Как защитить компьютер от майнинга

Ваш гаджет захватили майнеры. Что делать?

В закладки

Майнеры атакуют! В последнее время они стали самым активным типом вирусов. Даже красть данные с серверов крупных корпораций сегодня не так выгодно, как скрыто майнить на этих мощностях.

Впрочем, компьютерам и смартфонам рядовых пользователей тоже достаётся. Рассказываем, как не стать жертвой скрытого майнера.

Майнер в браузере

Бывает, заходишь на сайт, а он «вешает» весь компьютер. Что происходит? Есть вероятность, что на сайте запущен особый скрипт, который жрёт ресурсы вашего компьютера ради пары монет для «дяди».

Майнят чаще всего Monero (XMR), реже – Zcash и другие анонимные криптовалюты.

Майнеры могут внедрить хакеры или же сами владельцы сайта. Таким не побрезговала даже The Pirate Bay. Правда, вскоре майнер «бухта» всё же убрала.

Вирусы для майнинга на компьютерах

Цель вредоносов такого рода – сделать ваш компьютер частью ботнета, который объединяет мощности сравнительно слабых устройств для майнинга и решения других задач. Это вдвойне выгодно: во-первых, злоумышленникам не нужно покупать дорогие майнеры или видеокарты, во-вторых – платить за электричество тоже не придётся.

Часто злоумышленники используют легальные майнеры. Но устанавливают их без ведома владельца устройства, скрывают работу майнера и указывают свой кошелёк для добытых монет.

Обычно майнер попадает на компьютер с помощью дроппера. Этот вредонос нередко кладут в состав пиратских версий популярных программ или генераторов ключей активации. После запуска файла на компьютер жертвы ставится установщик, который непосредственно скачивает майнер и утилиту для его маскировки в системе.

Часто в комплект кладут инструменты для автозапуска вредоноса и настройки его работы. Эти сервисы могут приостанавливать работу майнера, когда пользователь запускает игру или другое ресурсоёмкое приложение. Так майнер не выдаст себя и проведёт на компьютере жертвы максимум времени.

Современные майнеры способны самовосстанавливаться, останавливать работу антивируса, мониторить активность системы и майнить только в периоды низкой нагрузки.

Устранение конкурентов

Майнеры обычно запускают в оперативной памяти процессы с именами вроде как Silence, Carbon, xmrig32, nscpucnminer64, mrservicehost, service, svchosts3, svhosts, system64 и др. Но найти незащищенный компьютер, который ещё не заражен, всё сложнее. Так что майнерам приходится эволюционировать.

Одна из недавних находок – майнер с функцией kill list. Когда он попадает в компьютер, то анализирует список процессов. Если майнер находит процессы, которые запущены другими майнерами, то принудительно останавливает их. И сам захватывает все доступные ресурсы.

Майнеры в официальных магазинах приложений

И такое бывает! Например, с сентября 2017 года в Google Play можно было скачать Monero Miner (XMR) разработчика My Portable Software.

Формально приложение было предназначено для майнинга и ничего не нарушало. Но вот незадача: какой бы адрес кошелька вы ни вводили, намайненное на вашем смартфоне всё равно отправлялось бы на кошелек разработчиков вредоноса.

Владельцам техники Apple «повезло» не меньше. В Mac App Store появилось приложение Calendar 2, которое скрыто майнило Monero. Правда, приложение достаточно быстро удалили. Но осадочек остался.

Сколько зарабатывают на майнерах

Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.

Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.

А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.

Как бороться с майнерами

В браузере

1. Перейти на сайт https://cryptojackingtest.com/, который проверит, защищен ли ваш браузер. Проверка бесплатная, но результаты не всегда верны.

• Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен.
• Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.

1. Скачать браузеры со вшитой защитой от майнинга. Opera и «Яндекс.Браузер» поддерживают такие возможности.
2. Отключить JavaScript в браузере. Решение радикальное, ведь многим сайтам для нормальной работы требуется JavaScript.
   • Chrome: «Настройки» – «Дополнительные» – «Настройки контента» – «JavaScript» – Передвинуть переключатель в положение «Заблокировано».
   • Firefox: «Настройки» – «Содержимое» – снять флажок «Использовать JavaScript».
   • Opera: «Настройки» – «Общие настройки» – «Дополнительно» («Расширенные») – «Содержимое» – снять флажок «Включить JavaScript».
3. Приложение Anti-Web Miner. Скачиваете с GitHub, устанавливаете, пользуетесь.
4. Расширения для браузеров. NoCoin, AntiMiner, MineControl, MineBlock и т. д.
5. Расширение для браузеров AdBlock. В фильтры нужно добавить:

• ||coin-hive.com^$third-party
• ||jsecoin.com^$third-party
• ||miner.pr0gramm.com^
• ||gus.host/coins.js$script
• ||cnhv.co^.

1. Приложение Malwarebytes. Премиум-версия защищает от новых майнеров в режиме реального времени. Бесплатная находит всё, что вы подхватили ранее, и переносит в карантин.
2. В Windows – отредактировать файл C:\Windows\System32\drivers\etc\ В macOS введите в терминале команду sudo nano /etc/hosts/.

В конец файла hosts нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:

• 0.0.0 azvjudwr.info
• 0.0.0 cnhv.co
• 0.0.0 gus.host
• 0.0.0 jroqvbvw.info
• 0.0.0 jsecoin.com
• 0.0.0 jyhfuqoh.info
• 0.0.0 kdowqlpt.info
• 0.0.0 listat.biz
• 0.0.0 lmodr.biz
• 0.0.0 mataharirama.xyz
• 0.0.0 minecrunch.co
• 0.0.0 minemytraffic.com
• 0.0.0 miner.pr0gramm.com
• 0.0.0 reasedoper.pw
• 0.0.0 xbasfbno.info

На ПК (вне браузера)

1. Уже упомянутое приложение Malwarebytes.
2. Антивирус со свежей базой. Для пользователей Windows: стандартный Windows Defender чаще всего не блокирует популярный Coinhive, так что стоит установить что-то понадёжнее.
3. Нелишним будет запустить диспетчер задач в Windows или другое приложение для слежения за расходом ресурсов компьютера (AIDA64, AnVir Task Manager или аналоги). Для macOS зайдите в «Программы» – «Утилиты» – «Мониторинг системы». Если активность резко растёт и стабильно держится, даже если у вас открыты «Заметки» и «Калькулятор», диспетчере задач или его аналоге удаляйте процессы, которые отнимают слишком много ресурсов. Затем вычищаете всё антивирусом и Malwarebytes.
4. TDSSKiller поможет убить руткиты, которые маскируют следы пребывания майнера в системе.
5. Утилита AVZ. Скачиваете, обновляете базы, нажимаете «Исследовать систему». Получаете avz_sysinfo.htm. Его можно разместить на форуме «Лаборатории Касперского» и попросить помощи. В случае удачи вам помогут составить скрипт, который обезвредит майнер. Но до этого рекомендуется выполнить всё, о чём мы писали выше.

На смартфоне

1. Прежде всего, не скачивать приложения, которые обещают бешенные тыщщи денег от майнинга на смартфоне. И другие подозрительные приложения. Тем более с левых сайтов. Замена батареи / услуги специалиста стоят больше, чем вы сможете намайнить.
2. Для борьбы с майнингом в браузере используйте браузерные расширения или браузеры с защитой от майнинга.
3. Установите надёжный антивирус и регулярно обновляйте базы.
4. Следите за загрузкой ресурсов смартфона.
   • iOS: «Настройки» – «Аккумулятор».
   • Android: «Настройки» – «Аккумулятор» / «Батарея».

Если видите процессы и приложения, которые потребляют больше, чем им положено, смело удаляйте их.

Выводы

Мир помешался на майнинге. А хакеры не замедлили извлечь из этого пользу. Если вы не хотите, чтобы кто-то получал деньги за ваш счёт, не зевайте и защитите свои гаджеты уже сегодня.

В закладки

Скрытый вирус: как не стать жертвой криптоджекинга

Одновременно с развитием индустрии криптовалют в последние годы происходит все больше киберпреступлений, одним из которых является криптоджекинг или скрытый майнинг. По данным исследований, количество подобных атак за первую половину 2022 года выросло на 30% по сравнению с аналогичным периодом прошлого года.

Скрытый майнинг используется злоумышленниками уже не первый год: в 2017 году была выявлена вредоносная программа JS/CoinMiner, активность которой в основном пришлась на русскоязычный сегмент интернета — 65% отраженных атак пришлось на Россию. А в 2019 году, по данным ФСБ, хакеры заражали программами для майнинга информационные ресурсы крупных компаний, в том числе сайты государственных организаций.

Скрытый майнинг дает преступникам больше шансов долго оставаться незамеченными, чем при любом другом виде мошенничества. Многие пользователи видят, что их устройства начинают медленнее работать, но списывают это на загруженность памяти или другие причины, но не связывают заторможенность процессов с заражением компьютерными вирусами.

Что такое криптоджекинг

Скрытый майнинг или криптоджекинг — это несанкционированное использование компьютера или смартфона злоумышленниками для добычи криптовалюты, когда владелец устройства не знает об этом процессе. Как правило, такая схема осуществляется хакерами с помощью внедрения в компьютер специальной вредоносной программы — вируса или майнер-бота.

Такие программы могут объединяться в ботнет — сеть зараженных вредоносным ПО устройств, которая управляется хакерами из единого центра. Для эффективности такого майнинга обычно нужно заразить множество компьютеров. Поэтому злоумышленники чаще обращают внимание на сети крупных компаний, но домашние компьютеры и смартфоны также подвергаются атакам.

Как правило, посредством скрытого майнинга злоумышленники добывают такие криптовалюты, как Monero. Это монета является анонимной, ее транзакции невозможно отследить. Добыча Monero может осуществляться на CPU, то есть на обычных процессорах, которые есть во всех компьютерах.

Основная задача злоумышленника состоит в установке вируса на компьютер пользователя. Чаще всего майнер попадает на устройство с помощью «дроппера», функция которого — скрытно ставить другие программы. «Дропперы» обычно маскируются под пиратские версии лицензионных продуктов, которые пользователи находят на файлообменниках и скачивают.

Если антивируса на устройстве нет, то вредоносное ПО запускается как скрытая программа и прописывает себя в автозагрузку компьютера. Такие вирусы часто маскируются под системные файлы, и пользователи воспринимают их как обязательную часть ПО.

Умные вирусы подстраиваются под активность пользователя: они могут работать, когда компьютер свободен и отключаться во время больших нагрузок. Чтобы не вызывать дополнительных подозрений, вирусы не используют свободные мощности устройств на 100%.

Как обнаружить вирус

В первую очередь стоит обратить внимание на работу своего устройства. Если оно начинает некорректно работать: компьютер долго запускается, самостоятельно перезагружается или не может завершить работу обычным образом, то это может говорить о наличии скрытого майнера. Вирус может выдать усиленная работа устройства или его перегрев в то время, когда на нем не запущены какие-либо «тяжелые» приложения и не ведется работа пользователя.

Майнинг значительно нагружает мощности процессора и видеокарты. Поэтому замедленная работа компьютера или смартфона также может говорить о заражении вредоносным ПО. В случае, когда диспетчер задач показывает какие-либо файлы, не реагирующие на команду к завершению работы, стоит проверить эти программы. Если ваш компьютер или смартфон не тормозит и не перегревается, то с высокой вероятностью на нем нет вредоносных программ.

Чтобы найти скрытый майнер, иногда достаточно провести сканирование компьютера с помощью антивируса. Крупные компании, занимающиеся кибербезопасностью, часто обновляют базы своих антивирусов, в том числе добавляя информацию о вирусах-майнерах. Однако, если вирус зашифрован с помощью криптографии, то антивирус может его и не найти.

Более серьезные формы вирусов могут устанавливаться при использовании флешек или скачивания обновлений к популярным программам не с официальных сайтов. Такие вирусы может быть не видно через диспетчер задач, что существенно затрудняет их поиск на компьютере.

Если вы не можете обнаружить вирус, но подозреваете его наличие, проверьте температуру компьютера или смартфона, когда устройство не нагружено. Также можно установить мониторинг загруженности системы и отслеживать сетевой трафик, поскольку для майнинга нужна постоянная связь с пулом.

Как удалить вредоносное ПО

Самый легкий способ удаления подобного вируса — это переустановка системы. Также вредоносное ПО можно убрать с помощью специальных программ для удаления, предварительно включив на компьютере отображение скрытых папок и файлов.

На рынке существует платное ПО для защиты от криптоджекинга. Такие программы предотвращают установку различных вирусов и блокируют домены множества майнинговых пулов.

Чтобы у злоумышленников было меньше шансов использовать ваше оборудование, следует своевременно обновлять операционную систему и приложения, отвечающие за безопасность вашего компьютера. Скачивание обновлений с официальных сайтов производителей софта и удаление лишних приложений также могут повысить защиту ваших устройств как от майнинг-вирусов, так и от других вредоносных программ.

Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.

Как найти и удалить вирус-майнер с компьютера

Во время онлайн-серфинга есть риск заразить компьютер скрытым вирусом-майнером. Он может самостоятельно использовать ПК или ноутбук для майнинга криптовалюты. Причем антивирус не всегда эффективен против такой программы, и от неё бывает сложно избавиться.

Что такое скрытый майнинг-вирус

Вредоносные программы-майнеры относятся к троянской группе вирусов. Они незаметно проникают в систему Windows и начинают использовать аппаратные ресурсы компьютера или ноутбука для майнинга криптовалюты.

Как только пользователь обнаружил, что такой майнинг выполняется с его ПК, необходимо сразу избавиться от вредоносной программы.

Чем опасен вирус-майнер для ПК

Если троян находится в системе Windows, то использование компьютера или ноутбука становится небезопасным. Любые пароли могут быть вычислены, а данные — удалены или украдены.

Если это троянская программа для майнинга, то она еще и негативно влияет на видеокарту и процессор. Работать на перегруженном ПК становится некомфортно. К тому же скрытый майнинг приводит к ускоренному износу оборудования.

Особенно чувствительны к таким нагрузкам ноутбуки. Они могут выходить из строя уже через несколько часов фонового майнинга. Вот почему нужно как можно скорее избавляться от скрытых программ.

Виды скрытых вирусов для майнинга

Вирусы для майнинга можно разделить на две основные группы.

Скрытый криптоджекинг

Такой вирус не загружается на ПК или ноутбук, а существует в виде встроенного в сайт онлайн-скрипта.

Когда пользователь попадает на зараженную страницу, скрипт активируется и ресурсы компьютера или ноутбука начинают использоваться для майнинга криптовалюты. А поскольку майнинг-программа встроена в сайт, антивирус не может ее удалить.

Обнаружить, что вредоносный скрипт начал работать против компьютера, можно по возросшей загрузке процессора.

Классический майнинг-вирус

Такой вирус имеет вид архива или файла. Он устанавливается незаметно, против желания пользователя. Если его не удалить, он будет запускаться при каждом включении компьютера.

Как правило, у такой программы только одна функция – использовать ПК для майнинга криптовалюты. Но иногда можно «подхватить» скрытый вирус, который проверяет кошельки пользователя и переводит его средства на счета хакера.

Как понять, что ПК заражен

Чтобы удалить вирус-майнер, его необходимо распознать. Проверьте компьютер антивирусом и выполните поиск зараженных файлов, если обнаружены такие симптомы:

Перегрузка видеокарты. Распознать эту проблему можно по внешним признакам: GPU начинает сильно шуметь (из-за интенсивного вращения кулера) и становится горячей на ощупь. Также определить нагрузку можно при помощи бесплатной программы GPU-Z.

Медленная работа ПК. Когда компьютер или ноутбук тормозит, нужно через диспетчер задач проверить нагрузку процессора. Если этот показатель на уровне 60% и более, то система Windows может быть заражена вирусом-майнером.

Повышенный расход RAM. Скрытый майнер использует все доступные ресурсы компьютера, в том числе оперативную память.

Удаление файлов, информации или настроек против желания пользователя и без его одобрения.

Повышенный расход онлайн-трафика. Скрытый майнер активен постоянно. А иногда трояны могут быть частью ботнета – хакерской сети, которая используется для DDOS-атак против внешних систем.

Замедление работы браузера. При поиске и посещении сайтов происходит отключение онлайн-соединения или удаление вкладок.

Диспетчер задач находит процессы с незнакомыми названиями, например «asikadl.exe».

Как найти и удалить скрытый вирус-майнер

Если обнаружен хоть один из описанных симптомов, необходимо проверить систему Windows антивирусом. Он помогает бороться против вредоносного софта и удалять его.

После проверки антивирусом стоит запустить программу Ccleaner или её аналог. Она находит и убирает из системы Windows весь мусор, который работает против неё. Для завершения процесса удаления нужно перезагрузить компьютер.

Иногда появляются вирусы для майнинга, которые могут добавлять себя в список доверенных программ. Тогда антивирус не сможет их найти и удалить.

Также новые майнеры умеют обнаруживать диспетчер задач и отключаться до того, как он появится на экране. Но в любом случае нужно проверять все процессы.

Ручной поиск скрытого майнера

Для ручной проверки компьютера откройте реестр:

Нажмите сочетание клавиш Win+R.

В появившемся окне введите слово regedit.

В открывшемся реестре можно обнаружить подозрительный процесс.

Для проверки необходимо:

в строке поиска ввести название вредоносной задачи;

нажать кнопку «Найти».

Таким образом можно обнаружить процессы, которые расходуют ресурсы. Часто у них названия в виде случайного набора символов.

После этого нужно избавиться от всех найденных подозрительных записей и перезагрузить компьютер. Если скрытый майнинг обнаружится повторно, значит, избавиться от вируса не удалось и нужно проверять компьютер другими способами.

Поиск скрытого майнера через планировщик задач

Чтобы вычислить скрытый майнинг через планировщик в Windows 10:

введите taskschd.msc в поле «Открыть»;

В окне планировщика заданий нужно найти и открыть папку «Библиотека планировщика заданий». В ней будут процессы, которые загружаются автоматически. Если кликнуть по любому из них, то в нижней части окна отобразится информация о задаче.

Здесь нужно проверить вкладки «Триггеры» и «Действия»:

В «Триггерах» указано, когда и как часто запускается процесс. Обратите внимание на те, что активируются при каждом включении ПК.

В «Условиях» можно найти информацию о том, за что именно отвечает этот процесс: например, за обнаружение и загрузку определённой программы.

Подозрительные процессы необходимо убрать. Для этого нужно кликнуть правой кнопкой мыши по названию задачи и выбрать пункт «Отключить». При этом удаления майнинг-вируса не происходит, но он не сможет полноценно работать.

Остановив подозрительные задачи, нужно проверить загрузку процессора. Если он начал работать нормально, то найденные программы нужно убрать из автозагрузки. Удаление выполняется так же, как и отключение, только кликнуть нужно на пункт «Удалить».

Более тщательно проверить автозагрузку можно с помощью бесплатной программы AnVir Task Manager. Она ищет и проверяет задачи, которые запускаются автоматически.

Для обнаружения и удаления более сложного вредоносного софта нужно загрузить антивирус, например программу Dr. Web. Она выполняет глубокую проверку системы Windows. Через ее интерфейс можно избавиться от любых подозрительных файлов и процессов (не только от скрытого майнинга).

Перед тем как удалять вирус, лучше создать бэкап для восстановления системы.

Защита компьютера от майнинг-вирусов

Защитить ПК помогут следующие рекомендации:

Установите на ПК образ чистой и проверенной системы Windows. Если обнаружены признаки заражения скрытым майнером, нужно запустить процесс ее восстановления. Это можно делать каждые 2—3 месяца.

Установите антивирус. Важно регулярно обновлять антивирусные базы.

Не забывайте проверять информацию о программах перед их скачиванием. Так можно обнаружить вирус для майнинга еще до того, как он попадет на ПК.

Проверяйте антивирусом все скачанные файлы и при обнаружении вируса удаляйте его. Так можно избавиться от программ скрытого майнинга, которые уже скачаны, но еще не запущены.

Работайте онлайн с включенными антивирусом и брандмауэром. Если софт обнаружит опасный сайт, лучше его закрыть.

Внесите опасные сайты в файл hosts. Для этого можно использовать списки с портала GitHub. В нём есть раздел с информацией для обнаружения браузерного майнинга. Там же размещена инструкция, как защититься от вирусов.

Не выполняйте действия от имени администратора. Если таким образом запустить программу-майнер, то она получит максимальный доступ к ресурсам ПК и избавиться от нее будет очень сложно.

Разрешите запуск только проверенных программ. Для этого в системе Windows есть утилита secpol.msc. В ней можно создать политику проверки и ограниченного использования ПО.

Установите разрешение на использование только определенных портов. Соответствующие настройки находятся в меню антивируса и брандмауэра.

Установите на роутере надежный пароль, а также уберите его обнаружение и удаленный онлайн-доступ.

Запретите другим пользователям поиск и установку программ.

Поставьте пароль к системе Windows, чтобы исключить возможность несанкционированного использования ПК.

Не заходите на сомнительные сайты без онлайн-сертификатов. Безопасные ресурсы можно узнать по значку ssl (https).

Заблокируйте скриптовые коды JavaScript, которые находятся в настройках браузера. Так можно убрать возможность запуска вредоносного кода, подключающегося онлайн через браузер. При этом подвижные элементы сайтов тоже перестанут корректно определяться и отображаться.

Включите обнаружение и защиту против майнинга в браузере Chrome. Это можно сделать в настройках в разделе «Конфиденциальность и безопасность».

В качестве дополнительной меры защиты можно установить фильтры поиска и удаления рекламных баннеров – AdBlock, uBlock и прочие.

Защита от криптомайнеров

По мере того, как взлетела ценность криптовалют, таких как Биткойн и Монеро, появилась более зловещая тенденция. Киберпреступники увидели возможность использовать вычислительную мощность незащищенных компьютеров для майнинга криптовалюты.

Эти расчеты требуют большого количества ресурсов процессора и электроэнергии, поэтому хакеры используют сценарии майнинга в браузерах для незаконного использования компьютеров других людей (так называемый криптоджекинг), чтобы они могли бесплатно добывать криптовалюты.

Что такое криптоджекинг

Как и шифровальщики, криптомайнеры отнюдь не новое явление. Ведь примерно с 2011 года существует возможность использовать компьютерные ресурсы для майнинга биткойнов без помощи специализированного или мощного оборудования. Однако киберпреступники стали разрабатывать вредоносное ПО только после бума криптовалют в середине 2017 года.

Киберпреступники поняли, что если они заражают чужой компьютер вредоносным ПО, то могут заставить зараженный компьютер выполнять работу по майнингу, но злоумышленники получат прибыль. Ведь умножить прибыль на 1000 или 1000000 зараженных компьютеров, то очень легко понять, почему такой взлет получили вредоносные криптомайнеры.

Более того, злоумышленники решили, что могут резко увеличить прибыль, объединяя несколько типов вредоносных программ.

Фактически пользователь, перейдя по фишинговой ссылке или открывая вредоносное вложение, получает одновременно две инфекции: криптомайнинговое ПО и вымогатель. Естественно, что злоумышленник выбирает какое ПО активировать, ведь одновременно они работать н могут. Выбор осуществляется на основе таких факторов, как аппаратная и программная конфигурация компьютера и того, какая атака окажется более прибыльной.

Как работает незаконный криптомайнинг

Для заражения компьютеров киберпреступники используют различные методы: от компрометации ПК и мобильных устройств отдельных пользователей до проникновения на популярные веб-сайты и распространения вредоносного ПО всем, кто их посещает.

Кроме того, чрезвычайно популярным методом заражения остается фишинг. В некоторых случаях используются компоненты-черви, что позволяет вредоносам атаковать по сети одну машину за другой.

Эксплойт EternalBlue, который использовался для распространения вымогателей WannaCry в глобальной эпидемии в 2017 году, до сих пор используется для распространения вредоносного криптомайнинга. Но в отличие от вымогателей, большинство жертв криптомайнинга не имеют ни малейшего представления о том, что у них крадут, кроме смутного ощущения, что их система работает не так эффективно, как раньше.

Поддельные обновления программного обеспечения — это еще один популярный метод проникновения, например, загрузка вредоносных программ, которая маскируется под законное обновление Adobe Flash Player. Другим распространенным методом является внедрение вредоносного сценария майнинга на легитимном веб-сайте или в блоке онлайн-рекламы, размещаемой на многих веб-сайтах. Когда жертва заходит на веб-сайт или ее браузер загружает онлайн-рекламу, начинается процесс криптомайнинга, который ворует ресурсы и прибыль без ведома пользователя.

Разработчики вредоносных программ Cryptomining извлекли уроки из своих ранних ошибок. Сегодня гораздо реже встречаются вредоносные программы, которые потребляют 100% мощности процессора жертвы, что приводит к заметному замедлению, которое, скорее всего, побудит пользователя заметить и предпринять корректирующие действия. В новых выпусках вредоносных программ для криптомайнинга предпринимаются более разумные меры для сокрытия их присутствия: загрузка ЦП жертвы примерно до 20 процентов, поиск времени простоя пользователя для выполнения самых ресурсоемких вычислений и т. Д. Таким образом, эти криптомайнеры могут украсть ресурсы у жертвы без обнаружения очень долгое время.

Хуже того, не нужно быть высококвалифицированным инженером-программистом, чтобы заняться незаконным майнингом. Как и в случае других наборов вредоносных программ, криптоджекинг как услугу можно приобрести всего за полдоллара США. Высокий уровень конфиденциальности и анонимности, свойственный некоторым криптовалютам, таким как Monero и Zcash, также значительно усложняет отслеживание и отлов злоумышленников.

Известные криптоджекеры

Smominru

Smominru, пожалуй, самый печально известный криптовалютный ботнет, состоящий из более 520 000 машин, которые к январю 2018 года заработали своим владельцам более 3 миллионов долларов в Monero, чему способствует умный, постоянно восстанавливающийся дизайн ботнета. Smominru был основан на EternalBlue, украденном эксплойте АНБ, который также использовался в глобальной эпидемии вымогателей WannaCry в 2017 году.

BadShell

Умные криптомайнеры, такие как BadShell, прячутся в легитимных процессах, таких как Windows PowerShell, через которые они выполняют скрытые вредоносные сценарии майнинга. Немногие традиционные антивирусные программы могут обнаружить угрозу, поскольку по умолчанию они доверяют исполняемым файлам с подписью Windows, таким как PowerShell.

Coinhive

Первоначально предназначенный и все еще используемый в качестве законного инструмента монетизации веб-сайтов, код майнинга Coinhive в настоящее время является крупнейшей в мире угрозой крипто-взлома.

MassMiner

MassMiner — интересный пример, потому что он использует много эксплойтов для различных уязвимостей в одной полезной нагрузке. Использование неисправленных ошибок в Oracle WebLogic, Windows SMB и Apache Struts принесло криптовалюте Monero на сумму около 200 000 долларов для создателей MassMiner.

Prowli

Prowli — это крупная известная бот-сеть из более чем 40 000 зараженных веб-серверов, модемов и других устройств Интернета вещей (IoT), которые используются для майнинга криптовалюты и перенаправления пользователей на вредоносные сайты. Часть Prowli — это червь с перебором паролей, способствующий распространению майнера Monero. В некоторых случаях ботнет также устанавливает бэкдоры на зараженные системы.

WinstarNssMiner

В течение трех дней в мае 2018 года WinstarNssMiner заразил более полумиллиона систем. Когда этот криптоджер обнаруживает эффективное антивирусное программное обеспечение на своей целевой машине, он остается бездействующим, активируя себя только в системах со слабой защитой. Хуже того, если вы попытаетесь удалить WinstarNssMiner, это приведет к аварийному завершению работы зараженной системы.

Стоимость криптомайнинга

Во-первых, нам нужно понять природу криптовалюты. Эти цифровые валюты основаны на криптографии (также называемой алгоритмами хэширования), которая записывает финансовые транзакции. Доступно только определенное количество хэшей, которые помогают установить относительную ценность каждой единицы.

Создание новых единиц криптовалюты предполагает решение сложной математической задачи. Первый человек, который решит проблему, получит деньги за свои усилия в этой криптовалюте. Это означает, что законные криптомайнеры должны инвестировать в серверные фермы для обеспечения вычислительной мощности, огромного количества электроэнергии и систем охлаждения, которые помогают поддерживать эффективность майнинга при сокращении количества.

Распространение cryptomining

Скрипты майнинга в браузерах не являются вредоносными. Некоторые веб-сайты экспериментируют с ними в качестве возможного источника дохода, который заменит онлайн-рекламу. Например, одним из первых веб-сайтов, попробовавших такой подход, был Quartz . Идея распределить усилия по шифрованию на пользовательские компьютеры в обмен на доступ к веб-сайту казалась разумной, тем более что пользователь будет проинформирован и попросит согласиться на сделку.

К сожалению, этот подход был использован преступниками. Вместо того чтобы инвестировать в инфраструктуру, необходимую для законного криптомайнинга, они рассматривают сценарии майнинга браузеров как способ избежать этих затрат. И будь то Coinhive, предлагающий инструменты майнинга Monero, которые вы вставляете на веб-сайт, или альтернативы Coinhive, такие как EObot и Awesome Miner, которые используют браузерные майнеры Bitcoin, у преступников есть инструменты, которые всегда под рукой.

Как определить, был ли ваш компьютер заражен

Учитывая нагрузку вашего процессора, если ваш компьютер неожиданно стать работать медленнее или батарея разряжается особенно быстро, вы могли быть взломаны. Как вы можете это доказать?

Откройте диспетчер задач Windows или MacOS Activity Monitor и нажмите «Процессы». Если вы видите, что ваш браузер потребляет слишком много ресурсов, вы можете закрыть его и перезапустить. К сожалению, это не говорит вам, на каком сайте запускался скрипт майнинга браузера.

К сожалению, сложно это заметить. В то время как старые сценарии максимально загружали процессор, новые сценарии криптомайнинга нагружают максимум до 20 процентов, что затрудняет их обнаружение.

Остановка криптомайнинга в браузерах

Несмотря на то, что идентифицировать подобные атаки стало намного сложнее, существуют шаги, которые вы можете предпринять, чтобы автоматически уменьшить вашу уязвимость к атакам через браузер.

Развертывание расширений браузера

Большинство популярных веб-браузеров сегодня включают в себя расширения, которые могут помочь остановить атаки криптомайнинга в сети. Они могут включать как решения, разработанные разработчиком браузера, так и расширения с открытым исходным кодом, которые могут быть добавлены. Например, решения No Coin и MinerBlocker отслеживают подозрительную активность и блокируют атаки, и оба имеют расширения, доступные для Chrome, Opera и Firefox.

Ad-Blocker Software

Учитывая взрыв вредоносного ПО криптомайнинга, многие блокировщики рекламы теперь включают в себя блокиратор Coinhive, который отфильтровывает запуск сценария в вашем браузере. Если у вас установлен блокировщик рекламы, вам нужно выбрать этот блокировщик скриптов.

Отключить JavaScript

Если вы хотите полностью блокировать определенные атаки, большинство браузеров разрешат отключить JavaScript — хотя многие легальные сайты по-прежнему используют JavaScript, поэтому отключение может вызвать проблемы.

Блокировать домены

Вы также можете заблокировать определенные домены, которые вы подозреваете в криптомайнинге. Просто откройте браузер, найдите раскрывающийся список «Настройка» и заблокируйте URL-адрес. Чтобы заблокировать Coinhive, вы можете скопировать / вставить https://coin-hive.com/lib/coinhive.min.js в текстовое поле.

Заключение

Блокирование сценариев майнинга в браузере является важным шагом для обеспечения целостности и эффективности работы вашей системы, и совсем не сложно предпринять шаги, необходимые для защиты вашего компьютера.

Однако стоит учесть, что сегодня существует много криптоджекеров, не основанных на браузерах. Вместо этого они представляют собой отдельные программы, которые напрямую заражают вашу систему.

Надеюсь, хоть антивирусное ПО у вас лицензионное? Безусловно, сегодня можно применять и бесплатное антивирусное ПО, широко представленное на рынке. Но хватит ли вам бесплатного антивируса? Не думаю. Хотя, безусловно, решать вам!

Ваша приватность умирает красиво, но мы можем спасти её. Присоединяйтесь к нам!