xmrrig32 systemiissec logon nscpucnminer64 taskhost win1nit mrservicehost service vrmserver svchosts3 vshell wininits sql31 win1ogin winlnlts taskhots win1ogins taskngr svchostx ccsvchst

tasksvr

xmr86 nscpucnminer64 mscl xmrig update_windows cpuminer xmr

3. Високий нагрів. Через те, що залізо навантажено на 100%, його тепловиділення відповідно підвищується. Це, напевно, самий очевидний ознака, який є ахіллесовою п'ятою нової зарази. Адже якщо ви просто сидите в браузері, а з корпусу валить гарячий, як з труби паровоза повітря, то не потрібно бути Шерлоком Холмсом щоб запідозрити щось недобре. Особливо легко виявити прихований майнер на ноутбуці, коли клавіатура, на якій ви тримаєте руки, починає відчутно нагріватися, адже буквально в парі сантиметрів під нею знаходяться всі нутрощі вашої розкладачки.

4. Автоматичне закриття вже відкритих додатків. Як я вже писав вище, в природі вірусів-Майнер зустрічаються просунуті версії, які здатні активуватися не на повну потужність, щоб не "спалити". Так ось, як виявилося, це далеко не єдиний витончений вид подібної зарази. Зустрічаються такі модифікації, які навіть здатні закривати антивірусні утиліти. Безумовно, такі трюки прокочують тільки з не найсильнішими представниками антивірусного захисту, але все ж вони є. Так само деякі Майнер вміють закривати додатки, через які проходить велика кількість рафіка. Наприклад, завантаження файлів з інтернету за допомогою торрента або браузера. Так, друзі, сучасні комп'ютерні бур'яни дуже сильно еволюціонували і пристосувалися до навколишнього середовища, тому потрібно бути насторожі.

PS У березні 2018 року було виявлено вірус-майнер з функцією Kill-list, який здатний навіть усувати йому подібних конкурентів. При проникненні на комп'ютер жертви, він так само, як і інші вміє аналізувати запущені в операційній системі процеси, нічого надприродного. Однак далі починається найцікавіше. При виявленні замаскованих процесів, які вже направлені на прихований Майнінг, даний черв'як примусово їх блокує і сам захоплює все ресурси. Тобто один паразит знищує іншого паразита, за право бути єдиною інфекцією в тілі носія. Забавно, чи не так?

https://www.bleepingcomputer.com/news/security/coinminer-comes-with-a-process-kill-list-to-keep-competitors-at-bay/

Скільки заробляють творці прихованих Майнер?

Ботнет з Майнер Minergate, виявлений експертами, приносив власникам 30 тис. Доларів на місяць. Через гаманець, в який відправлялися здобуті монети, пройшло понад 200 тис. Доларів.

Компанія Qbix, розробник Calendar 2, за три дні заробила 2 тис. Доларів на прихованому Майнінг Monero.

А розробник з Камбоджі Макс Корнет розповів, що отримав всього 0,89 долара за 60 годин від установки прихованого Майнера на сайті з відвідуваністю близько 1 тис. Користувачів на добу. Тобто він заробляв 36 центів в день або близько 10 доларів на місяць. Звичайно, більше відвідуваність - вищі заробітки. Але платні статті або іншу рекламу власникам сайтів і в цьому випадку розміщувати вигідніше.

Як захиститися від вірусу-Майнера?

Більшість з вас може подумати, що це все дрібниці, адже я володію платною версією антивіруса і мені не одна зараза не страшна. На жаль, поспішаю вас засмутити, але це не так. Часто утиліти, призначені для захисту користувача від шкідливого ПО, найчастіше марні перед новими, раніше незвіданими видами комп'ютерної зарази . І цей випадок якраз є підтвердженням цих слів. Якщо зайти на офіційний сайт одного з найпопулярніших антивірусів - dr.Web, то ви побачите, скільки нових Майнер виявляється кожен день. Думаю, і не варто говорити про те, що буквально пару днів назад система захисту була повністю безсила перед усіма виявленими троянами.

Наприклад, в період з 1 по 14 травня було випущено 1179 оновлень бази сигнатур антивірусу, які спрямовані на боротьбу з Майнер. https://updates.drweb.com

Більш того, лазити по сумнівних сайтах для того, щоб підчепити подібного роду заразу далеко не обов'язково. Так наприклад десятки тисяч користувачів були заражені через офіційний сайт ВЦИОМ, який був зламаний в 2015 році.

https://news.drweb.ru/show/?c=5&i=9497&lng=ru

Саме тому я рекомендую вам сильно не сподіватися на вашу антивірусний захист і зробити кілька простих профілактичних дій для того щоб мінімізувати ризик зараження новими хробаками.

1. Перейти на сайт https://cryptojackingtest.com, який показує, чи захищений ваш браузер від прихованого Майнінг. Зелена напис YOU'RE PROTECTED - ваш браузер захищений. Червона напис YOU'RE NOT PROTECTED - ваш браузер вразливий.

2. Використовувати браузери, які мають вбудований захист від Майнінг, наприклад: Opera і Yandex.Browser, Chrome.

3. Самий радикальний метод, однак, один з найефективніших - відключення javascript в браузері. Вводимо в адресний рядок наступне:

chrome: // settings / content> Заборонити javascript на всіх сайтах. Тут же можете налаштувати виключення, якщо є підозри на якийсь конкретний сайт. Майте на увазі, що більшість сучасних сайтів для коректної роботи вимагають даний мову сценаріїв.

4. Встановити одне із запропонованих розширень для браузера: NoCoin, AntiMiner, MineControl, MineBlock.

5. Відредагувати файл hosts , Що лежить за адресою: C: \ Windows \ System32 \ drivers \ etc \

В кінець файлу потрібно дописати рядок 0.0.0.0 coin-hive.com - вона не дасть пристрою з'єднаються з сервером, на якому лежить найвідоміший Майнінг-скрипт. Можна переадресовувати на 0.0.0.0 і інші домени, викриті в поширенні шкідливих:

0.0.0.0 azvjudwr.info

0.0.0.0 cnhv.co

0.0.0.0 gus.host

0.0.0.0 jroqvbvw.info

0.0.0.0 jsecoin.com

0.0.0.0 jyhfuqoh.info

0.0.0.0 kdowqlpt.info

0.0.0.0 listat.biz

0.0.0.0 lmodr.biz

0.0.0.0 mataharirama.xyz

0.0.0.0 minecrunch.co

0.0.0.0 minemytraffic.com

0.0.0.0 miner.pr0gramm.com

0.0.0.0 reasedoper.pw

0.0.0.0 xbasfbno.info

6. Встановити програму для моніторингу навантаження на компоненти ПК. Наприклад, MSI Afterburner відмінно справляється з цим завданням. Про те, як це зробити читайте окрему статтю.

7. Якщо ви користуєтеся антивірусом, то регулярно оновлюйте бази.

На цьому список рекомендацій закінчується. Будьте пильні і стежте за станом вашого комп'ютера, адже немає кращого захисту, ніж просунутий користувач біля керма! На сьогодні це все, до швидких зустрічей!

Статті, близькі по темі:

1. Google Chrome сильно вантажить процесор: позбавляємося від Майнера
2. Що таке - вірус шифрувальник