Скрытый майнинг на компьютере — как обнаружить, удалить. Как найти и удалить скрытый майнинг Как обнаружить скрытый майнер на компьютере

Если ваш компьютер стал «тормозить», а платежи за электричество внезапно увеличились в несколько раз, возможно, вы стали жертвой хакеров, промышляющих скрытым (черным) майнингом.

Скрытый майнинг: как обнаружить и можно ли устранить проблему?

Чтобы заняться добычей криптовалют (майнингом), обычному пользователю требуется несколько вещей: компьютерная техника большой мощности, наличие специального ПО для майнинга, надежный сервер для распределения подписок между членами сообщества майнеров и, конечно, уверенность в собственных силах. Но не все так просто. С каждым днем процесс добычи Bitcoin усложняется, конкуренция между добытчиками растет.

Затраты на электричество – тема отдельного разговора. Уже сегодня одна транзакция «съедает» электроэнергии в полтора раза больше, чем потребляет за день среднестатистическая американская семья. А согласно экспертным прогнозам, через три года расходы на производство самой популярной цифровой валюты будут сопоставимы с годовым расходом электроэнергии такой страны, как Дания.

Ужесточившиеся условия полностью вывели из игры добытчиков биткоинов с домашними компьютерами, но у них пока еще осталась возможность зарабатывать на альтернативных монетах – т. н. альткоинах. По этой причине некоторые «предприимчивые» программисты ищут способы заработка цифровой наличности с использованием чужих компьютерных мощностей.

Криптодобыча на чужом горбу: как это делают хакеры

В любом виде человеческой деятельности есть те, кто работает честно и те, кто пытается поживиться за счет других. И мир майнинга не стал исключением. Кто-то не оплачивает электричество, подтягивая кабель к трансформатору, кто-то пользуется контрабандными китайскими видеокартами. Но больше распространен другой способ «игры без правил» – использование для майнинга чужих компьютеров без ведома их хозяев.

Так, осенью 2017 г. специалисты центра Касперского раскрыли две масштабных сети, занимающиеся майнингом, – на 4 тыс. и 5 тыс. единиц оборудования. Как выяснилось, собственники зараженных компьютеров не имели понятия о своем участии в добыче виртуальных монет, а вот создатели вредоносной программы ежемесячно пополняли свои кошельки тысячами долларов.

Чаще всего черные майнеры берут «в работу» Лайткоины, Feathercoin и Monero – виды криптовалют, не требующих сверхмощного оборудования. Поэтому жертвами становятся в основном пользователи обычных домашних и игровых компьютеров.

Виды черного майнинга

Рассмотрим две разновидности незаконной добычи криптовалюты, которые используют злоумышленники.

  1. Скрытый браузерный майнинг

Наверняка вы знаете, что посещение неизвестных интернет-ресурсов может принести вред компьютеру. Это правило применимо и в нашем случае. Достаточно зайти на страницу, в скрипте которой вписан мошеннический код, и ваш ноутбук или компьютер мгновенно станет составным элементом чьей-то системы для генерации виртуальных монет.

Сегодня рассадником заразы могут стать уже не только неизвестные сайты, но и, как выяснилось не так давно, вполне уважаемые ресурсы. В сентябре текущего года произошел скандал, связанный с официальным сайтом крупного украинского медийного холдинга, посетители которого стали невольными майнерами Монеро. Подобное обвинение чуть позже было выдвинуто известному телеканалу ShowTime (США).

  1. Вирус-майнеры

Первая информация о вирус-майнерах относится к 2011 году. С того времени они продолжает атаковать технику рядовых юзеров в разных странах мира. Заразиться можно, перейдя по ссылке из e-mile. В зоне риска – компьютеры большой мощности, преимущественно игровые.

В целом вирусы более опасны в сравнении с браузерным майнингом, поскольку они активнее используют мощности компьютерной техники. При этом их жертвами становятся сотни тысяч пользователей по всему миру.

Как проверить скрытый майнинг?

Первый и самый очевидный признак заражения компьютера – замедление работы. Если техника большую часть времени работает нормально и начинает тормозить только на одном сайте, возможно, черные майнеры проникли в ваш компьютер через браузер. Опаснее всего в этом плане сайты, требующие продолжительного времени нахождения пользователя, – торрент-трекеры, ресурсы для компьютерных игр и просмотра фильмов. Очень часто атакам вируса подвергается техника геймеров с мощными процессорами и видеокартами. Еще один симптом заражения – резкое увеличение потребления электричества.

Главная сложность проверки на скрытый майнинг состоит в том, что антивирусные программы идентифицируют его не как вирус, а как потенциально опасное ПО. Ведь фактически майнеры только воруют ресурсы чужого компьютера, но не могут стать причиной технических сбоев или поломок. Это тоже важно понимать.

Вирусные программы скрытого майнинга

Перечислим основные вредоносные программы, о которых важно знать пользователям для повышения безопасности своего оборудования.

  1. Miner Bitcoin (троян). Как правило, люди загружают свои компьютеры примерно на 18-20 % мощности, в то время как Майнер биткоин повышает этот показатель до 80-ти, а иногда и до 100 %. Помимо незаконного использования ресурсов, шпионская программа ворует личную информацию и даже может открыть злоумышленникам доступ к вашим кошелькам. Распространяется данный вид трояна преимущественно через скайп; его также можно подхватить, скачивая фото или документы Word.
  2. EpicScale. Данную программу обнаружили посетители uTorrent. Отвечая на обоснованные обвинения, владельцы компании заявили, что полученные таким способом средства они отправляют… на благотворительность. При этом пользователи не получили объяснений по поводу того, почему их «забыли» вовремя проинформировать об участи в этой «благотворительной акции». Примечательно, что от EpicScale невозможно избавиться полностью, после удаления исполнительные файлы вирусного ПО остаются в компьютере. Позднее аналогичный скандал разгорелся вокруг торрент-трекера Pirate Bay.
  3. JS / Coin Miner. Вредная программа, позволяющая добывать криптовалюту через браузеры чужих компьютеров путем внедрения специальных скриптов. В зоне особого риска – пользователи порталов онлайн-просмотра видео и игровых сайтов. Такие сайты загружают процессор, поэтому в большинстве случаев JS/CoinMiner остается незамеченным. Для обнаружения мошеннического скрипта нужно проверить, есть ли он в перечне miner-скриптов.

Как блокировать скрытый браузерный майнинг

На сегодняшний день есть несколько действенных способов защиты от атак черных майнеров на браузер:

  1. Отредактировать файл hosts.
  2. Установить браузерное расширение NoCoin и утилиту Anti-Web Miner.
  3. Отключить в своем браузере JavaScript, используя No Script.
  4. Добавить антимайнинг uBlock и AdBlock.

Но если с ДжаваСкрипт и утилитами все достаточно понятно, то редакция hosts нуждается в более подробном рассмотрении. Ниже мы размещаем инструкцию, как это сделать:

После этих несложных действий ваш браузер получит надежную защиту от заражения.

Защита от скрытого вирусного майнинга: меры предосторожности

Базовые правила защиты: не ходите по сомнительным ссылкам, не качайте продукты, не имеющие лицензии; не активируйте ключи из непонятных источников.

А теперь еще несколько важных правил для безопасной работы с компьютером:

  1. Недостаточно просто установить антивирус, нужно систематически обновлять его.
  2. Создайте себе учетную запись в Windows и ежедневно заходите через нее. Поскольку для установки любых программ нужны права администратора, риск случайно скачать и запустить вредоносную программу будет устранен.
  3. Для техники от компании Apple лучшим решением будет установка функции, допускающей скачивание ПО только из AppStore.
  4. При первых признаках замедления скорости запускайте «диспетчер задач» и проверьте, нет ли на вашем компьютере программы, которая использует его на пределе его мощности (80-100 %). Даже если вы ее не обнаружите, не спешите успокаиваться, ведь существуют вирусы, которые задействуют меньше мощности.
  5. Установите специальные утилиты, которые обеспечивают защиту от вирусов и сообщают об обновлениях в реестре. Оптимальный вариант – одновременная установка Request Policy Continued и uMatrix, а для тех, кто использует Google Chrome, в дополнение к ним блокировщик Антимайнер.

Если же вам не удается самостоятельно найти опасную программу, можете переустановить Windows, запустить другой антивирус или обратиться за помощью к профессиональному программисту.

  • Подборки новостей один раз в день к вам на Email:
  • Подборки криптоновостей 1 раз в день в Телеграме: BitExpert
  • Инсайды, прогнозы обсуждения важных тем у нас в Телеграм чате: BitExpert Chat
  • Вся лента криптоновостей журнала BitExpert у вас в Телеграме: BitExpert LIVE

Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Биткоин вирус — это троянский конь, который захватывает устройства, чтобы добывать биткоины с использованием графического и центрального процессоров. Эта кибер инфекция также известна как Bitcoin miner, Bitcoin mining или просто BitcoinMiner вирус. Несмотря на разнообразие названий, цель вредоносного ПО остается неизменной — делать незаконно деньги.

Для тех, кто еще не слышал этого термина, мы скажем, что биткоин — это виртуальная валюта, появившаяся в 2008 году. Однако она был запущена более широко только в 2011. Биткоины уже достигли оборотов больше чем 16 миллионов на 1 августа 2017.

Неудивительно, что даже самые уважаемые компании подтверждают эту валюту. Однако эта валюта создается не через центральное денежное агентство, а через компьютеры, которые выполняют криптографические вычисления с интенсивным использованием процессора. Поэтому киберпреступники всегда ищут новые способы воспользоваться этой возможностью, создавая новые версии вредоносных программ Bitcoin.

Bitcoin miner вирус имеет несколько версий. Наиболее известные из них называются CPU Miner и Vnlgp Miner . К сожалению, но вы вряд ли заметите, когда ваш компьютер заражен этим. По мнению экспертов, это вредоносное ПО пытается скрыться, пытаясь работать только тогда, когда пользователь не использует свой компьютер.

Тем не менее, вы можете заметить Bitcoin вирус, проверяя скорость вашего ПК. Известно, что использование процессора машины значительно возрастает, когда этот вирус проникает в него, поэтому не игнорируйте такие изменения. Более того, троянский конь также может открыть бэкдор или загрузить другие вредоносные программы.

Если вы заметили замедление работы системы или другие подозрительные действия, вы должны убедиться, что ваш компьютер не заражен. Если вы подозреваете что-то странное, вы должны проверить компьютер с помощью или . Программное обеспечение безопасности удалит Bitcoin вирус и прекратит его злонамеренную деятельность.

Эволюция Bitcoin вируса: злонамеренные действия вариант-вымогателя

Bitcoin вымогатель — это конкретная версия Bitcoin вируса, которая может проникнуть на компьютер без одобрения пользователя, а затем зашифровать каждый из его/ее файлов. Эта угроза была замечена после шифрования всей сети одного медицинского центра в США. Тем не менее, она может также повлиять на простых домашних пользователей, оставив их без файлов.

После завершения шифрования файлов жертвы Bitcoin вымогатель отображает предупреждающее сообщение с просьбой заплатить выкуп 1,5 биткойна. Пожалуйста, НЕ платите, так как в итоге вы ничего не получите! Имейте в виду, что вы имеете дело с мошенниками, которые могут забрать у вас ваши деньги и оставить вас без специального кода, необходимого для расшифровки ваших зашифрованных файлов.

В этом случае вы должны выполнить удаление Bitcoin вируса с помощью и попытаться расшифровать ваши файлы с помощью этих инструментов: Photorec и R-studio . Имейте в виду, что общение с киберпреступниками никогда не является хорошим вариантом!

В конце июля 2017 года сообщалось, что вредоносное ПО для майнинга криптовалюты заразило 25% пользователей компьютеров в России. Однако некоторые источники сообщают, что эта кибер-инфекция, возможно, проникла на 30% российских компьютеров.

Согласно официальным данным, большинство уязвимых устройств работают на ОС Windows. В то время как, компьютеры Mac и iPhone сильно не пострадали от вируса.

Информация о Bitcoin mining вирусе была опубликована в интернете. Однако специалисты по безопасности и поставщики антивирусных программ заявляют, что масштабы атаки преувеличены. Эксперты согласны с тем, что в прошлом было несколько проблем с этим вредоносным ПО, но не так много, как сейчас.

Представитель Kaspersky, являющийся одним из основных российских антивирусных поставщиков, утверждает, что если бы такая огромная атака была проведена, они бы это заметили. Однако с начала года только 6% их клиентов пострадали от BitcoinMiner.

Способы заражения инфекцией

По словам экспертов по безопасности, Bitcoin вирус распространяется в основном через сеть Skype, но он также замечен в других социальных сетях, поэтому остерегайтесь этого. Как правило, этот вирус полагается на спам сообщение, которое утверждает что-то вроде “это мое любимое изображение тебя” и прикрепляет вредоносный файл. Конечно, вирус пытается убедить жертв загрузить файл.

Если вы хотите избежать этого, держитесь подальше от таких сообщений. Как только жертва загружает “фотографию”, она не только позволяет вредоносным угрозам войти внутрь машины, но и позволяет вирусу подключить ПК к удаленному серверу управления.

После проникновения и активации, вирус превращает зараженную машину в генератор биткойнов. Тем не менее, он также может быть разработан для кражи банковских реквизитов, записи нажатий клавиш или загрузки еще большего количества вредоносных программ на целевом ПК. Вот почему вы должны удалить Bitcoin вирус, как только он попадет в компьютер.

Объяснение — как удалить Bitcoin вирус

Если вы считаете, что ваш компьютер заражен вредоносными программами, вы должны сканировать его с помощью обновленного программного обеспечения безопасности, такого как или . Если ваше устройство заражено, выбранный вами инструмент немедленно удалит вирус Bitcoin.

Эти программы также должны помочь вам удалить Bitcoin вирус из системы. Однако иногда вирусы, которые классифицируются как вымогатели, блокируют антивирусное ПО, чтобы предотвратить свое удаление. Если вы имеете дело с такой проблемой прямо сейчас, следуйте приведенному ниже руководству.

О том, что антивирусная компания ESET отметила рост распространенности браузерного майнера, который добывает криптовалюту без ведома пользователя. Более того, по данным за декабрь прошлого года он возглавил рейтинг белорусских киберугроз. В нашем материале мы расскажем, как распознать, что кто-то использует ваш компьютер в корыстных целях, и избавиться от скрытого майнинга.

Браузер или компьютер

Напомним, майнинг — это процесс добычи криптовалюты с помощью сложных вычислений, которые проходят на компьютере. На данный момент есть два основных способа «зловредного майнинга».

В первом случае программа-майнер скрыто устанавливается на ваш компьютер и начинает постоянно использовать его мощности — процессор и видеокарту. Во втором случае, и именно об этом предупреждает ESET, майнинг происходит только тогда, когда вы заходите на зараженный сайт («браузерный майнинг»).

Разумеется, первый способ для злоумышленников гораздо предпочтительнее, пусть и более сложный — ведь компьютер для начала нужно как-то заразить. Второй — проще, а нужную мощность злоумышленники «добирают» за счет большого числа пользователей, заходящих на сайт.

Главный симптом

Самый первый (и главный) симптом, по которому вы можете заподозрить майнинг — компьютер начинает постоянно «подтормаживать» в безобидных ситуациях. Например, когда у вас всё время шумит кулер, нагревается или зависает ноутбук в то время, как на нем запущен лишь браузер с тремя вкладками.

Понятно, что такие симптомы характерны не только для майнинга — у вас в этот момент просто может быть запущен «тяжелый» фоновый процесс (например, обновляться ПО). Но если компьютер работает в подобном нагруженном режиме постоянно — это серьезный повод для подозрений.

К сожалению, только на антивирусы здесь полагаться не стоит. Вот, что, например, пишет по поводу таких программ «Лаборатория Касперского»:

Майнеры — программы не зловредные. Потому они входят в выделенную нами категорию Riskware — ПО, которое само по себе легально, но при этом может быть использовано в зловредных целях. По умолчанию Kaspersky Internet Security не блокирует и не удаляет такие программы, поскольку пользователь мог установить их осознанно.

Антивирус может не сработать и в случае скрытого браузерного майнинга.

Как обнаружить майнера?

Самый простой способ, который можно попробовать для выявления зловредного процесса, «съедающего» все ресурсы вашего компьютера, — запуск встроенного в систему диспетчера задач (В Windows он вызывается сочетанием клавиш Ctrl+Shift+Esc).


Диспетчер задач в Windows

Если вы увидите, что какой-то непонятный процесс очень сильно — на десятки процентов — загружает процессор (колонка ЦП на картинке выше), а вы при этом не запустили «тяжелую» игру и не монтируете видео, — это вполне может оказаться майнингом.

Кстати, свой диспетчер задач есть и в популярном у белорусов Chrome — для его запуска нужно щелкнуть правой кнопкой мыши на свободной от вкладок области над адресной строкой и выбрать соответствующий пункт. Тогда вы и увидите, какая вкладка — виновник загрузки компьютера.

К сожалению, далеко не всегда диспетчер задач может оказаться полезным. Современные майнеры умеют, например, приостанавливать работу при его запуске или «прятаться» в стандартные процессы, вроде svchost. exe, chrome. exe или steam.exe.

В таком случае можно использовать дополнительный, более продвинутый софт — например, программу AnVir Task Manager.

С ее помощью гораздо проще выявлять подозрительные процессы. Все неопределенные строки подсвечиваются красным и о каждом процессе (в том числе скрытом!) можно получить максимальную информацию, но самое главное — любой запущенный у вас процесс можно проверить на сайте VirusTotal.

И что с ним делать?

Проще всего, если майнинг происходит при открытии зараженного сайта. В этом случае вам просто нужно закрыть эту вкладку в браузере.

Хуже, если программа-майнер попала на ваш компьютер. В этом случае можно для начала попробовать закрыть вредоносный процесс в диспетчере задач и удалить его из автозагрузки, однако, как правило, не всё так просто .

У майнеров могут быть н естандартные способы запуска, н аличие двух процессов, которые перезапускают друг друга в случае попыток их завершить. Кроме того, может быть инициирована п .

На помощь здесь должны прийти антивирусные программы. Если по каким-то причинам антивирус не «отлавливает» майнера в стандартном режиме, можно попробовать записать на флешку портативный бесплатный сканер, например, Web CureIt! или Kaspersky Virus Removal Tool и загрузить компьютер в безопасном режиме.

Для его запуска (на Windows, кроме «десятки») нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант. В Windows 10 при перезагрузке этого сделать нельзя. Поэтому нужно открыть окно «Выполнить» (сочетание клавиш Win+R), ввести там команду msconfig, затем выбрать раздел «Конфигурация системы», «Загрузка» и выставить безопасный режим, после чего перезагрузить компьютер.

Загрузившись в безопасном режиме, нужно запустить антивирусный сканер с флешки.

Как мы писали выше, не всегда антивирусы считают программы-майнеры вредоносным софтом — ведь вы можете майнить и для себя.

Но, например, «Антивирус Касперского» выделяет их в категорию Riskware (ПО с риском). Чтобы обнаружить и удалить объект из этой категории, необходимо зайти в настройки защитного решения, найти там раздел «Угрозы и обнаружение» и поставить галочку напротив пункта «Другие программы». Схожее решение предлагает и ESET — для выявления майнеров (в том числе и на посещаемых сайтах) нужно включить в настройках обнаружение потенциально нежелательных приложений.

Если майнинг продолжается и после этих манипуляций, можно попробовать и более радикальный метод — переустановку операционной системы.

Как предохраниться?

Если речь идет о браузерном майнинге, то помимо антивирусных решений, определяющих зловредные javascript на сайтах, уже появились расширения браузера, позволяющие засечь майнеров — например, No Coin или Mining Blocker.

Если вы не хотите, чтобы программа-майнер попала на ваш компьютер, то регулярно устанавливайте обновления, предлагаемые операционной системой, и обязательно используйте антивирусные программы с включенным мониторингом.

Здесь нужно помнить, что антивирусы могут не обнаружить программу-майнер, но почти наверняка зафиксируют программу-дроппер, главная цель которой — скрыто установить майнер. В дополнение к антивирусу можно добавить пару старых, но по-прежнему эффективных советов — не кликайте на подозрительные ссылки в Сети и не открывайте приходящий в почту спам.

Также помните, что с установкой легального софта вероятность получить в довесок майнер ничтожно мала. Тогда как при скачивании взломанных программ или «краков» этот риск сильно увеличивается.

А что со смартфонами?

Смартфон — это тоже компьютер, поэтому и схемы злоумышленников здесь схожи. Например, в конце прошлого года специалисты по безопасности в Google Play вредоносное ПО, которое использовало мобильные гаджеты для майнинга криптовалют без ведома владельца.

Вирус-майнер (майнер, Биткоин майнер) – это вредоносное программное обеспечение, основной целью которого является майнинг (mining) - заработок криптовалюты с использованием ресурсов компьютера жертвы. В идеальном случае, такое программное обеспечение должно работать максимально скрытно, иметь высокую живучесть и низкую вероятность обнаружения антивирусными программами. ”Качественный” вирус-майнер малозаметен, почти не мешает работе пользователя и с трудом обнаруживается антивирусным ПО. Основным внешним проявлением вирусного заражения является повышенное потребление ресурсов компьютера и, как следствие – дополнительный нагрев и рост шума от вентиляторов системы охлаждения. В случае ”некачественного” вируса-майнера, в дополнение к перечисленным симптомам, наблюдается снижение общей производительности компьютера, кратковременные подвисания или даже неработоспособность некоторых программ.

Что такое майнинг?

Слово ”майнинг” происходит от английского ”mining”, что означает ”разработка полезных ископаемых”. Майнинг - это не что иное, как процесс создания новых единиц криптовалюты (криптомонет) по специальному алгоритму. На сегодняшний день существует около тысячи разновидностей криптовалют, хотя все они используют алгоритмы и протоколы наиболее известного начинателя - Bitcoin .

Процесс майнинга представляет собой решение сложных ресурсоемких задач для получения уникального набора данных, подтверждающего достоверность платежных транзакций. Скорость нахождения и количество единиц криптовалюты, получаемых в виде вознаграждения, различны в системах разных валют, но в любом случае требуют значительных вычислительных ресурсов. Мощность оборудования для майнинга обычно измеряется в мегахешах (MHash) и гигахешах (GHash). Так как сложность майнинга наиболее дорогих криптовалют уже давно недостижима на отдельно взятом компьютере, для заработка используются специальные фермы , представляющие собой мощные вычислительные системы промышленного уровня и пулы майнинга - компьютерные сети, в которых процесс майнинга распределяется между всеми участниками сети. Майнинг в общем пуле - это единственный способ для простого пользователя поучаствовать в получении хотя бы небольшой прибыли от процесса создания криптомонет. Пулы предлагают разнообразные модели распределения прибыли, учитывающие в том числе и мощность клиентского оборудования. Ну и вполне понятно, что загнав в пул десятки, сотни и даже тысячи зараженных майнером компьютеров, злоумышленники получают определенную прибыль от эксплуатации чужого компьютерного оборудования.

Вирусы-майнеры нацелены на долговременное использование компьютера жертвы и при заражении, как правило, устанавливается вспомогательное ПО, восстанавливающее основную программу майнинга в случае ее повреждения, удаления антивирусом или аварийного завершения по каким-либо причинам. Естественно, основная программа настраивается таким образом, чтобы результаты майнинга были привязаны к учетным записям злоумышленников в используемом пуле. В качестве основной программы используется легальное программное обеспечение для майнинга, которое загружается с официальных сайтов криптовалют или специальных ресурсов пулов и, фактически, не являющееся вредоносным программным обеспечением (вирусом, вирусным программным обеспечением - ПО). Это же ПО вы можете сами скачать и установить на собственном компьютере, не вызывая особых подозрений у антивируса, используемого в вашей системе. И это говорит не о низком качестве антивирусного ПО, а скорее наоборот – об отсутствии событий ложной тревоги, ведь вся разница между майнингом, полезным для пользователя, и майнингом, полезным для злоумышленника заключается в том, кому будут принадлежать его результаты, т.е. от учетной записи в пуле.

Как уже упоминалось, главным признаком заражения системы майнером является интенсивное использование ресурсов какой-либо программой, сопровождающееся увеличением уровня шума системного блока, а также температуры комплектующих. При чем, в многозадачной среде, как правило, вирус работает с самым низким приоритетом, используя ресурсы системы только тогда, когда компьютер простаивает. Картина выглядит так: компьютер ничем не занят, простаивает, а его температура комплектующих и издаваемый вентиляцией шум напоминает игровой режим в какой-нибудь очень даже требовательной компьютерной стрелялке. Но, на практике наблюдались случаи, когда приоритет программ для майнинга устанавливался в стандартное значение, что приводило к резкому падению полезного быстродействия. Компьютер начинает жутко ”тормозить” и им практически невозможно было пользоваться.

Удаление майнера с использованием отката на точку восстановления

Самым простым способом избавления от нежелательного ПО является возврат предыдущего состояния Windows с использованием точек восстановления, часто называемый откатом системы. Для этого необходимо, чтобы существовала точка восстановления, созданная в тот момент времени, когда заражение еще не произошло. Для запуска средства восстановления можно воспользоваться комбинацией клавиш Win+r и набором команды rstrui.exe в открывшемся поле ввода. Или воспользоваться главным меню – ”Программы – Стандартные – Служебные – Восстановление системы”. Далее, выбираете нужную точку восстановления и выполняете откат на нее. При успешном откате, в большинстве случаев, удается избавиться от вируса без особых усилий. Если же нет подходящей точки восстановления или откат не привел к нейтрализации вируса, придется искать более сложные пути для разрешения данной проблемы. При этом можно воспользоваться стандартными средствами операционной системы или специализированными программами, позволяющими выполнять поиск и завершение процессов, получение сведений об их свойствах, просмотр и модификацию точек автозапуска программ, проверки цифровых подписей издателей и т.п. Такая работа требует определенной квалификации пользователя и навыков в использовании командной строки, редактора реестра и прочих служебных утилит. Использование же нескольких антивирусных сканеров разных производителей, программ для очистки системы и удаления нежелательного ПО может не дать положительного результата, и в случае с майнером – обычно не дает.

Поиск и удаления майнера с использованием утилит из пакета Sysinternals Suite

Сложность выявления программ, используемых для майнинга, заключается в том, что они не обнаруживаются большинством антивирусов, поскольку фактически не являются вирусами. Есть вероятность, что антивирус может предотвратить процесс установки майнера, поскольку при этом используются не совсем обычные программные средства, но если этого не произошло, искать и удалять вредоносную (с точки зрения владельца зараженного компьютера) программу, скорее всего, придется вручную. К сведению, в июне 2017г. средний уровень выявления вредоносности подобного ПО, например, средствами известного ресурса Virustotal составлял 15-20/62 – т.е. из 62 антивирусов, только 15-20 посчитали его вредоносной программой. При чем, наиболее популярные и качественные антивирусные программы в эту группу не входят. Для хорошо известных или обнаруженных относительно давно вирусов уровень выявления вредоносности может быть выше благодаря сигнатурам антивирусных баз данных и принятия некоторых дополнительных мер разработчиками антивирусных программ. Но все это далеко не всегда позволяет избавиться от вируса майнера без дополнительных усилий, которые потребуется приложить для решения проблемы.

Ниже рассматривается практический случай заражения системы вредоносным ПО для майнинга. Заражение произошло при использовании модифицированных игровых программ, загруженных с одного из недоверенных торент-трекеров. Хотя способ заражения мог быть и другим, как и для любого прочего вредоносного ПО – переход по ссылкам на непроверенных ресурсах, открытие почтовых вложений и т.п.

Набор вредоносных программ для майнинга в интересах злоумышленников реализует следующие функции:

Обеспечение своего автоматического запуска. Одна или несколько программ выполняют модификацию ключей реестра для автоматического запуска в случае непредвиденного завершения, перезагрузки или выключения питания. Периодически (приблизительно 1 раз в минуту) ключи реестра просматриваются и в случае их нарушения (удаления, изменения) - восстанавливаются.

Автоматического запуска программы для майнинга. Программа также запускается автоматически и параметры ее автозапуска отслеживаются и восстанавливаются одной или несколькими вспомогательными программами.

Пока в памяти компьютера выполняются процессы, обеспечивающие автоматический запуск, нет смысла удалять исполняемые файлы и записи в реестре – они все равно будут восстановлены. Поэтому, на первом этапе нужно выявить и принудительно завершить все процессы, обеспечивающие автоматический перезапуск вредоносных программ.

Для поиска и устранения вируса-майнера в современных ОС можно обойтись стандартными средствами или, например, более функциональным ПО из пакета Sysinternals Suite от Microsoft

- Process Explorer – позволяет просматривать подробные сведения о процессах, потоках, использовании ресурсов и т.п. Можно изменять приоритеты, приостанавливать (возобновлять) работу нужных процессов, убивать процессы или деревья процессов. Утилитой удобно пользоваться для анализа свойств процессов и поиска вредоносных программ.

- Autoruns – удобное средство контроля автозапуска программ. Контролирует практически все точки автоматического запуска, начиная от папок автозагрузки и заканчивая задачами планировщика. Позволяет быстро обнаружить и изолировать программы, запуск которых не желателен.

В качестве вспомогательного ПО можно также воспользоваться утилитой Process Monitor , которая в сложных случаях позволяет отслеживать активность конкретных программ с использованием фильтров (обращение к реестру, файловой системе, сети и т.п.) А также удобной для поиска файлов и папок утилитой SearhMyfiles от Nirsoft , главной особенностью которой является возможность поиска файлов и папок с использованием отметок времени файловой системы NTFS (Time stamp). В качестве критериев поиска, можно задавать диапазоны времени создания, модификации и доступа для файлов и папок (Created, Modified, Accessed). Если известно приблизительное время заражения или взлома, можно собрать полный список файлов, которые были созданы или изменены в заданный период.

Но повторюсь, для поиска и удаления майнеров, как правило, достаточно использования стандартных средств Windows - диспетчера задач и редактора реестра. Просто перечисленное выше ПО проще в использовании и удобнее для поиска вредоносных программ.

Cведения об использовании ресурсов системы, отображаемые Process Explorer:

Колонка CPU отображает степень использования центрального процессора различными процессами. System Idle Process - это не процесс, а индикация программой режима простоя (бездействия). В итоге видим, что процессор находится в режиме бездействия 49.23% времени, часть процессов используют сотые доли его ресурсов, а основным потребителем CPU является процесс system.exe - 49.90%. Даже при поверхностном анализе свойств процесса system.exe , заметны факты, которые вызывают обоснованное подозрение:

Странное описание (Description) – Microsoft Center

Странное имя компании (Company Name) – www.microsoft.com Прочие процессы, действительно имеющие отношение к Microsoft в качестве описания имеют строку Microsoft Corporation

Более подробный анализ выполняется через контекстное меню, вызываемое правой кнопкой мышки – пункт Properties:

Путь исполняемого файла ProgramData\System32\system.exe также является явно подозрительным, а переход в паку с исполняемым файлом при нажатии на соответствующую кнопку Explore показал, что и сама папка и исполняемый файл имеют атрибуты ”Скрытый” (”Hidden”). Ну, и параметры командной строки:

-o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [email protected]*-p x -t 2 –k явно указывают на то, что процесс system.exe – это программа-майнер (для использования пулов pool.minergate.com).

Поле Autostart Location содержит значение n/a , что означает, что данный процесс не имеет точек автоматического запуска. Родительский процесс для system.exe имеет идентификатор PID=4928, и на данный момент не существует (Non existent Process ), что с большой долей вероятности говорит о том, что запуск процесса был выполнен с использованием командного файла или программы, которая завершила свою работу после запуска. Кнопка Verify предназначена для принудительной проверки наличия родительского процесса.

Кнопка Kill Process позволяет завершить текущий процесс. Это же действие можно выполнить с использованием контекстного меню, вызываемого правой кнопкой мышки для выбранного процесса.

Вкладка TCP/IP позволяет получить список сетевых соединений процесса system.exe:

Как видно, процесс system.exe имеет установленное соединение локальный компьютер – удаленный сервер static.194.9.130.94.clients.your-server.de:45560.

В данном реальном случае, процесс system.exe имел минимальный приоритет и почти не влиял на работу прочих процессов, не требующих повышенного потребления ресурсов. Но для того, чтобы оценить влияние на поведение зараженной системы, можно установить приоритет майнера равный приоритету легальных программ и оценить степень ухудшения полезной производительности компьютера.

При принудительном завершении процесса system exe, он снова запускается спустя несколько секунд. Следовательно, перезапуск обеспечивается какой-то другой программой или службой. При продолжении просмотра списка процессов, в первую очередь вызывает подозрения процесс Security.exe

Как видно, для запуска программы Security.exe используется точка автозапуска из стандартного меню программ пользователя, и выполняемый файл Security.exe находится в той же скрытой папке C:\ProgramData\System32

Следующим шагом можно принудительно завершить Security.exe , а затем – system.exe . Если после этого процесс system.exe больше не запустится, то можно приступать к удалению вредоносных файлов и настроек системы, связанных с функционированием вредоносных программ. Если же процесс system.exe снова будет запущен, то поиск вспомогательных программ, обеспечивающих его запуск нужно продолжить. В крайнем случае, можно последовательно завершать все процессы по одному, каждый раз завершая system.exe до тех пор, пока не прекратится его перезапуск.

Для поиска и отключения точек автозапуска удобно использовать утилиту Autoruns из пакета Sysinternals Suite:

В отличие от стандартного средства msconfig.exe, утилита Autoruns выводит практически все возможные варианты автоматического запуска программ, существующие в данной системе. По умолчанию, отображаются все (вкладка Everything), но при необходимости, можно отфильтровать отдельные записи по типам переключаясь на вкладки в верхней части окна (Known DLLs, Winlogon, … Appinit).

При поиске записей, обеспечивающих автозапуск вредоносных программ, в первую очередь нужно обращать внимание на отсутствие цифровой подписи разработчика в колонке Publisher. Практически все современные легальные программы имеют цифровую подпись, за редким исключением, к которому, как правило, относятся программные продукты сторонних производителей или драйверы/службы от Microsoft. Вторым настораживающим принципом является отсутствие описания в колонке Description. В данном конкретном случае, под подозрением оказывается запись, обеспечивающая открытие ярлыка Security.lnk в папке автозагрузки пользователя:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Ярлык ссылается на файл c:\programdata\system32\security.exe

Отметка времени (Time Stamp) дает дату и время заражения системы - 23.06.2017 19:04

Любую из записей, отображаемых утилитой Autoruns, можно удалить или отключить, с возможностью дальнейшего восстановления. Для удаления используется контекстное меню или клавиша Del . Для отключения – снимается галочка выбранной записи.

Скрытую папку c:\programdata\system32\ можно удалить вместе со всем ее содержимым. После чего перезагрузиться и проверить отсутствие вредоносных процессов.