Що робити якщо на комп’ютері вірус-майнер

Всім привіт! Кожен активний користувач ПК, який проводить багато часу на різних інтернет ресурсах рано чи пізно замислюється про кібербезпеку своєї операційної системи. Але далеко не всі інтернет серфери здатні забезпечити свій комп’ютер необхідним захистом і належним доглядом. Для того, щоб не стати жертвою шкідливого ПЗ, необхідно знати в якому напрямку розвиваються віруси, та як з ними боротися, адже ймовірність підхопити в мережі нове дітище хакерів, вкрай висока. І далеко не факт, що антивірус врятує вас в такій ситуації.Найактивнішими шкідливими програмами останнім часом стали так звані віруси-майнери, про які ми з вами сьогодні й поговоримо.

Отже, що ж це таке – вірус-майнер? Це вид шкідливого ПЗ, яке використовує ресурси зараженого комп’ютера (в основному відеокарту та процесор) для видобутку різної кріптовалюти. Найчастіше майнять Monero (XMR) і Zcash (ZEC), інші анонімні види валют використовуються рідше. На даний момент у природі зустрічається два види вірусів-майнерів.

1. Класичні

Проникають на комп’ютер користувача класичними способами, потайки запускають процес-майнер, маскують його та вказують інтернет-гаманець зловмисника. За великим рахунком це самий звичайний троян, тільки призначення у нього трохи інше.

2. Браузерні

Буває, заходиш на сайт, і вся система починає моторошно гальмувати. При чому нестача оперативної пам’яті найчастіше тут ні при чому. Якщо заглянути в диспетчер завдань, то можна побачити стовідсоткове завантаження системи браузером. Але як таке можливо, запитаєте ви? Це якраз справа рук браузерного майнера, який працює завдяки спеціальним скриптам на сайті. Таким хитрим способом не погребувала навіть знаменита піратська бухта.

Що робити якщо на комп'ютері вірус-майнер

У чому небезпека прихованого майнера?

По-перше, з-за того, що деякі компоненти вашого комп’ютера навантажуються на повну котушку, термін їх експлуатації значно знижується. І хоч розробники процесорів і відеокарт дають нам багаторічну гарантію, я б не став сподіватися, що будь-яка залізяка здатна пропрацювати весь гарантійний термін на межі своєї потужності. Та й кому захочеться, потім возитися з сервісними центрами? Більш того, найбільшу небезпеку стабільна пікове навантаження становить не для графічного чіпа відеокарти або кристала центрального процесора, як ви могли подумати, а для системи охолодження, адже гарантія на неї, як правило, відносно невелика з-за високого рівня вразливості перед зносом.

По-друге, що найбільш важливо – обмежена продуктивність всієї системи. У переважній більшості використовувати ресурси ПК для власних потреб не вдасться все із-за того ж високого навантаження компонентів за допомогою майнера. Однак це ще півбіди. Деякі, особливо просунуті версії прихованих майнерів здатні аналізувати запущені у вінді процеси, та включатися тільки тоді, коли система знаходиться в простої. Або ж запускатися, використовуючи лише певну кількість ресурсів. Наприклад, коли ви просто сидите в браузері, ви за великим рахунком, практично не навантажуєте свою систему, хіба що оперативну пам’ять, до якої майнеру немає ніякого діла. В цей час запускає троян прихований майнер, який задіює 80% потужності вашого процесора для видобутку кріптовалюти, залишаючи вам лише 20%, яких в умовах серфінгу буде цілком достатньо. Робиться це для того, щоб недосвідчений користувач не зміг помітити шкоду відразу, тим самим залишаючи паразита у себе на ПК якомога довше.

По-третє, створення комплексних вірусів ніхто не відміняв. Ніщо не заважає зловмисникам створювати дві зарази в одному флаконі. Так, наприклад, крім прихованого кріптодобування, ви можете втратити конфіденційну інформацію, що зберігається на ПК.

Як визначити, що на комп’ютері вірус-майнер?

1. Найбільш очевидна ознака – це повільна робота операційної системи. Однак, як я вже написав вище, деякі добре замасковані та просунуті хробаки не видають себе за даним критерієм.
2. Дубльовані системні процеси. У переважній більшості подібні віруси маскуються під стандартні системні служби та процеси. Проте найпростіші та нахабні версії шкідливих навіть не маскуються та використовують найбільш очевидні імена типу: xmrig, xmr, systemminer і т. д. Ось список найбільш популярних використовуваних імен.

Silence svhosts winlogan
Carbon system64 winlogo
Xmrrig32 systemiissec logon
nscpucnminer64 taskhost win1nit
mrservicehost service vrmserver
svchosts3 vshell
wininits sql31 win1ogin
winlnlts taskhots win1ogins
taskngr svchostx ccsvchst
tasksvr
xmr86 nscpucnminer64
mscl xmrig update_windows
cpuminer xmr

 

3. Високий нагрів. З-за того, що залізо навантажено на 100%, його тепловиділення відповідно підвищується. Це, напевно, найбільш очевидна ознака, яка є ахіллесовою п’ятою нової зарази. Адже якщо ви просто сидите в браузері, а з корпусу валить гаряче, як з труби паровоза повітря, то не потрібно бути Шерлоком Холмсом, щоб запідозрити щось недобре. Особливо легко виявити прихований майнер на ноутбуці, коли клавіатура, на якій ви тримаєте руки, починає відчутно нагріватися, адже буквально в парі сантиметрів під нею знаходяться всі нутрощі вашої розкладачки.

4. Автоматичне закриття вже відкритих додатків. Як я вже писав вище, в природі вірусів-майнерів зустрічаються просунуті версії, які здатні активуватися не на повну потужність, щоб не “спалитися”. Так от, як виявилося, це далеко не єдиний витончений вид такої зарази. Зустрічаються такі модифікації, які навіть здатні закривати антивірусні утиліти. Безумовно, такі трюки прокочують лише з не найсильнішими представниками антивірусного захисту, але все ж вони є. Так само деякі майнери вміють закривати додатки, через які проходить велика кількість трафіку. Наприклад, завантаження файлів з інтернету за допомогою торрента або браузера. Так, друзі, сучасні комп’ютерні бур’яни дуже сильно еволюціонували та пристосувались до навколишнього середовища, тому потрібно тримати вухо гостро.

P. S. У березні 2018 року був виявлений вірус-майнер з функцією Kill-list, який здатний навіть усувати йому подібних конкурентів. При проникненні на комп’ютер жертви, він так само, як і інші вміє аналізувати запущені в операційній системі процеси, нічого надприродного. Однак далі починається найцікавіше. При виявленні замаскованих процесів, які направлені на прихований майнінг, даний хробак примусово їх блокує, та сам захоплює всі ресурси. Тобто один паразит знищує іншого паразита, за право бути єдиною заразою в тілі носія. Цікаво, чи не правда?

Скільки заробляють творці прихованих майнерів?

Що робити якщо на комп'ютері вірус-майнер
Ботнет з майнером Minergate, виявлений експертами, приносив власникам 30 тис. доларів щомісяця. Через гаманець, в який відправлялися здобуті монети, пройшло понад 200 тис. доларів.

Компанія Qbix, розробник Calendar 2, за три дні заробила 2 тис. доларів на прихованому майнінзі Monero. А розробник з Камбоджі Макс Корнет розповів, що отримав всього 0,89 долара за 60 годин від встановлення прихованого майнера на сайті з відвідуваністю близько 1 тис. користувачів на добу. Тобто він заробляв 36 центів на день або близько 10 доларів в місяць. Звичайно, більша відвідуваність – вище заробітки. Але платні статті або іншу рекламу власникам сайтів і в цьому випадку вигідніше розміщувати.

Як захиститися від вірусу-майнера?

Більшість з вас може подумати, що це все дрібниці, адже я володію платною версією антивіруса, та мені будь-яка зараза не страшна. На жаль, поспішаю вас засмутити, але це не так. Часто утиліти, призначені для захисту користувача від шкідливого ПЗ, марні перед новими, раніше незвіданими видами комп’ютерної зарази. І цей випадок є підтвердженням цих слів. Якщо зайти на офіційний сайт одного з найбільш популярних антивірусів – dr.Web, то ви побачите, скільки нових майнерів виявляється кожен день. Думаю, не варто говорити про те, що буквально кілька днів тому система захисту була повністю безсила перед всіма виявленими троянами.
Що робити якщо на комп'ютері вірус-майнерНаприклад, в період з 1 по 14 травня було випущено 1179 оновлень бази даних сигнатур антивіруса, які спрямовані на боротьбу з майнерами.

Більш того, лазити по сумнівних сайтів для того, щоб підчепити подібного роду заразу далеко не обов’язково. Так наприклад десятки тисяч користувачів були заражені через офіційний сайт ВЦВГД, який був зламаний в 2015 році. Саме тому я рекомендую вам сильно не сподіватися на вашу антивірусний захист і зробити декілька простих профілактичних дій для того, щоб мінімізувати ризик зараження новими черв’яками.

1. Перейти на сайт https://cryptojackingtest.com, який показує, чи захищений ваш браузер від прихованого майнінгу. Зелений напис YOU’RE PROTECTED — ваш браузер захищений. Червоний напис YOU’RE NOT PROTECTED — ваш браузер вразливий.

Що робити якщо на комп'ютері вірус-майнер

2. Використовувати браузери, які мають вбудований захист від майнінгу, наприклад: Opera, Chrome.

3. Найбільш радикальний метод, однак, один з найбільш ефективних – відключення javascript в браузері. Вводимо в рядок наступне:

chrome://settings/content > Заборонити javascript на всіх сайтах. Тут же можете налаштувати виключення, якщо є підозри на якийсь конкретний сайт. Майте на увазі, що більшість сучасних сайтів для коректної роботи вимагають цю мову сценаріїв.
Що робити якщо на комп'ютері вірус-майнер

4. Встановити одне із запропонованих розширень для браузера: NoCoin, AntiMiner, MineControl, MineBlock.

5. Відредагувати файл hosts, що лежить за адресою: C:\Windows\System32\drivers\etc\ У кінець файлу потрібно дописати рядок 0.0.0.0 coin-hive.com – він не дасть пристрою з’єднаються з сервером, на якому лежить найвідоміший майнінг-скрипт. Можна переадресовувати на 0.0.0.0 та інші домени, викриті у поширенні шкідників:

Що робити якщо на комп'ютері вірус-майнер

6. Встановити програму для моніторингу навантаження на компоненти ПК. Наприклад, MSI Afterburner відмінно справляється з цим завданням.

7. Якщо ви користуєтеся антивірусом, то регулярно оновлювати бази.

На цьому список рекомендацій закінчується. Будьте пильні та слідкуйте за станом вашого комп’ютера, адже немає кращого захисту, ніж просунутий користувач біля керма! На сьогодні це все, до швидких зустрічей!

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *