Скрытый майнинг

Как майнерам удается скрываться

Когда скачанный файл запускается, то вместе с ожидаемым ПО распаковывается и установщик, который скачивает майнер и маскирует его специальной утилитой. Продвинутые майнеры обеспечены «Службами», которые будут настраивать майнер, обеспечивать его автозагрузку и незаметность.

Сервисы служат скрытому майнеру хорошую службу — стоит запустить игру, как майнер перестает работать, чтобы не вызывать подозрений у геймера. Есть и другие виды майнеров — которые восстанавливаются, если их удалить. В общем и целом, майнеры скрывают свое присутствие маскируясь под знакомые программы в диспетчере задач, скрываясь из выдачи работающего ПО или изменяя файлы реестра.

Три сценария заражения скрытым майнером

Заражение майнером имеет три понятых и изученных источника.

Первый сценарий заражения — пользователь скачивает и устанавливает программу «с сюрпризом». Чтобы скрытый майнер смог пройти через многочисленные фильтры и заслоны, он маскируется под что-то уже известное — браузер, скриншотер, иконку ВК и подобные узнаваемые вещи.

Второй сценарий заражения — пользователь попадает на страницу загрузки, которая выглядит в точности, как обычная. По сути — это копия оригинальной страницы с одним изменением — кнопка «СКАЧАТЬ» не скачивает то, что должна. После загрузки файла и взаимодействия с ним начинается процесс заражения, который антивирусы не всегда могут уловить.

Есть и третий сценарий заражения — сайт использует JavaScript или другой код, исполняемый на стороне клиента и майнит на посетителях. Тогда браузер заражается и начинает добывать крипту без ведома пользователя

Причиной нагрузки могут стать и сомнительные плагины, следует обратить внимание на рейтинг дополнения и отзывы. Особое внимание при проверке отзывов следует уделить негативным или «Однозвездочным» — владельцы приложения могут «нагнать» положительных обзоров, чтобы перекрыть плохие оценки от реальных пользователей

«В ряде случаев, сайты предлагают таким образом избавить пользователя от рекламы, представляя на выбор подписку или майнинг в пользу сайта.»

Виды скрытого майнинга

Можно выделить два основных вида скрытого майнинга:

  1. С установкой программы на ПК. В данном случае программу-майнер скрытно устанавливают на компьютер жертвы. Она шифруется в файлах и незаметно использует мощности процессора и видеокарты для добычи. Данный процесс происходит постоянно, пока компьютер включен и подключен к сети.
  2. Браузерный майнинг. В данном случае скрытый майнинг запускается только тогда, когда пользователь переходит на сайт, где злоумышленники поместили вредоносный код.

Конечно, наибольшую ценность для “теневых” майнеров имеют геймерские ПК, ведь именно они чаще всего собираются из последних версий “железа”, но не стоит упускать из виду и смартфоны. Современные модели мобильных гаджетов также обладают не абы какой мощностью, поэтому злоумышленники не пренебрегают ними, и активно распространяют вредоносные мобильные приложения.

Что такое скрытый майнинг с помощью ботнета?

Майнинг криптовалюты требует двух ресурсов: высокой вычислительной мощности и электроэнергии. Оба этих ресурса обладают высокой стоимостью и чем больше у вас в распоряжении процессоров и электричества, тем больше вы сможете добыть криптовалюты. Чтобы построить прибыльную майнинг-ферму, нужно купить мощные и дорогие видеокарты или асики и ежемесячно оплачивать огромные счета за электричество.

Или… можно создать ботнет и получить эти ресурсы бесплатно.

Представьте себе распределенный датацентр, состоящий из сотен тысяч устройств: домашних компьютеров, ноутбуков, мощных серверов и обычных смартфонов, которые круглосуточно тратят часть своих ресурсов на математические операции по вычислению нового блока в сети криптовалюты. Владельцы зачастую никогда не узнают, что их устройство скрыто майнит криптовалюту.

Как правило зараженные машины используются для скрытого майнинга криптовалюты Monero. Криптовалюта Monero является полностью анонимной цифровой валютой, транзакции в которой невозможно отследить. Также майнинг Monero может осуществляться на CPU, то есть на обычных процессорах, которые есть во всех компьютерах.

Может быть вы слышали про ботнет Smominru, который включал в себя более полумиллиона компьютеров, на которых осуществлялся скрытый майнинг криптовалюты Monero. Ботнетом управляла группа хакеров, также ответственных за распространение вируса WannaCry. С мая 2017 года ботнет Smominru, используя скрытый майнинг на компьютерах жертв, добывал примерно 24 монеты XMR в сутки и принес своим владельцам более трех миллионов долларов.

Для криптомошенников не важно, какой мощности у вас компьютер, сколько он может добывать криптовалюты и где он находится географически. Для скрытого майнинга часть ресурсов вашего устройства будет направлена на добычи криптовалюты, а вся прибыль будет направлена на кошелек хозяина ботнета

Как проверить компьютер на скрытый майнинг и не повредить операционную систему

Как узнать майнит ли твой комп в данный момент, чтобы не быть жертвой хакеров?

Для проверки компьютера на наличие скрытого майнинга можно запустить диспетчер задач Windows (нажав комбинацию Ctrl+Alt+Del и активировав диспетчер задач) или другую программу, позволяющую мониторить загруженность центрального процессора, графического процессора, памяти, дискового пространства, сетевую активность и какие процессы выполняются в системе.

Необходимо обратить внимание на процессы, которые потребляют слишком много ресурсов. Более подробное изучение этих процессов, того, в какой папке они находятся, как запускаются, с какими сетевыми адресами производят соединение, позволят определить степень их надежности

Для этого удобно использовать утилиту Process Monitor, которую можно скачать с сайта Microsoft по адресу https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

https://youtube.com/watch?v=RMRarF3R61I

Кроме” того, необходимо проверить список программ, находящихся в автозагрузке компьютера и внимательно проверить, какие программы автоматически загружаются на компьютере при его включении. Это удобнее всего делать с помощью программы Autoruns, которую можно скачать с сайта Microsoft по адресу docs.microsoft.com/en-us/sysinternals/downloads/autoruns.

Знание того, как обнаружить программы скрытого майнинга позволит удалить их и спокойно использовать свое оборудование.

Как обнаружить вирус

Самым первым незаконную программу должен обнаружить антивирус. Но, при использовании хакером продвинутых программ, которые автоматически осуществляют обучение и добавляют майнер в список доверенных, это может не сработать.

Проверка компьютера на майнинг вирус может быть более достоверной, если произвести загрузку операционной системы с другого, чистого носителя и запустить в заведомо чистой среде хороший антивирус с обновленными базами данных. Эту процедуру желательно периодически производить, даже если есть уверенность в отсутствии программ майнеров, для поиска троянов и шпионских модулей на компьютере.

Как проверить компьютер на скрытый майнинг другими способами?

Наличие скрытых программ, использующих компьютер для майнинга, можно определить по ряду характерных признаков. Они не обязательно свидетельствуют о наличии скрытого майнера, но по совокупности признаков помогут лучше понять, все ли в порядке с компьютером:

  • Повышенная нагрузка на компьютер при майнинге вызывает сильное замедление его работы, увеличенное время открытия страниц в интернете, подтормаживание игр и задержки при просмотре видеофайлов;
  • Компьютерное оборудование начинает потреблять ощутимо больше электроэнергии, сильнее греется, а его система охлаждения постоянно работает в максимальном режиме;
  • Пропадает большая часть пространства на носителях, от нескольких гигабайт и выше, а индикатор доступа к жесткому диску показывет его постоянную активность;
  • Компьютер постоянно производит обмен данными с интернетом, даже если им никто не пользуется. Самостоятельный слив компьютером трафика является косвенным доказательством, указывающим на скрытый майнинг;
  • Во время загрузки компьютера кратковременно появляются окошки непонятных программ, которые очень быстро исчезают.
  • Эти признаки могут свидетельствовать о необходимости переустановки операционной системы или износе оборудования и часто являются признаками наличия вирусов, в том числе программ скрытого майнинга. Для того, чтобы не допустить попадания криптоджекеров на компьютер, необходимо знать, как защититься от скрытого майнинга.

Хакерские способы заражения вирусом майнинга

Программу для скрытого майнинга может установить недобросовестный человек, имеющий физический доступ к оборудованию. Кроме того, могут использоваться другие способы, аналогичные тем, которые используются для распространения компьютерных вирусов.

Наиболее распространенными способами хакерского проникновения на компьютер для установки скрытых майнеров являются такие:

  1. Установка вредоносных программ персоналом, имеющим доступ к оборудованию.
  2. Заражение интернет сайтов скриптами, содержащими код для выполнения скрытого майнинга, или загружающими на компьютер жертвы вирусы, позволяющие производить скрытый майнинг. Как правило, для этого используются различные полулегальные сайты с сомнительным содержимым;
  3. Распространение зараженных вирусом-майнером установочных файлов, которое часто происходит при распространении пиратского программного обеспечения в сети интернет;
  4. Использование уязвимостей в операционной системе или установленных программах со стороны сервера. При этом используются специальные утилиты (эксплойты), позволяющие скрыто управлять компьютером и устанавливать на нем вредоносные программы.

Установочные файлы

Проще всего внедрить вирус майнинга или специальные программы-закладки в установочные файлы широко используемых программ, что позволит незаметно проникнуть на чужой компьютер, использовав для этого самого владельца, или сделать это незаметно для других под видом установки безвредной программы. Для того, чтобы уберечься от такого способа проникновения нужно тщательно проверять источник, откуда были взяты установочные файлы, особенно если он находится в интернете, а также обязательно проверять их перед запуском хорошим антивирусом.

Атака сервера

Некоторые компьютеры в интернете заражены вирусами, которые выполняют алгоритмы, направленные на распространение вирусов. При этом могут использоваться программные коды, эксплуатирующие уязвимости компьютеров (так называемые эксплойты) как пользователей, подключенных к серверам, так и других компьютеров, подключенных к сети, но имеющих открытые порты, подверженные уязвимости.

Необходимо максимально ограничвать количество таких уязвимостей и регулярно проверять компьютер на наличие вирусов и программ криптоджекинга.

Как осуществляется скрытый майнинг

Для начала, злоумышленник подключается к одному из пулов для майнинга, так как добывать криптовалюту с помощью одного ПК самостоятельно не имеет смысла.

Хотя некоторым удается создать свою собственную сеть, установив ПО на множество машин одновременно.

В этом случае, шансы на успех значительно повышаются.

Основная задача программного обеспечения – добыча криптовалют. Все заработанные средства перечисляются на счет злоумышленника. При этом, вирус может долгое время оставаться незамеченным, так как далеко не все антивирусные программы сегодня способны распознать подобное ПО.

Дело в том, что такая программа, как уже отмечалось выше, попадает на ПК обычно вместе с другими файлами (к примеру, скачанная игра, фильм, музыка или документы).

Установка производится в тихом режиме без участия пользователя.

А если это «взломанная» (активированная) программа, то чаще всего пользователь вообще отключает антивирус, чтобы тот пропустил установку, тем самым самостоятельно открывает полный доступ к своему компьютеру, пусть даже временно.

перейти

Скрытый майнинг криптовалюты

Ботнет для скрытого майнинга не требует никаких контактов и взаимодействий с жертвой. Жертва, как правило не знает и никогда не узнает о том, что ее компьютер скрыто добывает криптовалюту для неизвестного анонима. Такой вид кибер мошенничества — это низкорисковый и долгосрочный канал по заработку денег, используя ресурсы чужих компьютеров. По сути, вредоносной деятельности здесь не происходит и такое действие сложно классифицировать, как преступление.

Обычно хозяин ботнета не использует мощность процессора жертвы на 100%. Высокая загрузка процессора может привести к перегреву или даже выходу из строя компьютера. Поэтому, компьютеры в ботнете, как правило, работают так, чтобы жертва ничего не замечала. Потихоньку, день за днем, скрыто забирая часть вычислительных ресурсов, такой ботнет приносит владельцу сотни и тысячи долларов ежедневно.

Еще одним из самых массовых видов мошенничества в сфере криптовалюты является фишинг — воровство паролей от криптовалютных кошельков через фальшивые сайты.

Как распознать скрытый майнер на ПК

Первичные признаки заражения на ноутбуках — быстрая разрядка батареи даже в простое, шум кулеров, перегрев при простое. На ПК выявить майнер немного сложнее — понадобиться проверять программы вручную.

Симптомы заражения майнером на ПК

В ряде случаев, выявить скрытый майнер получается через слежение за температурами, потреблением и активными задачами в Диспетчере Задач. Выявить наличие майнера можно по графикам нагрузки — если компьютер ничего не делает, но наблюдается постоянная загрузка на 70 — 100%, то это может служить одним из сигналов о наличии вредоносного ПО.

Как выявить майнер в «Диспетчере задач»

Откройте окно Диспетчера, выключите все другие программы и не шевеля мышкой наблюдайте за работой программ 15 — 30 минут. Если во время наблюдения резко подскакивает потребление GPU или CPU, то это служит сигналом о начале работы майнера. Если «Диспетчер» резко закрывается — это признак наличия майнера, препятствующего нормальной работе программы.

На Windows 10 есть вкладка «Журнал приложений», где отображается процент ресурсов, потребляемых приложением за месяц. В ней можно отследить, какое приложение потребляло больше всего времени работы CPU или GPU.

Вирусные программы тайного майнинга

Чаще всего встречаются три вредоносных программы.

Miner Bitcoin

Пользователи, не занимающиеся криптовалютами и не играющие в требовательные игры, обычно загружают процессор максимум на 20 %. Попавший в систему Miner Bitcoin повышает этот показатель до 80 или даже 100 %.

Программа открывает доступ к скрытым конфиденциальным данным и способствует взлому электронных кошельков. Распространяется угроза нередко через Skype или при скачивании из сомнительных источников документов или изображений.

EpicScale

«Зараза», обнаруженная пользователями uTorrent. Владельцы системы даже не стали отпираться, только заявили, что заработанные путем спрятанного майнинга финансы переводятся на благотворительные цели.

Людей возмутило, что их не уведомили о незаконном использовании ресурсов. Немного позже в аналогичный скандал оказался втянут другой популярный трекер, PirateBay. Самое неприятное, что EpicScale чрезвычайно трудно удалить с компьютера — его скрытые файлы все равно остаются в системе.

JS/Coin Miner

Майнер, внедряющий собственные скрипты в браузер клиента. В группе риска находятся сайты, на которых человек гарантированно проведет много времени: ресурсы с фильмами, флеш-игрушками или книгами. Нагрузка идет на процессор, а обнаружить троян можно в списке скриптов, запущенных на странице.

Как найти и удалить скрытый майнинг на компьютере

Чтобы компьютер попал в ботнет, на нем должна быть выполнена программа. Эта программа должна быть запущена пользователем или каким-либо исполняемым скриптом. То есть теоретически, стать жертвой ботнета и участником пула, где осуществляется скрытый майнинг криптовалюты, можно просто посетив какой-либо вредоносный сайт.

Обнаружить, что вы стали жертвой криптохакеров можно по необычно высокой загрузке процессора. CPU вашего компьютера будет нагружен даже когда вы не запускаете каких-либо программ. Смартфон или ноутбук может начать постоянно сильно нагреваться и тормозить — это тоже признак того, что скрыто выполняются какие-то вычислительные процессы.

Как правило скрытый майнер не ставит задач по уничтожению данных или другой серьезной вредоносной деятельности. Владелец ботнета заинтересован, чтобы жертва как можно дольше оставалась в неведении. Но сам факт того, что неизвестный смог поставить на компьютер какую-то программу и запустить ее, должен как минимум насторожить.

Если вы подозреваете, что у вас на компьютере происходит скрытый майнинг криптовалют, то достаточно установить антивирус. Процесс добычи криптовалюты заставляет процессор работать в определенном режиме и увидеть эту загрузку достаточно просто. Антивирус может удалить программу для скрытого майнинга. Также вы можете использовать плагины для Crome типа minerBlock или NoCoin, которые помогут предотвратить скрытый майнинг во время посещения сайтов.

Чтобы не стать жертвой скрытого майнинга, достаточно регулярно обновлять программное обеспечение, которым вы пользуетесь и соблюдать базовые правила цифровой гигиены. Не следует запускать программы из неизвестных источников, всегда пользоваться свежей версией антивируса и не посещать подозрительные сайты.

Какие криптовалюты майнились?

Изначально программы для скрытого майнинга предполагали осуществление добычи криптовалютного «золота». То есть Bitcoin. Спустя пару лет с момента появления первых вирусов и троянов использовать компьютеры для добычи BTC стало невыгодно. Появились фермы на основе ASIC.

Так, в 2013-2014 гг. хакеры перешли на добычу альткоинов. Мошенники отдавали предпочтение просто добываемым монетам. Это было обусловлено повышенной доходностью майнинга этих коинов.

Как только сложность повышалась, процесс становился менее выгодным. Тогда переходили на другие «монеты» либо начинали активнее заражать другие устройства. Это делалось для повышения мощностей и сохранения или увеличения добываемой криптовалюты.

Понятие скрытого майнинга

Речь здесь пойдёт не о майнинге, до поры скрытом от ЖКХ, но о скрытой добыче койнов на обычном компьютере, при том, что сам владелец компьютера об этом ни сном ни духом. Иными словами, для добычи криптовалюты возможно не только использование собственного компьютера, но и множества чужих машин.

И необязательно, что нагрузка на видеокарту или процессор должна возрасти до 100% – эти умники осторожны и не станут нагружать машину участника своей сети в неразумных пределах. Вы можете, в принципе, и не заметить большой разницы, если у вас достаточно мощная техника

Это важное условие для сохранения скрытой работы майнера

Впервые официальные сообщения о явлении скрытого майнинга начали появляться в 2011 году, а в 2013 году уже произошло массовое заражение ПК в различных странах, посредством Скайпа. Причём трояны не только майнили, но и получали доступ к биткойн-кошелькам.

Самый известный случай – попытка разработчиков μTorrent таким образом дополнительно заработать на пользователях внедрив в софт скрытый майнер EpicScale.

Дополнительные сведения о ботнетах – эта информация даст общее представление о явлении.

Что это такое

За понятием секретного майнинга скрывается вирусная программа, которая задействует в собственных целях ресурсы компьютера. Визуально это не отображается. «Черных майнеров» в сети очень много — так, в 2017 году сотрудники лаборатории Касперского обнаружили две крупных сети невидимого майнинга, суммарно почти на 10 тысяч устройств. Хозяева оборудования не подозревали о таком использовании их ПК.

Самые распространенные монеты для незаконной добычи — Monero и Litecoin, поскольку их сложность вполне позволяет использовать для майнинга процессоры обычных домашних компьютеров. Заражение чаще всего происходит через вредоносные сообщения электронной почты или скачивание файлов из непроверенных источников.

Опасности, с которыми можно столкнуться:

  1. Снижение конфиденциальности данных. Троян имеет доступ к персональным данным пользователя (пароли, платежные реквизиты, кредитная история).
  2. Ухудшение производительности. Компьютер работает медленнее, часто зависает или перезагружается.
  3. Ускорение износа железа. Увеличенная нагрузка приводит к выходу из строя процессора, оперативной памяти, видеокарты, охладительных элементов (кулеров).

От заражения вирусом надо избавляться как можно скорее.

Как обнаружить майнер на компьютере и удалить его с помощью специальной программы

При ответе на вопрос «как обнаружить майнер на компьютере» в голову сразу приходит набор самых популярных антивирусов. Однако, к сожалению, все не так просто. Современные вирусы могут не определяться как угрозы. При мониторинге защита может отнести их к потенциально опасным, но не более того.

Если на компьютере не установлен мощный антивирус, то для поиска майнеров подойдут лечащие утилиты. Одна из самых популярных – Dr.Web CureIt!, скачать ее можно совершенно бесплатно.

Без специального программного обеспечения тоже можно обойтись и попробовать удалить вирус вручную. Чтобы не стереть что-нибудь полезное, нужно быть уверенным, что найден именно майнер. Если сомнений нет, то необходимо открыть реестр, внеся в поиск Windows запрос «regedit» и в нем нажатием клавиш Ctrl + F запустить внутренний поиск.

В появившейся строке напишите название программы из «Диспетчера задач», которая, по вашему мнению, является вредоносной. Все обнаруженный объекты придется удалить, воспользовавшись меню. Затем нужно перезагрузить устройство и через «Диспетчер задач» проверить, улучшилась ли его работа.

Но как обнаружить майнер на компьютере, если вирус умело маскируется? В такой ситуации простые способы избавления от проблемы будут бессильны. Однако есть как минимум два решения этой задачи:

  1. С помощью «Диспетчера задач»

    Шаг 1. Открываем последовательно «Панель управления» — «Управление» — «Диспетчер задач» — «Подробности».

    Шаг 2. Читаем перечень задач, ищем странности. Как правило, ботнет отличается от остальных несвязанным набором символов.

    Шаг 3. На странице «Действия» ищем запуск файла с названием из Шага 2.

    Шаг 4. Майнер может маскироваться под системное обновление. Для проверки можно написать название файла в поисковике и посмотреть, что он запускает.

    Шаг 5. С помощью поиска в реестре сначала находим все совпадения, потом удаляем файлы.

    Шаг 6. Перезагружаем компьютер.

  2. С помощью программы AnVir Task Manager

    Обнаружить скрытый вирус поможет мультифункциональный диспетчер процессов AnVir.

    Шаг 1. Скачайте и установите мультифункциональный диспетчер процессов AnVir.

    Шаг 2. Откройте утилиту и с ее помощью изучите все активные процессы. Если какой-то из них покажется подозрительным, наведите на него курсор, чтобы появилась информация о программе.

    Запомните: некоторые вирусы могут маскироваться под системное приложение, но детали при этом не подделывают. Далее ПКМ → «Детальная информация» → «Производительность».

    Шаг 3. Выбираем «1 день» и смотрим на производительность ПК за этот период.

    Шаг 4. Если система была сильно нагружена каким-то процессом, то, наведя на него курсор, запишите его название и путь.

    Шаг 5. Нажимаем ПКМ → «Завершить процесс».

    Шаг 6. Пишем в поисковой строке Windows «regedit» и переходим в реестр.

    Шаг 7. Далее совершаем действия «Правка» → «Найти». Пишем название подозрительного файла и удаляем все совпадения.

    Шаг 8. Удаляем саму программу.

    Шаг 9. Проверяем систему антивирусом. Если будут найдены угрозы, то их нужно удалить.

    Шаг 10. Делаем перезагрузку ПК.

Если на первый взгляд кажется, что обнаружить майнер на компьютере очень сложно, то подумайте о том, что он ворует у вас не только электричество, но и ваши персональные данные. Если человек часто скачивает из интернета пиратский контент или непроверенные файлы, то ему регулярно нужно проводить серьезное сканирование ПК, иначе можно остаться без сбережений на банковском счете.

Конечно, компьютер может тормозить по объективным причинам, но признаком угрозы считается, если это происходит во время простоя или при выполнении простых задач, когда операционная система даже не загружена. Прислушивайтесь к работе охладительного оборудования. Оно не должно шуметь, когда нет нагрузки.

Если же появились признаки вмешательства злоумышленников в работу вашего ПК, то с ними нужно немедленно разобраться. Каким способом вы это сделаете – решать вам.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector