В открывшейся строке введите имя процесса в отправителе, за которым, по вашему мнению, скрывается майнер. Все найденные совпадения должны быть удалены через контекстное меню. Затем можно перезагрузить компьютер и оценить изменения в использовании оборудования.
Как найти и удалить вирус майнер cимптомы и в чем вред?
Здравствуйте, друзья. Сегодняшняя статья посвящена определенному типу компьютерного вируса, который в последнее время становится все более распространенным. Мир охватила криптовалютная лихорадка; каждый день многие люди интересуются майнингом и криптовалютами. Дело в том, что эта новая валюта теперь подвержена резким колебаниям цен, и если вам повезет, вы можете стать на ней грязно богатым.
Самым прибыльным способом получения прибыли от криптовалют был и остается майнинг. Я уже немного освещал эту тему в своем блоге с технической точки зрения. Проще говоря, если у вас дома есть компьютер, то теоретически возможно добывать цифровую валюту, а затем обменивать ее на реальные деньги. Люди добывают по-разному, это зависит от того, сколько денег вы готовы вложить в покупку оборудования для добычи.
Есть люди, которые не хотят вкладывать деньги в вычислительные мощности. Они пишут специальные компьютерные вирусы, которые незаметно для вас превращают ваш компьютер в инструмент для майнинга.
Что такое вирус-майнер?
Чтобы лучше понять, что такое вирус-майнер и как он работает, давайте подробно познакомимся с безопасной программой — майнером. Для тех, кто совсем не знаком с термином «шахтер», позвольте мне кратко объяснить, что он означает. Когда вы хотите добыть цифровую монету, ваш компьютер должен решить сложную математическую задачу и выполнить расчет. Общая концепция этой задачи заключается в расшифровке некоторых данных.
Каждая цифровая валюта имеет свой собственный шифр и алгоритм. Предполагается, что чем сложнее и надежнее алгоритм, тем лучше и надежнее валюта. Как правило, сегодня компьютер не в состоянии выполнить такие сложные вычисления за короткое время. Эти компьютеры соединяются в сеть для совместного решения проблемы.
Когда проблема решена, владелец компьютера получает вознаграждение в виде цифровой валюты или ее части (биткойн Сатоши). Если вам интересно, как работает вирусный майнер, прочитайте следующий раздел, если нет, перейдите к следующей главе.
На примере отечественной частной цифровой валюты «Сибирский червонец» посмотрим, как работает общая программа майнинга. Сети, в которых добывается валюта, называются пулами. Поскольку мы добываем в составе пула, мы зарегистрируемся там. В качестве регистрационных данных указывается адрес электронной почты:
Затем на счете будет создан виртуальный «работник», майнер. Он замахнется на кирку… Такой черный юмор есть, наверное, у всех разработчиков подобных программ 🙂 .
Вы можете создать несколько таких «рабочих аккаунтов». Затем нужно записать настройки в файл майнера и запустить его. Создайте новый документ в Блокноте и скопируйте-вставьте следующую строку: miner d-a X1 1-o stratum+tcp://sib.suprnova.cc:345 8-u [email protected] 1-p mypassvord. Если вы очистите его, это очень просто:
Переименуйте файл блокнота, измените расширение на *.bat и поместите его в ту же папку, что и загруженный майнер:
После загрузки иногда приходится ждать несколько минут, пока компьютер подключится к резервуару, а затем процесс «майнинга» становится отчетливо виден.
Если кто-то заинтересуется, он может посмотреть видео о том, как загрузить и запустить майнер. Симптомами вируса является снижение производительности компьютера без видимых причин. Другими словами, она замедляется.
Теперь мы самостоятельно запустили и настроили программу для добычи одной из цифровых монет на нашем компьютере. Теперь вы понимаете, как это работает. Основное различие между минивирусом и этой программой заключается только в одном. Он запускает аналогичную программу с учетными данными злоумышленника на вашем устройстве без вашего ведома.
Ресурсы вашего компьютера используются кем-то другим без вашего разрешения и за ваш счет! Считается, что если такой вирус распространится массово, он поразит сотни компьютеров и увеличит скорость добычи.
Минервирус не наносит критического ущерба вашим данным, но замедляет работу компьютера. Это также увеличивает нагрузку на ваш интернет-канал, поскольку вы не можете работать без интернета. Плата за пользование Интернетом может возрасти, если вы используете коммутируемое соединение.
Как создаются и распространяются вирусы-майнеры
Вирусы майнинга могут распространяться путем установки программного обеспечения для майнинга, загруженного из неизвестных источников. Это относится и к программам для кошельков. Если вы хотите попробовать добыть криптовалюту, загружайте такие программы только с криптовалютных сайтов. Снова возьмем пример сибирских червонцев. Мы видим, что здесь у нас есть свои майнеры для ГОСТа, отдельно для CPU, отдельно для видеокарт:
Если вы загружаете майнеры (и другие программы) с неизвестных сайтов, вы можете легко подхватить вирус. Здесь следует быть разборчивым и загружать программы и приложения только с проверенных сканеров. Но этот метод — не единственный, используемый злоумышленниками.
Существует еще более коварный способ заставить ваш компьютер тайно добывать криптовалюты от чужого имени: установка специального дополнения (или расширения) в ваш браузер. Это расширение также является небольшой программой. Если вы заинтересуетесь криптовалютами и зайдете на различные криптовалютные сайты, вам предложат использовать мощность вашего компьютера для майнинга.
Обычно это выглядит как официальный сервис вроде coin-hive.com или как мошенничество с кнопкой «деньги» для криптовалют. Или они вообще ничего не предлагают. Вы загружаете приложение и, таким образом, программу для майнинга через браузер. Существуют ли способы профилактики и лечения таких «болезней»? Читать дальше.
Вы можете создать несколько таких «рабочих аккаунтов». Затем нужно записать настройки в файл майнера и запустить его. Создайте новый документ в Блокноте и скопируйте-вставьте следующую строку: miner d-a X1 1-o stratum+tcp://sib.suprnova.cc:345 8-u [email protected] 1-p mypassvord. Если вы очистите его, это очень просто:
Майнеры — вирусы или нет?
В просторечии майнеры часто называются вирусами. Однако в действительности все гораздо сложнее: Dr.Web классифицирует некоторые из этих программ как просто потенциально опасные, поскольку, даже если они являются легитимными, они могут нанести вред компьютерной системе, если используются злоумышленниками. Существуют также вредоносные майнеры, которые являются разновидностью троянского коня и обычно называются вирусами, хотя и не совсем несправедливо.
- Они нарушают нормальное функционирование компьютерного оборудования, вплоть до его разрушения,
- влияющие на их производительность,
- в результате чего устройства перегреваются и потребляют слишком много энергии.
Первые майнеры появились в 2011 году и продолжают представлять серьезную угрозу, в том числе для корпоративных клиентов. Для компаний велик соблазн использовать вычислительную мощность «недоиспользуемых» или неиспользуемых компьютеров и серверов.
Как распространяются майнеры
Существует несколько способов «поймать» шахтера. Среди методов, используемых для проникновения в компьютерные системы, эксперты компании «Доктор Веб» периодически обнаруживают следующие:
- Проникновение под видом полезных приложений с подготовленных злоумышленниками сайтов (Trojan.BtcMine.221 для майнинга криптовалюты Litecoin),
- партнерские программы для владельцев легальных сайтов: Их владельцы публикуют различные загружаемые приложения и получают процент от их продаж (в качестве примера можно привести распространение Trojan.BtcMine.218),
- как «сопутствующее» вредоносное ПО. Например, спамерский Trojan.Tofsee смог загрузить 17 плагинов, включая Trojan.BtcMine.148 для майнинга криптовалюты Bitcoin.
Как понять, что на компьютере работает майнер
Криптомайнеры потребляют большое количество компьютерных ресурсов для своей работы. Если компьютер замедляется при выполнении простых задач, холодильник постоянно издает звуки, а корпус компьютера или ноутбука необычно горячий, это может быть признаком майнера.
Чтобы узнать, какой процесс «нагружает» процессор, можно воспользоваться «Диспетчером задач» в Windows. Откройте его и понаблюдайте некоторое время, какой из запущенных процессов ведет себя подозрительно активно, пока нет активности на стороне пользователя. Если накладные расходы связаны с браузером, это также может указывать на скрытую майнинговую деятельность: Некоторые из этих программ активируются, когда вы посещаете опасные веб-сайты и находитесь в сети.
Важно помнить, что скрытый майнер может использовать ресурсы видеокарты, а не центрального процессора. Поэтому для мониторинга следует использовать дополнительные специализированные утилиты.
Следует также учитывать, что майнер может взять под контроль диспетчер задач, заставив его отображать обычное использование ресурсов компьютера.
Другими признаками деятельности майнера могут быть повышенное потребление данных, исчезновение важных файлов или регулярное отключение от Интернета.
Конечно, при малейших подозрениях всегда следует использовать антивирусную программу. Например, вы можете использовать бесплатную утилиту Dr.Web CureIt! для обнаружения вредоносной активности под Windows. После обнаружения утилита нейтрализует его, но не обеспечивает постоянной защиты.
В идеале следует установить комплексный интегрированный продукт защиты, такой как Dr.Web Security Space. Она предотвращает проникновение майнеров в защищаемое устройство:
- Антивирус отслеживает любые попытки загрузки потенциально опасных программ и блокирует их,
- В настройках родительского/офисного контроля можно указать категорию «Пулы для майнинга криптовалют» — Dr.Web запретит доступ к таким сайтам,
- Проактивная защита Dr.Web обнаруживает новейшие типы майнеров с помощью поведенческого анализа.
Систематический мониторинг «Диспетчера задач», который можно открыть в Windows, нажав Ctrl + Alt + Del или Ctrl + Shift + Esc, позволяет выявить скрытые майнеры. Вам достаточно отслеживать активные процессы в течение 10-15 минут при полном бездействии. Закройте все программы и даже не двигайте мышью.
Как распознать майнер на компьютере?
Прежде чем удалять подозрительные файлы, необходимо сначала определить, есть ли в вашей системе скрытый скрипт для майнинга. Во-первых, запустите глубокое сканирование с помощью антивирусного приложения, установленного на вашем ноутбуке. Это может сделать даже встроенный в Windows 10 Defender. Если это не принесло результатов, но вы видите, что система продолжает загружаться, я рекомендую запустить бесплатную утилиту Dr.Web CureIt, а также AdwCleaner, которая обнаруживает вредоносные расширения браузера, и есть шанс, что вам удастся избавиться от троянца.
Обнаружить скрытый майнер непросто, поскольку его разработчики обычно используют специальные механизмы сокрытия, чтобы пользователи не могли догадаться о его разрушительной деятельности.
Чтобы снизить вероятность обнаружения, злоумышленники научились создавать скрипты, которые маскируются под совершенно другие процессы в диспетчере задач и могут запускаться только во время простоя компьютера (когда вы находитесь за городом, не пользуетесь компьютером, но он включен). Если вы это сделаете, вирус будет активирован.
Обычно вы даже не замечаете инфекцию. Все зависит от того, насколько изобретательны хакеры, распространившие майнер, который проник на ваш компьютер.
Давайте рассмотрим варианты обнаружения.
Стандартный «Диспетчер задач»
Стоит отметить, что существует также майнинг через интернет. То есть в этом случае вы не скачиваете никаких приложений, но рискуете посетить сайты, на которых установлены вредоносные скрипты. В Интернете есть множество подобных ресурсов. Большинство из них — это сайты с тысячами пользователей (торренты, пиратские онлайн-кинотеатры). Если вы посещаете эти сайты, ваш компьютер может быть перегружен.
Поэтому стоит Откройте диспетчер задачс помощью комбинации клавиш Ctrl + Esc + Shift, и сразу же обратите внимание на браузер. Если у вас открыто всего несколько вкладок, но процессор, оперативная память и жесткий диск загружены на 80-100%, попробуйте закрыть все сайты и посмотреть, как это повлияет на нагрузку. Если он сразу же изменится в лучшую сторону, значит, это вредоносный ресурс, содержащий скрипт для майнинга.
В видео на канале IT Technician я рассказал о таком явлении и методах решения этой проблемы:
Если браузер не запущен, но нагрузка по-прежнему высока, откройте диспетчер задач и посмотрите на процессы, которые ведут себя необычно (потребляют много ресурсов). Постарайтесь ничего не делать (перемещать курсор, открывать или закрывать окна и т.д.). Это могут быть системные задачи, например, обновление Windows, которое перестает работать через 5-10 минут. Но если вы не знаете названия процесса, я рекомендую вам сначала воспользоваться поисковой системой Google или Yandex, чтобы узнать больше. Возможно, вы имеете дело со скрытым майнером.
Еще один важный момент: некоторые майнинговые вирусы способны влиять на диспетчер задач, закрывая его через 30 секунд или минуту, или не давая ему полностью открыться. Если это произойдет, вероятность того, что вы будете заминированы, составляет 99,9 процента.
- В таких случаях я бы посоветовал вам перейти на вкладку Детали, найти в первой колонке нужный вам предмет и записать его название и описание,
- Затем вызовите редактор реестра, перейдя в консоль «Выполнить» (Win+R) и набрав команду:
- В открывшемся окне перейдите в главное меню «Правка» и нажмите «Поиск…». Введите в форму имя искомого вредоносного объекта:
- Когда результаты появятся в правой части редактора, вы должны удалить их по одному. Однако делать это следует только в том случае, если вы на 100 % уверены в том, что делаете. В противном случае я рекомендую вам обратиться к профессионалу, который знает свое дело:
AnVir Task Manager
Если встроенный менеджер заблокирован, рекомендую воспользоваться альтернативным приложением, которое можно скачать с официального сайта разработчика по ссылке.
- Установите программное обеспечение,
- Запустите его и увидите список всех процессов,
- Найдите подозрительный процесс и наведите на него курсор, чтобы получить подробное описание.
Помните, что проверить, замаскирован ли майнер под другую задачу на компьютере, довольно просто. Злоумышленники знают, как подделать имя, но не утруждают себя предоставлением подробной информации. Поэтому если вы навели курсор на значок и увидели во всех остальных полях только имя с дефисом (без значения), то, скорее всего, объект является вредоносным.
- Щелкните правой кнопкой мыши и перейдите в раздел «Подробная информация»:
- Перейдите на вкладку Производительность, укажите интервал наблюдения (например, 1 день) и посмотрите на активность процесса на графике:
- Если объект перегружен в течение дня, то запишите его имя (и желательно путь к жесткому диску), закройте процесс. Затем воспользуйтесь описанным выше методом — откройте редактор реестра и удалите все записи, содержащие вредоносный элемент. Затем откройте папки и удалите «хвосты» шахтеров,
- Наконец, рекомендуется проверить операционную систему антивирусной программой (или утилитами DrWeb Cure It + AdwCleaner):
Не лишним будет установить программу System Monitor с этого сайта, которая позволяет следить за ситуацией в режиме реального времени.
Надеюсь, вам пригодилось мое руководство по обнаружению майнеров на вашем компьютере в браузере (в Интернете).
Систематический мониторинг «Диспетчера задач», который можно открыть в Windows, нажав Ctrl + Alt + Del или Ctrl + Shift + Esc, позволяет выявить скрытые майнеры. Вам достаточно отслеживать активные процессы в течение 10-15 минут при полном бездействии. Закройте все программы и даже не двигайте мышью.
Антивирус против майнеров
Однако нет необходимости вручную бороться с вирусами-виновниками, с ними прекрасно справятся антивирусные программы. Этот метод еще лучше, потому что, как уже говорилось, майнер может так нагрузить систему, что вы вряд ли заметите это — вы просто будете удивляться, почему все лагает и дергается время от времени.
См. нашу статью о лучших вирусах 2018 года.
Одним из примеров является Avast — очень хорошая антивирусная программа, которая предлагает базовые функции безопасности бесплатно и без пробного периода. Перейдите на официальный сайт компании: https://www.avast.com/, скачайте и установите программное обеспечение.
Есть одна сложная деталь. Как правило, антивирусные программы не считают майнеры вирусами, и это правда — майнеры не повреждают вашу систему или личные файлы, не заражают другие компьютеры, они просто используют ресурсы, как любая другая программа. Для того чтобы ваша антивирусная программа могла бороться с майнерами, необходимо настроить ее на отслеживание потенциально опасных программ.
После запуска Avast нажмите кнопку «Настройки» и на вкладке «Общие» (первая открывшаяся вкладка) установите флажки «Включить расширенный режим» и «Сканировать на наличие потенциально нежелательных программ (ПНП)».
Теперь нажмите на «Основные элементы защиты» на вкладке «Защита» и активируйте там все 3 доступных раздела.
Подождите 5-10 минут и…
Каждая цифровая валюта имеет свой собственный шифр и алгоритм. Предполагается, что чем сложнее и надежнее алгоритм, тем лучше и надежнее валюта. Как правило, сегодня компьютер не в состоянии выполнить такие сложные вычисления за короткое время. Эти компьютеры соединяются в сеть для совместного решения проблемы.
Как майнеру удаётся прятаться
Обычно отдельная служба отвечает за запуск майнера на компьютере, чтобы можно было спрятать и скрыть угрозу. Этот компаньон контролирует автоматический запуск и поведение вируса и делает его невидимым для вас.
Например, эта служба может прервать работу шахтера при обстреле из тяжелых орудий. Это освобождает ресурсы компьютера и предоставляет их в распоряжение игры, чтобы пользователь не ощущал задержек или падения частоты кадров. Как только стрелка выключается, вирус возобновляет свою работу.
Этот же сервис-компаньон способен обнаружить запуск программы мониторинга активности системы, чтобы быстро отключить майнер, удалив его из списка запущенных процессов. Однако особо опасные вирусы могут попытаться отключить инструменты сканирования на вашем компьютере, чтобы предотвратить обнаружение.
Какие типы майнер-вирусов существуют и как они попадают в компьютер?
Вредоносные программы попадают на компьютер после того, как вы скачали, открыли, установили или скопировали что-то с постороннего флеш-накопителя.
Существует три основных способа, с помощью которых угонщики криптовалют крадут энергию вашего компьютера:
- Браузерный вирус. Это происходит, когда посетитель заходит на сайт с эксплойтом Javascript через свой браузер. Как только пользователь открывает веб-ресурс, активируется скрипт майнинга (Coinhive, CoinImp или другой) и начинает выполнять необходимые вычисления. Пока посетитель читает статью на сайте, смотрит видео или играет в онлайн-игру, выполняется скрипт майнинга, который использует компьютер другого человека для добычи криптовалюты в браузере.
- Загруженный (скачанный) вирус. Вредоносные программы попадают на компьютер, когда пользователь загружает файл, программу или приложение с непроверенного веб-сайта, подключает чужой флеш-накопитель или загружает зараженный файл по электронной почте или с веб-сайта обмена файлами. Такой вирус также иногда загружается автоматически при посещении пользователем незащищенного и уже мошеннического веб-ресурса.
- Вирус взлома. Хакеры проникают на компьютер пользователя и легко добиваются успеха из-за слабых систем аутентификации/идентификации, очень простых паролей или неправильных сетевых настроек.
Чтобы не допустить проникновения крипто-хакеров и защитить свое интернет-пространство, следуйте простым, но очень эффективным правилам: Загружайте программы/файлы/приложения только из проверенных и официальных источников, не открывайте ссылки или документы от неизвестных отправителей, обновляйте свое антивирусное программное обеспечение.
Как обнаружить скрытый майнер
Если вы заметили, что ваш компьютер стал очень медленным и горячим, первое, что вы должны сделать, это запустить антивирусную проверку с новой базой данных. Для обычных шахтеров проблем быть не должно. Угроза будет обнаружена и удалена. С хорошо спрятанными вирусами будет вестись борьба.
Систематический мониторинг «Диспетчера задач», который можно открыть в Windows, нажав Ctrl + Alt + Del или Ctrl + Shift + Esc, позволяет выявить скрытые майнеры. Вам достаточно отслеживать активные процессы в течение 10-15 минут при полном бездействии. Закройте все программы и даже не двигайте мышью.
В этом сценарии, если один из активных или внезапных процессов продолжает напрягать материал, это хороший повод задуматься. Происхождение такого процесса можно проверить через вкладку «Подробности» или с помощью поиска в Интернете.
Многие скрытые майнеры, использующие в основном видеокарту компьютера, могут не нагружать центральный процессор, что означает, что они не отображаются в диспетчере задач в старых версиях Windows. Поэтому для оценки загрузки оборудования лучше всего использовать специальные утилиты, такие как AnVir Task Manager или Process Explorer. Они покажут вам гораздо больше, чем стандартные инструменты Windows.
Некоторые майнеры способны самостоятельно отключить диспетчер задач через несколько минут, что также является признаком потенциальной угрозы.
Отдельно стоит упомянуть ситуацию, когда диспетчер задач показывает чрезмерное использование процессора на стороне браузера. Это вполне может быть результатом того, что веб-минер просматривает определенный сайт.
