Как скрыть майнер
Перейти к содержимому

Как скрыть майнер

  • автор:

Security Week 10: где спрятать майнер и краткий экскурс в даркнет-маркетинг

Любители халявной криптовалюты, кажется, дружно озадачились вопросом, куда бы спрятать майнер, чтобы его подольше не нашли. Как известно, там, где все банальное уже перепробовано, открывается простор для креатива. Так, некоторые умельцы нашли источник вдохновения в прекрасном лике голливудской звезды Скарлетт Йоханссон.

Охотники за Monero вписали код майнера прямо в фото звезды в формате PNG. Это позволило мошенникам не только самовыразиться, но и использовать для хранения зловреда легальный фотохостинг imagehousing.com. А заодно обмануть часть антивирусов.

Мишенью для атаки киберпреступники выбрали серверы баз данных PostgreSQL. Прежде чем развернуть на сервере майнинг, разборчивые поклонники Йоханссон проводили разведку вычислительных мощностей, чтобы не майнить где попало (точнее, где невыгодно).

Убедившись, что сервер годный, мошенники загружали на него картинку с фотохостинга, а затем извлекали из нее вредоносный код при помощи стандартной Linux-утилиты dd. Далее файлу выдавались полные права, и при запуске он создавал собственно программу-добытчик.

Когда кампанию обнаружили, конкретно это произведение искусства с хостинга удалили, но сколько еще мутных фотографий содержат тот же (или другой) код — никому не ведомо.

Авторы другого Monero-майнера нашли способ удобно спрятать свое детище, можно сказать, на поверхности. Для хранения инсталлятора охотники за криптовалютой решили воспользоваться GitHub. Где еще скрывать вредоносный код, если не среди другого кода?

Для большей надежности охотники за криптовалютой создали массу форков проектов, находящихся в открытом доступе, и в каждый поместили установщик: действительно, много — не мало. При этом оригинальничать в распространении зловреда они не стали, выбрав проверенные временем фальшивые обновления Adobe Flash Player.

В ответ на попытку очистить GitHub от заразы преступники применили тактику Лернейской гидры: пока одни зараженные страницы удаляли, майнер появлялся на других. Как говорили великие, залог успеха — способность идти к своей цели, невзирая на провалы.

Черный маркетинг среди киберпреступников

Но не майнерами едиными сыт киберпреступник. С начала года было зафиксировано как минимум три кампании с участием трояна Qrypter, авторы которого предпочитают самостоятельным атакам сдачу своего ПО в аренду. Так сказать, Malware-as-a-Service. Причем, как и остальные герои нашей подборки, подходят к делу с душой.

Торговцы зловредом сделали ставку на активный маркетинг: они рекламируют свое детище, предлагают выгодные тарифы желающим перепродать его и осуществляют поддержку пользователей через форум Black&White Guys.

Среди достоинств трояна, красочно расписываемых авторами, — удаленный контроль над зараженным устройством, в том числе доступ к веб-камерам, неограниченные манипуляции с файлами и программами и возможность управлять диспетчером задач. Кроме того, зловред отслеживает работающие на компьютере файрволы и антивирусы.

Впрочем, рекламируя свои услуги, они не ограничивались описаниями достоинств «продукта». Чтобы окончательно убедить потенциальных клиентов в исключительности своей программы, умельцы наглядно демонстрируют недостатки конкурирующих решений. Причем не в теории, а на практике: разработчики периодически выкладывают в даркнет взломанные версии других троянов.

Так что малварщики не только распространяют свой вредонос, но и дают возможность совершенно посторонним злоумышленникам пользоваться наработками своих конкурентов. Феерический рассадник заразы.

Древности

Семейство «Yanshort»
Вирусы семейства стандартным образом заражают EXE-файлы во всех каталогах текущего диска. Не опасны. Зараженные файлы содержат строку «motherfucker», по которой вирус различает зараженные и незараженные файлы. Вирус «Yanshort-1961» проявляется проигрыванием мелодии «Yankee Doodle Dandy» при запуске зараженной программы. При некоторых условиях программы, пораженные вирусом «Yanshort-1624», зависают при запуске.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

  • Блог компании «Лаборатория Касперского»
  • Информационная безопасность

Как найти и удалить вирус-майнер с компьютера

Во время онлайн-серфинга есть риск заразить компьютер скрытым вирусом-майнером. Он может самостоятельно использовать ПК или ноутбук для майнинга криптовалюты. Причем антивирус не всегда эффективен против такой программы, и от неё бывает сложно избавиться.

Что такое скрытый майнинг-вирус

Вредоносные программы-майнеры относятся к троянской группе вирусов. Они незаметно проникают в систему Windows и начинают использовать аппаратные ресурсы компьютера или ноутбука для майнинга криптовалюты.

Как только пользователь обнаружил, что такой майнинг выполняется с его ПК, необходимо сразу избавиться от вредоносной программы.

Чем опасен вирус-майнер для ПК

Если троян находится в системе Windows, то использование компьютера или ноутбука становится небезопасным. Любые пароли могут быть вычислены, а данные — удалены или украдены.

Если это троянская программа для майнинга, то она еще и негативно влияет на видеокарту и процессор. Работать на перегруженном ПК становится некомфортно. К тому же скрытый майнинг приводит к ускоренному износу оборудования.

Особенно чувствительны к таким нагрузкам ноутбуки. Они могут выходить из строя уже через несколько часов фонового майнинга. Вот почему нужно как можно скорее избавляться от скрытых программ.

Виды скрытых вирусов для майнинга

Вирусы для майнинга можно разделить на две основные группы.

Скрытый криптоджекинг

Такой вирус не загружается на ПК или ноутбук, а существует в виде встроенного в сайт онлайн-скрипта.

Когда пользователь попадает на зараженную страницу, скрипт активируется и ресурсы компьютера или ноутбука начинают использоваться для майнинга криптовалюты. А поскольку майнинг-программа встроена в сайт, антивирус не может ее удалить.

Обнаружить, что вредоносный скрипт начал работать против компьютера, можно по возросшей загрузке процессора.

Классический майнинг-вирус

Такой вирус имеет вид архива или файла. Он устанавливается незаметно, против желания пользователя. Если его не удалить, он будет запускаться при каждом включении компьютера.

Как правило, у такой программы только одна функция – использовать ПК для майнинга криптовалюты. Но иногда можно «подхватить» скрытый вирус, который проверяет кошельки пользователя и переводит его средства на счета хакера.

Как понять, что ПК заражен

Чтобы удалить вирус-майнер, его необходимо распознать. Проверьте компьютер антивирусом и выполните поиск зараженных файлов, если обнаружены такие симптомы:

  • Перегрузка видеокарты. Распознать эту проблему можно по внешним признакам: GPU начинает сильно шуметь (из-за интенсивного вращения кулера) и становится горячей на ощупь. Также определить нагрузку можно при помощи бесплатной программы GPU-Z.
  • Медленная работа ПК. Когда компьютер или ноутбук тормозит, нужно через диспетчер задач проверить нагрузку процессора. Если этот показатель на уровне 60% и более, то система Windows может быть заражена вирусом-майнером.
  • Повышенный расход RAM. Скрытый майнер использует все доступные ресурсы компьютера, в том числе оперативную память.
  • Удаление файлов, информации или настроек против желания пользователя и без его одобрения.
  • Повышенный расход онлайн-трафика. Скрытый майнер активен постоянно. А иногда трояны могут быть частью ботнета – хакерской сети, которая используется для DDOS-атак против внешних систем.
  • Замедление работы браузера. При поиске и посещении сайтов происходит отключение онлайн-соединения или удаление вкладок.
  • Диспетчер задач находит процессы с незнакомыми названиями, например «asikadl.exe».

Как найти и удалить скрытый вирус-майнер

Если обнаружен хоть один из описанных симптомов, необходимо проверить систему Windows антивирусом. Он помогает бороться против вредоносного софта и удалять его.

После проверки антивирусом стоит запустить программу Ccleaner или её аналог. Она находит и убирает из системы Windows весь мусор, который работает против неё. Для завершения процесса удаления нужно перезагрузить компьютер.

Иногда появляются вирусы для майнинга, которые могут добавлять себя в список доверенных программ. Тогда антивирус не сможет их найти и удалить.

Также новые майнеры умеют обнаруживать диспетчер задач и отключаться до того, как он появится на экране. Но в любом случае нужно проверять все процессы.

Ручной поиск скрытого майнера

Для ручной проверки компьютера откройте реестр:

  1. Нажмите сочетание клавиш Win+R.
  2. В появившемся окне введите слово regedit.
  3. Нажмите «ОК».

В открывшемся реестре можно обнаружить подозрительный процесс.

Для проверки необходимо:

  • нажать Ctrl+F;
  • в строке поиска ввести название вредоносной задачи;
  • нажать кнопку «Найти».

Таким образом можно обнаружить процессы, которые расходуют ресурсы. Часто у них названия в виде случайного набора символов.

После этого нужно избавиться от всех найденных подозрительных записей и перезагрузить компьютер. Если скрытый майнинг обнаружится повторно, значит, избавиться от вируса не удалось и нужно проверять компьютер другими способами.

Поиск скрытого майнера через планировщик задач

Чтобы вычислить скрытый майнинг через планировщик в Windows 10:

  • нажмите Win+R;
  • введите taskschd.msc в поле «Открыть»;
  • нажмите «ОК».

В окне планировщика заданий нужно найти и открыть папку «Библиотека планировщика заданий». В ней будут процессы, которые загружаются автоматически. Если кликнуть по любому из них, то в нижней части окна отобразится информация о задаче.

Здесь нужно проверить вкладки «Триггеры» и «Действия»:

  • В «Триггерах» указано, когда и как часто запускается процесс. Обратите внимание на те, что активируются при каждом включении ПК.
  • В «Условиях» можно найти информацию о том, за что именно отвечает этот процесс: например, за обнаружение и загрузку определённой программы.

Подозрительные процессы необходимо убрать. Для этого нужно кликнуть правой кнопкой мыши по названию задачи и выбрать пункт «Отключить». При этом удаления майнинг-вируса не происходит, но он не сможет полноценно работать.

Остановив подозрительные задачи, нужно проверить загрузку процессора. Если он начал работать нормально, то найденные программы нужно убрать из автозагрузки. Удаление выполняется так же, как и отключение, только кликнуть нужно на пункт «Удалить».

Более тщательно проверить автозагрузку можно с помощью бесплатной программы AnVir Task Manager. Она ищет и проверяет задачи, которые запускаются автоматически.

Для обнаружения и удаления более сложного вредоносного софта нужно загрузить антивирус, например программу Dr. Web. Она выполняет глубокую проверку системы Windows. Через ее интерфейс можно избавиться от любых подозрительных файлов и процессов (не только от скрытого майнинга).

Перед тем как удалять вирус, лучше создать бэкап для восстановления системы.

Защита компьютера от майнинг-вирусов

Защитить ПК помогут следующие рекомендации:

  • Установите на ПК образ чистой и проверенной системы Windows. Если обнаружены признаки заражения скрытым майнером, нужно запустить процесс ее восстановления. Это можно делать каждые 2—3 месяца.
  • Установите антивирус. Важно регулярно обновлять антивирусные базы.
  • Не забывайте проверять информацию о программах перед их скачиванием. Так можно обнаружить вирус для майнинга еще до того, как он попадет на ПК.
  • Проверяйте антивирусом все скачанные файлы и при обнаружении вируса удаляйте его. Так можно избавиться от программ скрытого майнинга, которые уже скачаны, но еще не запущены.
  • Работайте онлайн с включенными антивирусом и брандмауэром. Если софт обнаружит опасный сайт, лучше его закрыть.
  • Внесите опасные сайты в файл hosts. Для этого можно использовать списки с портала GitHub. В нём есть раздел с информацией для обнаружения браузерного майнинга. Там же размещена инструкция, как защититься от вирусов.
  • Не выполняйте действия от имени администратора. Если таким образом запустить программу-майнер, то она получит максимальный доступ к ресурсам ПК и избавиться от нее будет очень сложно.
  • Разрешите запуск только проверенных программ. Для этого в системе Windows есть утилита secpol.msc. В ней можно создать политику проверки и ограниченного использования ПО.
  • Установите разрешение на использование только определенных портов. Соответствующие настройки находятся в меню антивируса и брандмауэра.
  • Установите на роутере надежный пароль, а также уберите его обнаружение и удаленный онлайн-доступ.
  • Запретите другим пользователям поиск и установку программ.
  • Поставьте пароль к системе Windows, чтобы исключить возможность несанкционированного использования ПК.
  • Не заходите на сомнительные сайты без онлайн-сертификатов. Безопасные ресурсы можно узнать по значку ssl (https).
  • Заблокируйте скриптовые коды JavaScript, которые находятся в настройках браузера. Так можно убрать возможность запуска вредоносного кода, подключающегося онлайн через браузер. При этом подвижные элементы сайтов тоже перестанут корректно определяться и отображаться.
  • Включите обнаружение и защиту против майнинга в браузере Chrome. Это можно сделать в настройках в разделе «Конфиденциальность и безопасность».

В качестве дополнительной меры защиты можно установить фильтры поиска и удаления рекламных баннеров – AdBlock, uBlock и прочие.

Как скрыть майнер на компьютере

Добыча криптовалют – популярный вид заработка на сегодняшний день. Добывать монеты можно различными способами, но к сожалению, не все они легальны. Существуют специальные вредоносные программы – скрытые майнеры, которые добывают монеты, используя полезные ресурсы (а именно вычислительную мощность) чужих устройств. При этом, пользователь компьютера или смартфона может даже не догадываться о наличии «незваного гостя» на своем устройстве.

Как скрыть майнер на компьютере

Как скрыть майнер на компьютере

Злоумышленникам достаточно внедрить вирус на чужой компьютер, чтобы начать зарабатывать на нем деньги.

Вредоносная программа помимо скрытого майнинга может:

  • Воровать важные сведения
  • Получать доступы и пароли к кошелькам, где хранятся электронные деньги
  • Получать данные для входа в социальные сети

Как правило, вирус попадает на компьютер вместе со скачанным файлом и автоматически распаковывается без ведома владельца устройства. Программа может быть незамеченной долгое время. Многие пользователи, которые столкнулись с такой проблемой, задаются вопросом: почему вирусу удается оставаться скрытым? Ответ заключается в том, что злоумышленники создают вредоносные программы таким образом, чтобы они попадали на устройства со скачанными файлами,

а именно:

  • Документы
  • Видео
  • Картинки
  • Игры
  • Программы
  • Приложения

К тому же, установка файла осуществляется в так называемом «тихом» режиме. Скрытый майнинг совершается под одной из служб Виндоуз и может вообще никак не отображаться. Специфика такого рода нелегальной добычи криптовалюты заключается в том, что работа ее прекращается сразу при увеличении нагрузок. Это делается с целью уменьшить торможение и выдать вирус. Иногда система может даже скрывать исходный код вредоносного ПО, которое в автоматическом режиме восстанавливает его запуском bat на компьютере в случае удаления.

Скрытый майнинг хоть и доставляет массу хлопот, но, тем не менее, подергается быстрому обнаружению при сканировании специальными программами. Удалить майнер-вирус также можно различными способами.

Как сервис SkyDNS защищает корпоративные сети от скрытых майнеров

Криптомайнеры атакуют российские компании. Они внедряют в корпоративные сети программы-вирусы для добычи цифровой валюты. Это приводит к тратам системных ресурсов компьютеров и увеличению расходов на электроэнергию. Мы расскажем, как предотвратить заражение сети организации и выявить зловреда при помощи сервиса SkyDNS.

За последние шесть месяцев российские организации были атакованы в среднем 893 раза в неделю. Чаще всего злоумышленники использовали программы для майнинга криптовалюты. Об этом сообщает «Коммерсантъ», ссылаясь на информацию из отчёта компании по кибербезопасности Check Point.

Под удар кибер-преступников попал не только бизнес, но и госсектор. По данным ФСБ в прошлом году были выявлены случаи скрытого майнинга на компьютерах и серверах государственных организаций.

Чем опасны майнеры

Майнеры вынуждают компьютеры работать на максимальном уровне производительности. Это приводит к тому, что простые офисные задачи становится трудно выполнять из-за тормозов системы. Часами прогружается 1С, PowerPoint и Word долго реагируют на действия пользователя, Adobe Photoshop зависает при попытке создания нового слоя.

Скрытые майнеры могут вывести компьютер из строя. От повышенной нагрузки может пострадать процессор, оперативная память и видеокарта. В зоне риска находится и система охлаждения. Она может не выдержать перенапряжения.

Кроме того, добыча криптовалюты расходует большое количество энергоресурсов. А за возросшее потребление электричества будет платить компания, в чьей сети работают зловреды.

Коммерческие организации и органы власти несут убытки от майнеров. Зловреды крадут вычислительные мощности, замедляют работу компьютеров, повышают счета за электроэнергию и сокращают срок эксплуатации устройств.

Как майнеры попадают на компьютеры

Как правило, майнеры попадают на компьютер после загрузки пиратского контента. К примеру, сотрудник скачивает музыку, чтобы развлечь себя во время монотонной работы или загружает взломанную нелицензионную программу для редактуры документов. Вместе с файлами на устройство попадают программы-вирусы.

Поймать скрытый майнер можно и при посещении веб-сайта, заражённого вредоносной программой для майнинга криптовалют. Достаточно просто кликнуть на рекламный баннер и открыть непроверенный интернет-портал.

Сервис SkyDNS — решение для защиты корпоративной сети

Контент-фильтр SkyDNS поможет защитить корпоративную сеть от кибер-угроз. Сервис позволяет:

  • Блокировать не связанные с работой сайты: социальные сети, новости, торрент-трекеры, порталы по поиску работы. Сотрудники не будут тратить рабочее время на нецелевую интернет-активность и скачивать гигабайты торрентов вместе с заражёнными файлами.
  • Защитить сеть от майнеров, вирусов, фишинга и ботнетов. Автоматическая система выявления вредоносных ресурсов SkyDNS обеспечивает надёжную защиту сети.
  • Блокировать интернет-рекламу. Назойливые баннеры не будут отвлекать внимание. Кроме того, на загрузку видеорекламы и флеш роликов не будет тратиться оперативную память. Это позволит ускорить загрузку страниц, сэкономить трафик и обезопаситься от переходов на вирусные сайты.
  • Вести подробную статистику. Если компьютер заражён программой-вирусом, сервис зафиксирует обращения к майнинговым серверам. Это позволит выявить и удалить зловреда.

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *