Проверьте, не заражен ли ваш ПК вирусом-майнером

Майнер есть? А если найду?

Злоумышленники повадились майнить криптовалюту. На вашем компьютере, за ваш счет — и без вашего ведома.

11 сентября 2017

За последнее время вы наверняка хоть раз да слышали о таком явлении, как майнинг — и о том, как стремительно оно набирает обороты. В общем, тенденция такова: майнить, то есть достраивать блоки в блокчейне и получать в награду за это криптовалюту, хочет все больше людей, и они придумывают для этого все более изощренные способы. В том числе — незаконные. И в том числе они норовят сделать это за ваш счет.

Проверяем диспетчер задач

Так как вирус-майнер во время своей работы сильно загружает центральный и/или графический процессоры, то необходимо проверить нагрузку на них с помощью Диспетчера задач.

Откройте диспетчер и отсортируйте процессы по нагрузке на центральный процессор (CPU). Если у вас Windows 10, то можете также отсортировать процессы по нагрузке на графический процессор (GPU). Если в начале списка вы видите процесс или несколько, которые слишком сильно нагружают систему (90% и выше), то это повод задуматься.

Диспетчер задач WIndows 10 помогает найти вирусы-майнеры

Вполне может быть, что просто какой-то фоновый процесс занимает системы своими задачами. Обычно это происходит редко и быстро проходит. Но если загрузка длится на протяжении нескольких часов или даже дней, то это явно нездоровая ситуация и необходимо разобраться в ее причинах.

Как майнеру удаётся прятаться?

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

Как проверить компьютер на скрытый майнинг и не повредить операционную систему

Для проверки компьютера на наличие скрытого майнинга можно запустить диспетчер задач Windows (нажав комбинацию Ctrl+Alt+Del и активировав диспетчер задач) или другую программу, которая позволяет мониторить загруженность центрального процессора, графического процессора, памяти, дискового пространства, сетевую активность и какие процессы выполняются в системе.

Обратите внимание на процессы, потребляющие слишком много ресурсов. Надо проверить, в какой папке они находятся, как запускаются, с какими сетевыми адресами проводят соединение. Для этого удобно использовать утилиту Process Monitor, которую можно скачать с сайта Microsoft.

Проверьте список программ, находящихся в автозагрузке пк и внимательно просмотрите, какие программы автоматически загружаются на пк при его включении. Для этого есть программа Autoruns, которую тоже можно скачать с сайта Microsoft.

Проверьте в брандмауэре компьютера разрешения на сетевую активность определенным программам. Если у какой-то программы непонятное название, и у нее есть полный доступ на выход в сеть, поищите информацию о ней в интернете. При необходимости удалите ее или запретите ей выход в интернет. Если используется штатный брандмауэр от Windows, то просмотрите и откорректируйте разрешения программ на выход в сеть через его меню дополнительных параметров. Это также позволит узнать, кто майнит с компьютера.

Как майнеру удаётся прятаться

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

Как обнаружить вирус-майнер?

В том случае, если появляются сомнения относительно того, что на компьютере вовсю работает ботнет, то в таком случае необходимо проверить свою гипотезу:

  • Проведите проверку работоспособности и загруженности ПК при стандартных процессах (используйте простой софт, например, браузер).
  • Запустите компьютерную игру, которая значительно увеличит нагрузку устройства, а также задействует максимум ресурсов видеокарты и центрального процессора.
  • Запускаем AID64, чтобы проверить работоспособность ЦП и видеоадаптера до/после закрытия программ.
  • Сравниваем полученные показатели и делаем соответствующие умозаключения.

Программное обеспечение для теневой добычи криптовалюты в некоторых случаях отключаются в момент, когда пользователь открывает «Диспетчер задач», разумеется, что из-за этого их обнаружить гораздо сложнее. Более того, многие вирусы и вовсе способны блокировать «Диспетчер задач».

Впрочем, отыскать вирус все равно можно. Для этого нужно использовать мощное программное обеспечение, например, AnVir Task Manager. Данный софт специализируется именно на определении подозрительных процессов, расходующих ресурсы компьютера.

Теперь рассмотрим основные этапы удаления программ для теневого майнинга.

Что представляет собой скрытый майнер

Для начала необходимо хорошо понимать, что же такое майнер и как он работает. Скрытые майнеры (ботнеты) – система софта, позволяющая вести майнинг без ведома пользователя. Другими словами, на компьютере появляется совокупность программ, использующих ресурсы ПК для заработка денег и их перечисление создателю вредоносных приложений. Популярность этого направления растёт, а заодно растут и предложения о продаже вирусов. Главной целью ботнетов являются офисные компьютеры, так как выгода разработчиков напрямую зависит от количества заражённых ПК. Именно поэтому распознать майнеры непросто. Чаще всего вирус можно «подхватить», скачивая контент из непроверенных источников. Также популярны спам-рассылки. Перед тем, как переходить к поиску и удалению, разберёмся во всех тонкостях и опасностях подобного софта.

Что такое ботнет

Как защитить ПК от скрытого майнинга

Для защиты от вирусов, в том числе от программ скрытого майнинга, необходимо произвести такие действия:

  • Обязательно установить хороший антивирус на компьютер и регулярно производить обновление его антивирусных баз и сканирование для выявления возможных угроз.
  • Иметь образ чистой, проверенной операционной системы с установленными самыми необходимыми программами и производить ее восстановление при появлении первых признаков заражения, а лучше регулярно один раз в 2-3 месяца как профилактическое действие
  • Внести в файл hosts блокировку вредоносных сайтов по спискам, доступным на открытом ресурсе GitHub по алгоритму, описанному в разделе защиты от браузерного майнинга.
  • Запретить установку программного обеспечения в операционной системе. Для этого можно отключить запуск установщика Windows через редактор групповых политик: нажать Win+R, запустить программу gredit.msc, пройти по пути Локальный компьютер» — «Конфигурация компьютера» — «Административные шаблоны» и в каталоге «Установщик Windows» активировать опцию «Отключить» в меню «Запретить установщик Windows».
  • Разрешить запуск только проверенных программ. Для этого изменяют локальную политику безопасности путем запуска программы secpol.msc, где создают политику ограниченного использования программ, в свойствах которой активируют правила, относящиеся к ограниченному пользованию всех файлов (кроме библиотек), а также активируют опцию игнорировать правила сертификатов.
  • Разрешить доступ к компьютеру только на дозволенные порты. Это делается в настройках брандмауэра и антивируса.
  • Запретить удаленный доступ из интернета к домашнему роутеру, а также поменять установленный на нем пароль по умолчанию (согласно его инструкции по эксплуатации).
  • Выполнение этих действий позволит если не убрать вирус, то ограничить ему выход в интернет, что не даст ему возможность потреблять ресурсы компа.

Меры предосторожности

Меры предосторожности при работе на компьютере и в сети, а также знание того, как удалить майнинг вирус с компьютера, позволяют уменьшить риск заражения скрытыми майнерами, а также другими вирусами.

Как избавиться от скрытого майнинга?

Необходимо придерживаться элементарных правил безопасности при работе на компьютере и пользовании интернет ресурсами, которые заключаются в следующем

  1. Не использовать и не устанавливать пиратское программное обеспечение, а также программ, скачанных на неизвестных ресурсах;
  2. Ограничить список лиц, которые имеют доступ к компьютеру, установить пароли на доступ к нему и ограничить возможность установки программ сторонними лицами.
  3. Включить брандмауэр на компьютере и роутере. а также использовать другие виды защиты, которые поддерживает конкретная модель роутера, например, фильтры родительского контроля;
  4. Максимально ограничить посещение полулегальных сайтов с сомнительным содержимым, избегать сайтов без сертификатов ssl (https);
  5. Установить в браузере специальные надстройки, блокирующие скриптовые коды майнинга на сайтах;
  6. Как можно меньше распространять в сети информацию, которая может способствовать взлому, не хранить паролей и личной информации на компьютере, который постоянно находится онлайн.
  7. Регулярно производить обновление программы антивируса и ее базы данных с определениями вирусов, а также критических обновлений безопасности операционной системы, что позволит ограничить проникновение скрытых программ для майнинга.

Защита от майнинга в браузере

Как проверить браузер на майнинг криптоджекерами?

Весомыми признаками браузерного майнинга является торможение компьютера на некоторых сайтах, высокая загрузка процессора при просмотре определенных сайтов, особенно при просмотре сайтов с фильмами, пиратскими программами, полулегальными фотографиями. Для защиты от майнинга в браузере используются такие способы:

  • Блокировка вредоносных сайтов, использующихся для скрытого майнинга, в служебном файле hosts. Для этого в этот файл, который находится в папке C:WindowsSystem32driversetc с помощью текстового редактора вносятся строки вида: 0.0.0.0 coin-hive.com, где coin-hive.com — имя домена, использующегося для скрытого майнинга. Актуальный список этих доменов можно взять на открытом ресурсе github.com/hoshsadiq/adblock-nocoin-list/blob/master/hosts.txt ;

  • Использование программ, защищающих от майнинга, которые также производят удаление майнинг вирусов. С этой целью можно использовать различные утилиты, например, хорошие результаты дает программа для удаления скрытого майнинга Anti-WebMiner, коды которой доступны на https://github.com/greatis/Anti-WebMiner .

  1. Отключение поддержки выполнения скриптов JavaScript в интернет-браузере путем деактивации соответствующего пункта в его настройках.
  2. Это позволяет избежать выполнения вредоносного кода, но ограничивает возможности просмотра сайтов, которые используют эту технологию для отображения своего содержимого.
  3. Использование специальных дополнений и надстроек для браузера.
  4. Такой способ позволяет не отказываться от полноценного просмотра интернет-страниц и довольно неплохо защищает от браузер–майнинга. Самыми распространенными для защиты от майнинга являются такие надстройки и дополнения, как NoScript, NoCoin, MinerBlock, Антимайнер и другие. Современные браузеры, например Opera, имеют встроенную поддержку защиты от майнинга, которая активируется в настройках блокировки рекламы (пункт No Coin).

  1. Использование фильтров в приложениях uBlock, AdBlock и им подобных.

  1. Надстройки, осуществляющие блокировку рекламы, как правило, имеют отдельные настройки, позволяющие активировать списки, фильтрующие браузерный майнинг, либо добавить собственные фильтры доменов, использующихся для скрытого майнинга.

Yandex защита

С марта 2021 года для всех платформ работает автоматическая защита от майнинга в Яндекс браузере. Это достигается благодаря использованию специального алгоритма мониторинга загрузки процессора при работе в интернет. При этом блокировка скриптов для майнинга осуществляется автоматически, не влияя на отображение сайта, с которым производится работа.

Google защита

Для борьбы со скрытым майнингом магазин Google Play запретил с июля 2021 года размещение на своей площадке программ, осуществляющих майнинг.

Браузер Chrome от компании Google позволяет защититься от майнинга в браузере путем использования надстроек, а также с помощью активации пункта «Защитить устройство от опасных сайтов» и в меню дополнительных настроек «Находите и удаляйте вредоносное ПО».

Почему скрытый майнер вредит компьютеру

Вредоносная программа чем-то похожа на обычный компьютерный вирус. Она также выдает себя за системный файл и может очень перегружать комп.

Однако они действуют по разным схемам.

Если вирус напрямую вредит «внутренностям» компьютера, то скрытый майнер нельзя обнаружить с помощью антивируса, ведь он использует только системные ресурсы аппарата.

Именно из-за того, что такое ПО не видит ни одна антивирусная программа, оно и является опасным.

Ведь для того, чтобы обезвредить его, нужно потратить разбираться в характеристиках и файловой системе своего ПК, что для обычного пользователя может оказаться большой проблемой.

Процесс поиска и полного удаления майнера может показаться непостижимой задачей.

Кроме того, многие мошенники пошли дальше, и создают скрытые майнеры, которые «не видит» обычная панель задач.

Такие ПО обнаружить можно только, анализируя работу компьютера, если он сильно тормозит – ему нужна качественная ручная проверка.

  • Уменьшает срок службы техники

В связи с тем, что для майнинга порой требуется максимальная мощность, такая нагрузка в течение длительного периода негативно влияет на «железо» компьютера.

  • Снижает производительность

Как упоминалось ранее, для добычи криптовалют потребляется много вычислительной мощности, а значит, если пользователь ПК параллельно начинает работать, техника начинает подвисать.

  • Открытый доступ к личным данным

Майнинг-бот – своего рода вирус, он может получить доступ к персональной информации пользователя, так уже есть уязвимость системы. Именно поэтому не рекомендуется хранить платежную информацию (что касается и данных криптовалютных кошельков, поскольку в связи с майнинг-ботами участились случаи краж).

Adblock
detector