Ваш гаджет захватили майнеры. Что делать?

Вирусы для майнинга на компьютерах

Цель вредоносов такого рода – сделать ваш компьютер частью ботнета, который объединяет мощности сравнительно слабых устройств для майнинга и решения других задач. Это вдвойне выгодно: во-первых, злоумышленникам не нужно покупать дорогие майнеры или видеокарты, во-вторых – платить за электричество тоже не придётся.

Часто злоумышленники используют легальные майнеры. Но устанавливают их без ведома владельца устройства, скрывают работу майнера и указывают свой кошелёк для добытых монет.

Обычно майнер попадает на компьютер с помощью дроппера. Этот вредонос нередко кладут в состав пиратских версий популярных программ или генераторов ключей активации. После запуска файла на компьютер жертвы ставится установщик, который непосредственно скачивает майнер и утилиту для его маскировки в системе.

Часто в комплект кладут инструменты для автозапуска вредоноса и настройки его работы. Эти сервисы могут приостанавливать работу майнера, когда пользователь запускает игру или другое ресурсоёмкое приложение. Так майнер не выдаст себя и проведёт на компьютере жертвы максимум времени.

Современные майнеры способны самовосстанавливаться, останавливать работу антивируса, мониторить активность системы и майнить только в периоды низкой нагрузки.

Как обнаружить вирус?

Каждый человек, который столкнулся с Bitcoin-miner, должен не просто знать, что это такое, но и уметь диагностировать проблему. Распознать появление вируса в системе можно по нескольким косвенным признакам:

— Повышению громкости работы кулера,

— Увеличению температуры процесса и видеокарты до критически высоких значений,

— Рост нагрузки на процессоре при подключении к интернету до 90—100% (без видимых на то причин),

— Появление процесса chrome.exe в диспетчере задач даже при закрытом браузере.

Интересен тот факт, что на каждом из компьютеров miner Bitcoin может проявлять себя по-разному. Одни пользователи жалуются на замедление работы всех программ, другие — на скачки температуры видеокарты, третьи — на изменение нагрузки на процессор с 50 до 100% и так далее.

Чаще всего вирус проявляется себя не сразу. Многие пользователи отмечают, что процесс chrome.exe запускается где-то через 20-30 минут после включения компьютера. Обязательным условием является подключение ПК к интернету. Чтобы точно диагностировать проблему, необходимо закрыть браузер, программы и посмотреть, не остался ли в процессах посторонний файл. Распознать вредоносную программу можно по объему потребляемой оперативной памяти и загрузке центрального процессора, которая может достигать 40—100%.

Нельзя не отметить еще ряд признаков, по которым можно судить о наличии вируса в системе. К таковым можно отнести:

  1. Предупреждение о наличии вредоносного ПО от установленного на компьютере антивируса.
  2. Странная активность в системе.
  3. Снижение производительности компьютера, появление проблем с загрузкой каких-либо программ или в работе с ними.
  4. Сбои с загрузкой или перезагрузкой ПК.

Устранение конкурентов

Майнеры обычно запускают в оперативной памяти процессы с именами вроде как Silence, Carbon, xmrig32, nscpucnminer64, mrservicehost, service, svchosts3, svhosts, system64 и др. Но найти незащищенный компьютер, который ещё не заражен, всё сложнее. Так что майнерам приходится эволюционировать.

Одна из недавних находок – майнер с функцией kill list. Когда он попадает в компьютер, то анализирует список процессов. Если майнер находит процессы, которые запущены другими майнерами, то принудительно останавливает их. И сам захватывает все доступные ресурсы.

Вирус биткоин майнер: как лечить?

Если все предпринятые попытки лечить компьютер современным антивирусом оказались бесполезными, стоит воспользоваться одним из четырёх оставшихся способов борьбы с трудностями:

  1. доверить технику профессионалу,
  2. воспользоваться восстановлением системы,
  3. переустановить операционную систему,
  4. найти и удалить троян вручную.

Первый вариант практически гарантирует положительный результат, но требует затрат и иногда оказывается крайне неудобным.

Второй подход допустим лишь в тех случаях, когда пользователи своевременно позаботились о создании точек восстановления. Если их нет, откатить последние изменения не удастся.

Третий способ приведёт к потере всей несохранённой информации и потребует не только установки операционной системы, но и всех дополнительных программ, которыми пользовался владелец ПК.

А последний метод подходит только опытным пользователям. Он требует знания точного названия вредоносного файла и умения включать компьютер в безопасном режиме. Единого способа подобного включения не существует, поскольку он зависит от фирмы – производителя техники.

Дополнительным минусом этого подхода станет время, которое будет потрачено на поиск всех опасных файлов.

Майнеры в официальных магазинах приложений

И такое бывает! Например, с сентября 2020 года в Google Play можно было скачать Monero Miner (XMR) разработчика My Portable Software.

Формально приложение было предназначено для майнинга и ничего не нарушало. Но вот незадача: какой бы адрес кошелька вы ни вводили, намайненное на вашем смартфоне всё равно отправлялось бы на кошелек разработчиков вредоноса.

Владельцам техники Apple «повезло» не меньше. В Mac App Store появилось приложение Calendar 2, которое скрыто майнило Monero. Правда, приложение достаточно быстро удалили. Но осадочек остался.

Причины CPUTIN против Core Temp?

Если вы получили эту ошибку на своем ПК, это означает, что произошла сбой в работе вашей системы. Общие причины включают неправильную или неудачную установку или удаление программного обеспечения, которое может привести к недействительным записям в вашем реестре Windows, последствиям атаки вирусов или вредоносных программ, неправильному отключению системы из-за сбоя питания или другого фактора, кто-то с небольшими техническими знаниями, случайно удалив необходимый системный файл или запись в реестре, а также ряд других причин. Непосредственной причиной ошибки «CPUTIN vs Core Temp» является неспособность правильно выполнить одну из своих обычных операций системным или прикладным компонентом.

Сколько зарабатывают на майнерах

Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.

Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.

А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.

Что такое Bitcoin Miner?

Самым популярным способом майнить за чужой счёт является использование специальных вирусов. Bitcoin Miner – специальная программа, которая осуществляет майнинг криптовалюты скрыто от владельца компьютера. В сети вы можете найти инструкции, как использовать вирус для bitcoin майнинга с подробным описанием всей последовательности действий. Но, не сомневайтесь, файлы, которые вам предлагают скачать такие «наставники» — уже заражены вирусом майнером!

Если использовать много чужих компьютеров, заработок будет довольно большой. Майнингова сеть из 5000 машин может принести мошеннику доход около $30 000 в месяц. Атакам хакеров подвергаются не только компьютеры компаний, а и ПК обычных пользователей. Особенно «любят» злоумышленники компьютеры геймеров.

Заразить свой компьютер таким трояном можно, открыв подозрительное сообщение, а еще он может маскироваться под программу или игру.

Если обычно компьютер использует 10-20% своей производительности, то при майнинге он будет занимать все 80-100%. Также компьютер использует много электричества, а вирус может воровать ваши пароли и личные данные.

Как бороться с майнерами

В браузере

  1. Перейти на сайт https://cryptojackingtest.com/, который проверит, защищен ли ваш браузер. Проверка бесплатная, но результаты не всегда верны.
  • Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен.
  • Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.
  1. Скачать браузеры со вшитой защитой от майнинга. Opera и «Яндекс.Браузер» поддерживают такие возможности.
  2. Отключить JavaScript в браузере. Решение радикальное, ведь многим сайтам для нормальной работы требуется JavaScript.
      Chrome: «Настройки» – «Дополнительные» – «Настройки контента» – «JavaScript» – Передвинуть переключатель в положение «Заблокировано».
  3. Firefox: «Настройки» – «Содержимое» – снять флажок «Использовать JavaScript».
  4. Opera: «Настройки» – «Общие настройки» – «Дополнительно» («Расширенные») – «Содержимое» – снять флажок «Включить JavaScript».
  5. Приложение Anti-Web Miner. Скачиваете с GitHub, устанавливаете, пользуетесь.
  6. Расширения для браузеров. NoCoin, AntiMiner, MineControl, MineBlock и т. д.
  7. Расширение для браузеров AdBlock. В фильтры нужно добавить:
  • ||coin-hive.com^$third-party
  • ||jsecoin.com^$third-party
  • ||miner.pr0gramm.com^
  • ||gus.host/coins.js$script
  • ||cnhv.co^.
  1. Приложение Malwarebytes. Премиум-версия защищает от новых майнеров в режиме реального времени. Бесплатная находит всё, что вы подхватили ранее, и переносит в карантин.
  2. В Windows – отредактировать файл C:WindowsSystem32driversetc В macOS введите в терминале команду sudo nano /etc/hosts/.

В конец файла hosts нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:

  • 0.0.0 azvjudwr.info
  • 0.0.0 cnhv.co
  • 0.0.0 gus.host
  • 0.0.0 jroqvbvw.info
  • 0.0.0 jsecoin.com
  • 0.0.0 jyhfuqoh.info
  • 0.0.0 kdowqlpt.info
  • 0.0.0 listat.biz
  • 0.0.0 lmodr.biz
  • 0.0.0 mataharirama.xyz
  • 0.0.0 minecrunch.co
  • 0.0.0 minemytraffic.com
  • 0.0.0 miner.pr0gramm.com
  • 0.0.0 reasedoper.pw
  • 0.0.0 xbasfbno.info

На ПК (вне браузера)

  1. Уже упомянутое приложение Malwarebytes.
  2. Антивирус со свежей базой. Для пользователей Windows: стандартный Windows Defender чаще всего не блокирует популярный Coinhive, так что стоит установить что-то понадёжнее.
  3. Нелишним будет запустить диспетчер задач в Windows или другое приложение для слежения за расходом ресурсов компьютера (AIDA64, AnVir Task Manager или аналоги). Для macOS зайдите в «Программы» – «Утилиты» – «Мониторинг системы». Если активность резко растёт и стабильно держится, даже если у вас открыты «Заметки» и «Калькулятор», диспетчере задач или его аналоге удаляйте процессы, которые отнимают слишком много ресурсов. Затем вычищаете всё антивирусом и Malwarebytes.
  4. TDSSKiller поможет убить руткиты, которые маскируют следы пребывания майнера в системе.
  5. Утилита AVZ. Скачиваете, обновляете базы, нажимаете «Исследовать систему». Получаете avz_sysinfo.htm. Его можно разместить на форуме «Лаборатории Касперского» и попросить помощи. В случае удачи вам помогут составить скрипт, который обезвредит майнер. Но до этого рекомендуется выполнить всё, о чём мы писали выше.

На смартфоне

  1. Прежде всего, не скачивать приложения, которые обещают бешенные тыщщи денег от майнинга на смартфоне. И другие подозрительные приложения. Тем более с левых сайтов. Замена батареи / услуги специалиста стоят больше, чем вы сможете намайнить.
  2. Для борьбы с майнингом в браузере используйте браузерные расширения или браузеры с защитой от майнинга.
  3. Установите надёжный антивирус и регулярно обновляйте базы.
  4. Следите за загрузкой ресурсов смартфона.
      iOS: «Настройки» – «Аккумулятор».
  5. Android: «Настройки» – «Аккумулятор» / «Батарея».

Если видите процессы и приложения, которые потребляют больше, чем им положено, смело удаляйте их.

Как отыскать и удалить вирус?

Когда факт присутствия вируса определен, необходимо найти источник проблемы и удалить его. Но как обнаружить Биткоин-майнер и найти его месторасположение на компьютере? Здесь все просто. Сделайте следующие шаги:

— Переходите в «Диспетчер задач».

— Нажимайте на вкладку процессов.

— Находите подозрительный файл chrome.exe, который и является тем самым вирусом.

— Наводите на него и кликайте правой кнопкой мышки.

— В выпавшем окне остается выбрать раздел расположения файла. «Прятаться» вирус может в любой из папок компьютера. Чаще всего это Скайп, Вебмани и прочие, но уж точно не сам Хром.

— Завершайте процесс, чтобы впоследствии файл можно было удалить.

— На всякий случай посмотрите на содержимое файла config.xml.

— Заходите по указанному адресу вируса и удаляйте его.

— Несколько раз перезагружайте систему и убедитесь, что процесс повторно не пускается.

— Проверьте, что вирус не «засел» в автозагрузке системы. Для этого стоит перейти в раздел пуска, выбрать все программы, перейти к стандартным, зайти в служебные и нажать на планировщик заданий. Если лишнего процесса нет, то все нормально. Если же его пуск запланирован, то смело снимайте установленное задание.

Выводы

Мир помешался на майнинге. А хакеры не замедлили извлечь из этого пользу. Если вы не хотите, чтобы кто-то получал деньги за ваш счёт, не зевайте и защитите свои гаджеты уже сегодня.

(Проголосуйте первым за статью!)

Понравилась статья? Поделиться с друзьями:
Добавить комментарий