Найти и уничтожить. Что такое скрытые майнеры и как от них защититься

На вашем компьютере тайно майнят криптовалюту: как защититься от вирусов-майнеров?

По данным Лаборатории Касперского, количество случаев заражения компьютеров и мобильных гаджетов майнинг-вирусами выросло на 44,5% всего за год. Хакеры больше не вымогают деньги с помощью вирусов-шифровальщиков, а тихонько добывают крипту на вашем ПК, не привлекая к себе лишнего внимания. Чем программы для скрытого майнинга могут навредить, и как с ними бороться?

Материал подготовила Майя Тихонова, эксперт сайта о криптовалютах CryptoRatings.ru .

Найти и уничтожить. Что такое скрытые майнеры и как от них защититься

Киберпреступникам больше не нужны деньги — теперь их интересуют только криптоденьги. По данным компании Recorded Future, скрытые майнеры станут одной из главных угроз 2018 года.

Скрытый майнер — вредоносная программа, которая добывает криптовалюту незаметно для пользователя. Майнер использует ресурсы зараженного устройства и переводит средства на счет мошенников.

Чаще всего преступники майнят валюты Zcash и Monero. Установить личность владельцев электронных кошельков этих криптовалют невозможно. Кроме того, для добычи Zcash достаточно мощности центрального процессора, а не видеокарты. Monero можно добывать даже на Android. Таким образом, жертвами мошенников становятся владельцы любых устройств.

Как скрытый майнер попадает на устройство

Чаще всего пользователи сами устанавливает скрытые майнеры, замаскированные под генераторы ключей и кряки для лицензионных программ. Такие программы называются дропперы.

После установки дроппер скачивает еще одну утилиту, которая маскирует майнер в системе. Эта утилита называется руткит. Она скрывает следы установки, а также подозрительные процессы в диспетчере задач.

Последние версии скрытых майнеров умеют делать паузу, когда пользователь запускает игру или программу, требующую большой вычислительной мощности. Иначе замедление работы компьютера станет заметным, и пользователь может заподозрить неладное. Задача скрытого майнера оставаться в тени как можно дольше, чтобы принести своему владельцу больше прибыли.

Осенью 2017 года вирусные аналитики отметили распространение новой угрозы, которая получила название «криптоджекинг» (англ. cryptojacking). В этом случае пользователю не требуется ничего скачивать и устанавливать. Достаточно зайти на зараженный сайт, и вредоносный скрипт автоматически начнет работу.

Дальше все происходит по старой схеме — компьютер пользователя добывает криптовалюту для мошенников. Например, в сентябре 2017 года в русскоязычном сегменте интернета бушевал CoinMiner. По данным ESET, на Россию пришлось более 65% отраженных атак.

С помощью браузерного майнинга кибермошенники добывают Feathercoin, Litecoin и Monero. Для майнинга этих криптовалют не нужны мощные видеокарты — хватает возможностей среднестатистического компьютера.

Другим трендом 2017 года стала добыча криптовалют на Android. При этом небольшая эффективность майнинга на смартфонах не смущает мошенников. Например, ESET обнаружила в Google Play версию популярной Bug Smasher, которая скрытно майнила Monero. Пользователи скачали игру более миллиона(!) раз.

В сентябре 2017 года в Google Play появился Monero Miner. Приложение добывало криптовалюту Monero в мобильном браузере. Проблема в том, что все заработанные непосильным трудом монеты перечислялись мошенникам, а не владельцу смартфона. Несмотря на низкий рейтинг и негативные отзывы, приложение установили до 50 000 пользователей.

Как защититься от скрытых майнеров

Есть два способа избавиться от скрытого майнера: простой и сложный. Начнем со сложного, но мы не рекомендуем его для неподготовленных пользователей. Обнаружить угрозу вручную может быть тяжело. Кроме того, это борьба с майнерами отнимет много времени без гарантии результата.

Сложный способ: для начала нужно проверить компьютер при нормальных нагрузках — откройте браузер, поработайте в простых программах. Затем посмотрите, что изменится при высоких нагрузках — например, запустите игру с высокими системными требованиями. Если компьютер тормозит, а ноутбук перегревается, возможно, он заражен майнером.

Чтобы выяснить, куда уходят ресурсы ПК, скачайте программу для просмотра технических характеристик. Подойдет AIDA64 или бесплатный System Information Viewer. Запустите программу и обратите внимание на температуру процессора и видеокарты, уровень их загрузки и занятую оперативную память. Высокие показатели свидетельствуют о работае скрытого майнера.

Чтобы найти процессы, которые загружают ПК стандартный диспетчер задач Windows не подойдет. Некоторые майнеры могут отключаться при его открытии или закрывать диспетчер незаметно для пользователя. Поэтому лучше воспользоваться сторонней программой, например AnVir Task Manager, который поможет выявить подозрительные процессы.

Дело в том, что иногда имена майнеров говорят сами за себя и состоят из бессмысленного набора символов gfdgfdg64.exe. Однако чаще они маскируются под процессы svchost.exe, chrome.exe и steam.exe. AnVir Task Manager подсвечивает подделки красным и позволяет получить детальную информацию о каждом процессе.

Последовательно закройте все процессы, которые можно завершить без ущерба для работы Windows, и проверьте их на сайте VirusTotal. Удаляйте обнаруженные вредоносные программы одну за другой, зачищайте папки и целые директории.

Когда все следы скрытых майнеров будут удалены, останется зачистить реестр. Вручную это займет много времени, кроме того, не все знают, что искать. Поэтому лучше воспользоваться утилитой для очистки реестра — например, CCleaner.

Простой способ: защитите компьютер или смартфон надежным антивирусом. Продукты ESET NOD32 автоматически находят и удаляют скрытые майнеры, даже если они маскируются под безобидные приложения.

Скрытые майнеры могут относятся к потенциально нежелательному или вредоносному ПО. Чтобы проверить работу модуля обнаружения нежелательного ПО, перейдите в Расширенные параметры (клавиша F5) — Защита от вирусов — Обнаружение потенциально нежелательных приложений — Вкл. Поздравляем, вы защищены!

Как найти и обезвредить вирус

Чтобы удалить вирусное программное обеспечение, его требуется сначала найти. При «заражении» компьютера он постоянно работает на наибольших мощностях, так как хакеры стремятся получить максимум чужих ресурсов.

Предельные настройки могут использоваться сразу для видеокарты и процессора или для каждого элемента по отдельности. Устройство постоянно нагревается и быстро ломается. Постоянный перегрев негативно отражается на состоянии видеокарты, материнки, процессора.

Срок эксплуатации деталей при постоянной повышенной температуре снижается. Любой элемент, функционирующий в нестандартных условиях и при максимальной нагрузке, быстро выйдет из строя.

Чтобы проверить работу компьютера, применяется GPU. С помощью приложения удается посмотреть загруженность видеокарты, обработать части программ, требующих больших вычислительных мощностей ПК. При этом другая часть утилиты выполняется на процессоре для быстрого функционирования.

В чем вред теневого манинга, и что такое вирус-майнер?

Программный вирус.

Большинство рядовых пользователей не знают, что за процесс называется майнингом, и поэтому не осознают, в чем опасность хакерских программ.

Теневой майнинг, говоря простым языком – это решение математических задач с помощью чужого процессора или видеокарты.

Скрытый майнинг проводится на любых устройствах, имеющих процессор:

1. На смартфонах и планшетах, причем чаще всего от вируса-майнера страдает Андроид.
2. На стационарных компьютерах и ноутбуках, наиболее уязвима операционная система Windows.

Пока ничего не подозревающий владелец техники занимается своими делами, работает с документами, смотрит фильм или играет в игру, или зашел на кошелек zencash например, злоумышленник получает криптовалюту за те уравнения, которые решил процессор.

Вирус самостоятельно передается от одного владельца к другому, и может заражать домашние и офисные компьютерные сети. Особенно много криптовалюты он приносит хакерам, когда попадает в банковскую систему или в научно-исследовательский центр, где стоит много мощных и круглосуточно работающих компьютеров.

Последствия заражения майнером

Зараженный код.

Майнинг требует больших затрат мощности компьютера(блок питания для майнинга) или смартфона, то есть дает на технику сильную нагрузку. Вирус вызывает следующие последствия:

1. Быстрый износ деталей. Особенно сильно это сказывается на процессорах.
2. Перегрев. Повышение температуры приводит к замедлению и ухудшению работы устройства, компьютер или смартфон начинают тормозить, зависать, либо постоянно перезагружаться. В последнем случае хакеры, конечно, не получат свои деньги, но и человек не сможет нормально использовать технику.
3. Поломка. Если смартфон или ПК имеют некачественные детали, то предельная нагрузка может вызвать перегорание контактов.

В специализированных майнинг-фермах и центрах большое внимание уделяется охлаждению вычислительной техники. Там есть качественная и бесперебойная подача тока, предохранители от скачков напряжения в сети. Майнеры стараются оптимально рассчитать нагрузку, чтобы АСИКи и видеокарты приносили прибыль, но при этом сохраняли работоспособность в течение длительного времени.

Хакеры же не щадят чужое оборудование и стараются выжать из него максимум. У домашних компьютеров и смартфонов нет качественной системы охлаждения, да она им и не нужна при обычном использовании. Владельцы обычно не следят за температурой процессора, и система не может себя охладить самостоятельно, в результате чего рано или поздно техника выходит из строя.

Вследствие работы вируса владельца компьютера ждет увеличение расходов на электроэнергию. Это в большей степени актуально для домашних сетей из двух и более вычислительных машин.

Виды вирусов-майнеров

Разновидности вредоносного ПО.

Есть 2 разновидности вредоносного ПО, занимающегося майнингом.

Вид	Активность	Что представляет собой
Браузерные, онлайн	Работают в тот момент, когда открыта вкладка браузера.	Скрипт, прописанный в коде веб-страницы.
Десктопные или мобильные	Работают, когда компьютер подключен к интернету, при этом не важно, находится человек онлайн или нет.	Код, находящийся в файле в одной из системных папок компьютера. Начинает выполняться при включении в сеть, при отсутствии интернета не может заниматься майнингом.

Браузерные вирусы представляют меньшую опасность, чем десктопные, поскольку вредоносный код не сохраняется на компьютер. Скрипт-майнер не так сильно перегружает процессор, но если человек посещает зараженный сайт регулярно, то вычислительная техника все равно получает ущерб.

Самая редкая разновидность вирусов – это мобильные, потому что у смартфонов не настолько мощный процессор, как у компьютера. Злоумышленникам заниматься майнингом через телефон менее выгодно.

Вирусы-вымогатели, которые похищают личные файлы пользователей, зашифровывают информацию и требуют за нее выкуп в криптовалюте, не относятся к майнерам.

Названия вирусов-майнеров не особенно часто упоминаются в прессе, потому что обнаружить и дифференцировать такое ПО непросто. Вот 3 известных семейства вирусов.

Имя семейства	Особенности
CPU Miner	Включает в себя более 10-ти видов вредоносного ПО.
VnIgp Miner	Удачно скрывается от антивирусов.
Bad Miner	Быстро выводит из строя вычислительные машины, дает мощную нагрузку на процессор.
Bitcoin Miner	Предпочитает добывать только биткоины. Инфекция обнаружена лабораторией Касперского, вирус биткоин майнер нагружает процессор до 95% от максимальной производительности.

Хакеры постоянно совершенствуют свой код, создают новые решения.

Диспетчер задач.

Например, до 2017 года можно было обнаруживать майнеры с помощью Диспетчера задач. Это панель, показывающая нагрузку на процессор, чтобы ее вызвать в Windows, нужно нажать на клавиатуре Ctrl+Alt+Del и выбрать из списка «Показать диспетчер задач», также нужно узнать как узнать хэшрейт видеокарты.

Современные десктопные вирусы научились моментально прекращать майнинг при запуске Диспетчера, чтобы их не смогли заметить по возросшей нагрузке на процессор. Браузерные скрипты так еще не делают, и если какая-то вкладка, в которой не загружается длинное видео в Full HD качестве, дает более 30% нагрузки на ЦП, то это сигнализирует о трояне.

Как можно заразиться вирусом?

Осторожно.

Браузерные вирусы могут находиться на сайтах абсолютно любой тематики, не обязательно посвященных криптовалютам. В последнее время мошенники полюбили «женскую тему»:

• кулинарию;
• воспитание детей, отношения в семье;
• психологию;
• рукоделие и растениеводство;
• уход за домашними животными;
• здоровье и красоту, маникюр;
• астрологию, гадания Таро, мистику и т.д.

Посетительницы таких сайтов обычно хуже разбираются в компьютерах, чем, например программисты, и поэтому их легче использовать. Женщины могут много раз заходить на один и тот же веб-ресурс и давать злоумышленникам возможность зарабатывать снова и снова.

Браузерные вирусы часто устанавливают на сайты, на которых посетитель проводит больше 10 минут времени. Заражению подвергаются следующие виды веб-ресурсов:

1. Онлайн-кинотеатры, особенно с полнометражными фильмами длительностью более часа.
2. Сервисы по прослушиванию музыки онлайн.
3. Онлайн-игры.
4. Сервисы для рисования, создания шаблонов визиток и т.д.

Владельцы всех этих сайтов и не подозревают о том, что на их веб-ресурсе находится скрипт-майнер. Внести такой код могут не только хакеры, но и сотрудники, работающие на вебмастера, например, программист, верстальщик, контент-менеджер, любой человек, имеющий доступ к правам администратора сайта.

Второй вид вирусов, десктопный, заражает компьютеры при скачивании любых файлов и программ:

• фильмов и музыки;
• книг и других текстов;
• драйверов, например, для принтера и т.д.

Вирус-майнер можно скачать вместе с кошельком для хранения криптовалюты. Логика хакеров здесь понятна: если человек хочет скачать кошелек, то, вероятно, у него есть достаточно мощное оборудование для добычи криптовалюты, и на нем можно неплохо заработать.

Вредоносный код майнера могут объединять с другими программами, например, с теми, которые похищают деньги с кошелька или запоминают и передают злоумышленникам пароли, ПИН-коды, приватные ключи и seed-фразы.

Особенно часто вирусы-майнеры для видеокарт инсталлируют во взломанные компьютерные игры и читы к ним. Геймеры, правда, довольно быстро замечают нежелательный код по упавшему FPS (частоте кадров в секунду) и пытаются удалить такую игру, но вирус все равно остается в системных файлах.

Хакеры используют разные трюки для того, чтобы заставить человека скачать нужный им файл:

1. Взлом аккаунтов в мессенджерах и социальных сетях. Всем знакомым пострадавшего пересылается некоторый файл, например, картинка с подписью «Смотри, как тебя тут смешно сфоткали!», текстовый файл с комментарием «Я давно тебе хотел это сказать, и вот наконец решился» или аудиодорожка «Мне эта песня напоминает о тебе, послушай обязательно!». Особенно слабо защищен Skype, который не дает просматривать файлы без скачивания.
2. Рассылки по электронной почте. Хакеры хорошо разбираются в социальной инженерии и делают такие рассылки, которые человек не может проигнорировать. Это может быть, например, письмо из банка или из налоговой инспекции.

Скачав файл на компьютер, человек возможно поймет, что его обманули и запустит антивирус, но в случае с качественными вирусами-майнерами это не поможет.

Симптомы заражения, как распознать вирусы-майнеры

Диспетчер.

Заподозрить неладное можно по следующим признакам:

1. У компьютера сильнее обычного шумит вентилятор. Таким образом система пытается охладить нагревающийся процессор. Это следствие работы майнеров на центральных процессорах и видеокартах.
2. Тормозит видео или компьютерная игра. К такому результату приводят майнеры на видеокартах.
3. При открытии трех и более вкладок в браузере падает скорость работы компьютера. Это признак браузерного вируса.
4. Есть интересный класс вирусов, которые на 3-5 минут отключают Диспетчер задач. Если пользователь его открыл и отошел от компьютера, то спустя непродолжительное время программа его закроет, чтобы Диспетчер не мешал ей майнить. Важно знать о том, что самостоятельно Диспетчер закрываться не должен.

По мере износа железа система начинает перезагружаться, может перегореть, и заканчивается все это тем, что технику вообще невозможно включить. При этом, если сгорел процессор, то его можно заменить и снова получить доступ к своим файлам на жестком диске. Если же и жесткий диск пострадал от нестабильной работы электрической сети, то файлы полностью или частично будут утеряны.

Понять больше о симптомах заражения и о том, как избавиться от вируса-майнера, можно из этого интересного и полезного видео-обзора.

Принципы работы вируса-майнера

Вредоносное ПО работает по такому же принципу, как любые другие трояны:

1. Попадает на компьютер и устанавливается на диск C или любой другой, на котором находятся системные файлы. Иногда установка происходит в папку temp, где хранятся временные файлы.
2. Маскируется под служебную информацию, например, под обновление браузера, или создает папку Windows с русской буквой «о», чтобы отличаться от обычной папки операционной системы.
3. Начинает и прекращает свою работу по заданному разработчиками алгоритму.

Вирусы даже могут обновлять свой код, маскируясь под обновление приложений браузера или драйверов.

Как майнеру удаётся прятаться

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

Методы профилактики

Как говорится, проблемы проще избежать, нежели решить её. Но полностью обезопасить себя от майнеров не получится. Любая операционная система подразумевает установку всевозможного софта и его удаление, что переполняет реестр и вызывает сбои в работе ПК. Даже удалённые программы сохраняют отдельные файлы в реестре, благодаря чему и маскируются различные вирусы. Правильным решением будет использование портативного софта. Это избавит ваш реестр от ненужного засорения и освободит процессор. Также полезной программой является WinPatrol Monitor. Приложение оповещает о попытках файлов попасть в реестр без ведома пользователя.

Подводя итоги, хочется сказать следующее: не «забивайте» на свой компьютер! Если вы заметили какие-либо изменения в работе, не ленитесь выяснять причину. Многие пользователи предпочитают просто понизить настройки в любимой игре, нежели пытаться понять, почему играть стало некомфортно. Это всё чревато неприятными последствиями не только в плане ОС, но и для работы самой техники.