Вирус Bitcoin miner: как его обнаружить и обезвредить?

Вирус Bitcoin miner: как его обнаружить и обезвредить?

Безопасность компьютера важна каждому. Но тем, кто хранит на нём финансовые данные, необходимо следить за защитой личной информации и правильной работой оборудования. В противном случае им придётся столкнуться с опасным вирусом — это вирус bitcoin miner. Он способен принести массу неприятностей и заставить пострадавших поволноваться. А тем, кто пока не столкнулся с подобной бедой, следует заранее задуматься о том, как найти и удалить вирус майнер.

Стоит познакомиться с потенциальной угрозой ещё до встречи с ней, чтобы знать, как поступать при выявлении трояна. Это позволит снизить возможные потери и  оперативно вылечить зараженную технику.

В чем вред теневого майнинга, и что такое вирус-майнер

Большинство рядовых пользователей не знают, что за процесс называется майнингом, и поэтому не осознают, в чем опасность хакерских программ.

Теневой майнинг, говоря простым языком, – это решение математических задач с помощью чужого процессора или видеокарты.

Скрытый майнинг проводится на любых устройствах, имеющих процессор:

  1. На смартфонах и планшетах, причем чаще всего от вируса-майнера страдает Андроид.
  2. На стационарных компьютерах и ноутбуках: наиболее уязвима операционная система Windows.

Пока ничего не подозревающий владелец техники занимается своими делами, работает с документами, смотрит фильм или играет в игру, или зашел на кошелек zencash например, злоумышленник получает криптовалюту за те уравнения, которые решил процессор.

Вирус самостоятельно передается от одного владельца к другому и может заражать домашние и офисные компьютерные сети. Особенно много криптовалюты он приносит хакерам, когда попадает в банковскую систему или в научно-исследовательский центр, где стоит много мощных и круглосуточно работающих компьютеров.

Последствия заражения майнером

Майнинг требует больших затрат мощности компьютера (блок питания для майнинга) или смартфона, то есть дает на технику сильную нагрузку. Вирус вызывает следующие последствия:

  1. Быстрый износ деталей. Особенно сильно это сказывается на процессорах.
  2. Перегрев. Повышение температуры приводит к замедлению и ухудшению работы устройства, компьютер или смартфон начинают тормозить, зависать, либо постоянно перезагружаться. В последнем случае хакеры, конечно, не получат свои деньги, но и человек не сможет нормально использовать технику.
  3. Поломка. Если смартфон или ПК имеют некачественные детали, то предельная нагрузка может вызвать перегорание контактов.

В специализированных майнинг-фермах и центрах большое внимание уделяется охлаждению вычислительной техники. Там есть качественная и бесперебойная подача тока, предохранители от скачков напряжения в сети. Майнеры стараются оптимально рассчитать нагрузку, чтобы АСИКи и видеокарты приносили прибыль, но при этом сохраняли работоспособность в течение длительного времени.

Хакеры же не щадят чужое оборудование и стараются выжать из него максимум. У домашних компьютеров и смартфонов нет качественной системы охлаждения, да она им и не нужна при обычном использовании. Владельцы обычно не следят за температурой процессора, и система не может себя охладить самостоятельно, в результате чего рано или поздно техника выходит из строя.

Вследствие работы вируса владельца компьютера ждет увеличение расходов на электроэнергию. Это в большей степени актуально для домашних сетей из двух и более вычислительных машин.

Как майнеру удаётся прятаться

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

Как обнаружить скрытый майнер

Если вы стали замечать, что компьютер стал изрядно тормозить и греться, в первую очередь стоит запустить проверку антивирусом со свежими базами. В случае с простыми майнерами проблем быть не должно. Угроза будет обнаружена и устранена. С хорошо скрывающими своё присутствие вирусами придётся повозиться.

Отследить скрытые майнеры позволит систематический мониторинг «Диспетчера задач», который на Windows можно открыть при помощи комбинации клавиш Ctrl + Alt + Del или Ctrl + Shift + Esc. В течение 10–15 минут вам нужно просто понаблюдать за активными процессами при полном бездействии. Закройте все программы и даже не шевелите мышкой.

Если при таком сценарии какой-то из активных или же внезапно появившихся процессов продолжает нагружать «железо» — это верный повод задуматься. Происхождение такого процесса можно проверить с помощью вкладки «Подробности» или через поиск в интернете.

Многие скрытые майнеры, использующие в основном видеокарту ПК, могут не нагружать центральный процессор, а значит, и в «Диспетчере задач» на старых версиях Windows они не засветятся. Именно поэтому лучше оценивать нагрузку на «железо» с помощью специализированных утилит, таких как AnVir Task Manager или Process Explorer. Они покажут куда больше стандартного инструмента Windows.

Некоторые майнеры способны самостоятельно отключать «Диспетчер задач» через несколько минут после его запуска — это тоже признак потенциальной угрозы.

Отдельно стоит выделить ситуацию, когда «Диспетчер задач» демонстрирует чрезмерную нагрузку на процессор со стороны браузера. Это вполне может быть результатом воздействия веб-майнера, функционирующего через определённый сайт.

Как избавиться от скрытого майнера

Провести проверку с целью подтверждения подозрений о присутствии вирус майнера на ПК позволит глубокая проверка хорошим антивирусом.

Однако таковая позволит только уточнить присутствие и в некоторых случаях укажет на конкретное размещение.

Выковырять злодея из жесткого диска будет куда проблематичнее, поскольку немало программ имеют функцию восстановления из *bat файла в случае, если встроенный сканер не находит исполнительный файл.

Лучшим решением в ситуации, когда достоверно известно о присутствии вирус-майнера на ПК будет полное форматирование диска и переустановка операционной системы. Именно в таком порядке, поскольку исполняемые файлы майнеров не хранятся в тех папках, где их будут искать, и не привязаны к конкретной ОС, то есть могут активироваться и после ее переустановки.

По статистике, наибольшее количество заражений вирус-майнерами происходит после скачивания пиратского контента с торрент-треккеров.

Если трудности с производительностью возникли внезапно и привлекли ваше внимание, вспомните, что из последнего было загружено и куда именно.

Важно удалить файлы, из которых установился вирус, перед его удалением, чтобы при перезапуске все не вернулось на круги своя.

Слабый вирус-майнер

Поскольку пишут их под заказ, сложность и умение выживать напрямую зависят от цены. Для злоумышленников, не имеющих возможности массово заражать ПК и построить крупную прибыльную бот-сеть, покупать дорогие скрипты неудобно, следовательно, они ограничиваются дешевыми и простыми в надежде на то, что “клиенты не заметят проблем”.

Настройки вредоносного ПО содержат и возможность редактирования нагрузки.

Первым делом после удаления всего подозрительного с жесткого диска открываем диспетчер задач и закрываем все процессы, которые не знаем или которые занимают более 10% мощности.

Рекомендуется отслеживать загруженность CPU (процессор) и GPU (видеокарта) сверх нормы и закрывайте их по очереди.

Не имеющий возможности восстановления или автозапуска после перезагрузки вирус-майнер уничтожен.

Сложные программы скрытого майнинга

К ним относятся версии, умеющие скрывать свое присутствие в системе, отключающиеся перед открытием диспетчера задач или сами его закрывающие.

Некоторые версии даже отслеживают запуск антивируса и удаляют исполнительную часть, восстанавливаясь после перезагрузки.

Несмотря на кажущуюся сложность избавления от проблем, оно возможно, главное четко следовать алгоритму поиска и удаления вирус майнера с ПК и запастись терпением:

  • Запустить глубокую проверку антивирусом, обновленным до последней версии;
  • Дождаться результата проверки и удалить все, что антивирус считает подозрительным;
  • Перезагружаем ПК и входим в меню BIOS, где выбираем загрузку операционной системы с расширенными настройками Advanced Boot Options;
  • Данный режим дает большое количество вариаций работы с системой, но нас интересует только безопасный режим с сетевой поддержкой (Safe Mode w Networking);
  • Запускаем систему и авторизируемся под своими учетными данными;
  • Находим в сети и скачиваем качественное ПО для работы со шпионскими программами, например, Malwarebytes Anti-Malware;
  • В выбранном режиме поисковое ПО будет находить все подозрительное, не входящее в базовые настройки Windows, и автоматически удалять. Более того, будут удалены данные из системного реестра и подгружены базовые файлы для восстановления работоспособности ряда программ, часть файлов которых показалась подозрительной.

Браузерный майнер

Вирус-майнер в виде исполняемого файла было несложно обнаружить – сложности могли возникнуть в процессе его удаления. Но в случае с «онлайновым» майнером всё наоборот. Более того, удалить его не просто сложно – это сделать невозможно. А чтобы его обнаружить, нужно иметь хотя бы поверхностные знания в веб-программировании (в частности знать структуру HTML-страницы). Но обо всём по порядку.

Как обнаружить

Есть такой популярный язык программирования как JavaScript. Его возможности довольно широкие, но чаще всего он используется для улучшения дизайна страниц сайтов. Практически на всех сайтах установлено несколько скриптов, а если ваш браузер не поддерживает JavaScript, то вы даже не сможете зайти с него в ВК.

Вирус майнер в браузерах прячется в виде скрипта. Чтобы его обнаружить нужно проверить исходный код страницы.

Но некоторые умельцы использовали возможности языка для того, чтобы создать онлайн-майнер. Он работает следующим образом – пока вы сидите на странице, скрипт через браузер использует ресурсы вашего компьютера для майнинга криптовалюты. Такие скрипты в основном используются на сайтах, которые предназначены для длительного просмотра.

Рассмотрим их виды:

  • сайты с онлайн-книгами. Пока вы пополняете свой интеллектуальный багаж, злоумышленник с вашей помощью пополняет свой кошелёк;
  • сайты с фильмами и сериалами. Просмотр фильмов требует от пользователей больше времени, чем прочтение новостного поста или свежего мема, и это на руку злоумышленнику;
  • сайты для взрослых. Комментарии излишни.

Чтобы обнаружить онлайн-майнер, требуется постоянно мониторить «Диспетчер задач», в частности процесс браузера. Для этого проделайте следующие шаги:

  1. Запустите «Диспетчер задач». Как его открыть, описано в предыдущих частях статьи. Нажимаем одновременно сочетание кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc», чтобы вызвать «Диспетчер задач»
  2. Во вкладке «Приложения» найдите ваш браузер, затем правым щелчком мышки кликните на него и нажмите на «Перейти к процессу».
  3. Посмотрите, как влияет процесс на нагрузку ЦП и оперативной памяти. Если нагрузка слишком велика, значит, вполне вероятно, на одной из вкладок вашего браузера запущен скрипт с майнером. Смотрим данные процесса, которые влияют на нагрузку ЦП и оперативной памяти

В большинстве случаев для этих целей используется скрипт coinhive, другие почти никогда не используются. Он выглядит так: <script src=»https://coinhive.com/lib/coinhive.min.js»></script> . Этот скрипт служит для майнинга криптовалюты Monero. Чтобы его обнаружить, необходимо проверить исходный код HTML-страницы на наличие этого скрипта. Чтобы сделать это, следуйте дальнейшей пошаговой инструкции (описанный далее процесс нужно будет повторить во всех открытых вкладках в браузере на время обнаружения чрезмерного потребления им ресурсов):

  1. Нажмите на комбинацию клавиш «Ctrl+U», находясь на сайте, чтобы перейти к просмотру исходного кода. 
  2. Нажмите на «F3», чтобы запустить поиск.
  3. В поиске введите «coinhive». Если среди результатов будет такой код, который упомянут выше, значит, эта страница содержит скрипт с майнером.

Более «продвинутый» способ

Описанный ниже способ подойдёт для тех, кто знаком с языком программирования JavaScript, так как он требует умения анализировать код.

Некоторые особо хитрые любители лёгкого заработка могут попытаться скрыть наличие на сайте этого скрипта. Например, интегрировать его код непосредственно в HTML-документ без указания адреса первоисточника. А если они очень хитрые, то могут ещё и поменять в коде имена некоторых переменных, функций и объектов. Конечно, мало кто будет так углубляться в проблему, но минимальная вероятность не нулевая. Чтобы избежать такой уловки, делайте всё, как в инструкции выше, но только вводите в поле ввода поиска «<> (именно так – угловую скобку закрывать не нужно).

Такой поиск поможет вам найти все скрипты на странице вне зависимости от типа их интеграции. Ознакомиться со скриптом майнера можно по следующей ссылке: https://coinhive.com/lib/coinhive.min.js.

Если вы разбираетесь в JavaScript, то ознакомление с оригинальным исходным кодом поможет вам не только в случае необходимости узнать «врага в лицо», но и понять более глубоко, как это всё работает.

Как решить проблему онлайн-майнера

Приемлемый способ решения данной проблемы – это покинуть сайт, на котором он был обнаружен. В интернете мало сайтов с оригинальным контентом – практически каждый можно заменить другим.

Если же отключить JavaScript, то он отключится для всех сайтов сразу, так как в браузерах пока что нет функции отключения скриптов для отдельных страниц. А без скриптов страницы сайтов будут выглядеть, мягко говоря, не очень. Так что на данный момент самым разумным решением будет забыть про такой сайт, если вы, конечно, не хотите отблагодарить его создателя за труды и помайнить немного для него за свой счёт.

Можно посмотреть список сайтов, на которых присутствует наиболее высокая вероятность столкнуться с браузерным майнером. Этот список вывели исследователи из 360 Netlab. Так что остерегайтесь таких сайтов.

Теперь понятно, как нужно бороться с угрозой скрытого майнинга. Этот вид вируса будет эволюционировать, а их создатели будут придумывать всё более хитрые уловки. Единственное, что вам остаётся, – это повышать свою компьютерную грамотность и изучать IT-сферу, чтобы обеспечить себе безопасность и быть на шаг впереди злоумышленника.

Yandex защита

С марта 2018 года для всех платформ работает автоматическая защита от майнинга в Яндекс браузере. Это достигается с использованием специального алгоритма мониторинга загрузки процессора при работе в интернет. При этом блокировка скриптов для майнинга осуществляется автоматически, не влияя на отображение сайта, с которым производится работа.

Для просмотра загрузки процессов Yandex-браузера необходимо нажать Shift+Esc и просмотреть загрузку процессов браузера. В этом окне можно проанализировать каждый сайт, расширения и вкладки на предмет загрузки процессора.

Google защита

Для борьбы со скрытым майнингом магазин Google Play запретил с июля 2018 года размещение на своей площадке программ, осуществляющих майнинг.

Браузер Chrome от компании Google позволяет защититься от майнинга в браузере путем использования надстроек, а также с помощью активации пункта «Защитить устройство от опасных сайтов» и в меню дополнительных настроек «Находите и удаляйте вредоносное ПО».

Для обнаружения майнинга при открытом браузере Chrome также нужно нажать Shift+ESC и проанализировать, какие процессы больше всего потребляют ресурсов.

Антивирус против майнеров

Впрочем, не нужно заниматься борьбой с вирусами-майнерами вручную, с ними прекрасно справляются антивирусы. Такой способ даже лучше, потому что, как описывалось ранее, майнер может нагружать систему так, что это очень трудно заметить — вы будете только недоумевать, почему время от времени всё тормозит и дёргается.

Как пример здесь рассматривается Avast — очень неплохой антивирус, который основные защитные функции предоставляет полностью бесплатно, без всяких пробных периодов.

Зайдите на официальный сайт компании: , скачайте и установите программу.

Здесь есть один нюанс. Вообще, антивирусы не считают майнеры вирусами, что правильно: майнеры не повреждают вашу систему и личные файлы, не заражают другие компьютеры, они просто используют ресурсы, как делает любая другая программа. Поэтому, чтобы антивирус боролся с майнерами, нужно настроить его так, чтобы он обращал внимание на потенциально опасные программы.

После запуска Avast нажмите клавишу «Настройки», и на вкладке «Общие» (она откроется первой) поставьте галочки «Включить усиленный режим» и «Искать потенциально нежелательные программы (ПНП)».

Теперь на вкладке «Защита» нажмите клавишу «Основные компоненты защиты» и там активируйте все 3 доступных модуля.

Подождите 5-10 минут, и…

Альтернативные решения, как удалить вирус майнер биткоин

Здесь начинается самое интересное. Дело в том, что это не один вид заразы: их достаточно много, и они могут значительно различаться по способу проникновения в систему и по дальнейшему взаимодействию с ней. Как правило, удалить майнер вирус в простейшем его виде должен ваш антивирус. Если вы им не пользуетесь, то можно пересмотреть мировоззрение и всё же его поставить. Когда нечисть уже поселилась в операционной системе, лучше всего воспользоваться антивирусными сканерами, не требующими установки. Это или Kaspersky Virus Removal Tool, или Dr.Web CureIt.

Утилиту можно принести на флешке и просканировать ей все локальные диски.

Если в результате проверки ничего не обнаружилось, то вторым этапом запустите проверку компьютера с помощью утилиты AdwCleaner от компании Malwarebytes. Она тоже бесплатная и тоже не требует установки — скачал и запустил. Она найдёт и удалит то, что пропустил антивирус.

Если удалить биткоин майнер-вирус никак не удаётся, то стоит попробовать сделать откат системы к предыдущим контрольным точкам восстановления. В том случае, когда служба восстановления Windows на ПК отключена, единственный оставшийся вариант — это переустановка операционной системы.

Способы защиты и противодействия

Для того, чтобы относительно безопасно работать в Интернете и не боятся поймать майнер-вирус, у вас обязательно должен стоять хороший антивирус. У него надо обязательно раз в 2-3 дня обновлять базы.

Ещё рекомендуется поставить специальное расширение для браузера, блокирующее майнинг-скрипты. Например, No Coin — одно из самых старых и надёжных расширений, четко определяющее вирусы-майнеры на сайтах с различными движками (PHPBB, IPB, Jumla, WordPress и т.д.) и предотвращающее их работу.

Ну и не забывайте соблюдать основные правила компьютерной безопасности: контролируйте, какие файлы на компьютер скачиваются и какие программы устанавливаются. Без этого удачи не видать!

Методы профилактики

За время работы любой операционной системы в неё устанавливают множество софта с последующим удалением. Программы для деинсталляции и очистки реестра, честно говоря, плохо справляются со своими задачами. В итоге реестр превращается в помойку. К тому же каждое установленное приложение, особенно серьёзное, запускает дополнительные процессы, порой совсем не нужные юзеру, и прописывает в систему различные настройки. А порой от давно удалённых программ остаются отдельные модули, которые продолжают функционировать. Всё это позволяет незаметно для пользователя внедрять в систему любые процессы, и он, вероятно, в этом бардаке ничего не заметит.

Поэтому заведите привычку пользоваться преимущественно портативным софтом. Да, это не очень удобно, да, программы хуже взаимодействуют с операционкой и между собой. Но есть масса преимуществ: вы не засоряете реестр, загрузка и выключение компа происходят быстрее, потому что в скрытом режиме не работает куча всего, о чём вы и не подозреваете, а главное, в процессах чистота и легче обнаружить что-то новое, например, новый процесс, которого раньше не было и который потребляет значительное количество ресурсов.

Всё своё ношу с собой

Вообще, будет очень хорошо, если люди начнут интересоваться, как работает их компьютерная техника и установленное на ней ПО, в частности, операционные системы. Будет прекрасно, если границы познаний пользователей пойдут дальше торрентов, игр и порно. Рекомендуется изучать, как устроена работа операционной системы и какие процессы за что отвечают. Если не засорять пространство, ориентироваться будет гораздо легче.

Но, проще, конечно, не допускать проблему изначально. Антивирусные комбайны, как Каспер или ESET NOD32, не лучший вариант. Такой «секьюрити» – не ваша охрана, это ваш надсмотрщик. И отключить такого благодетеля очень тяжело, а иногда трудно стерпеть, когда какая-то «железка» указывает, какие сайты посещать и что оттуда качать.

Кстати, по поводу вирусной и прочей вполне обоснованной паранойи – старайтесь не хранить на ПК хоть сколько-то важную для вас информацию. Лучше держать всё на флэшках и дисках. На основной флэшке могут быть собраны все рабочие файлы – всё, что касается работы.

Многие программы, с которыми вы работаете, могут находиться там в портативном виде, в частности, браузер с важными закладками и биткойн-кошелёк Электрум. Каждый вечер лучше сканировать систему тремя портативными антивирусами из «боевого комплекта» и делать резервный запароленный архив с флэшки. В конце проверки выдёргивать её из порта и класть под подушку. Это гарант сохранности важной информации.

Каждый вечер сканируем систему

Все любимые фильмы, музыка и фото также находятся на отдельных носителях. По сути, на компе чистая система с минимальным набором программ и драйверов. Правда, стоит использовать простой антивирус 360 Total Security – это, между прочим, очень занудный чувак, который постоянно что-то подозревает. Но так надежней – к нему можно прислушиваться, но, когда устаешь от него, то можно просто нажать на «Выход». Этого достаточно, чтобы выключить «заботливую мамочку». Но когда нужна подстраховка – он должен работать на всю мощь, и лучше следить, чтобы он почему-то вдруг не отключился.

Чтобы никакая «адтварь» и прочая нечисть не вздумала по-тихому устанавливаться, должен быть включён стандартный брандмауэр и ещё одна маленькая, но чёткая утилита – WinPatrol Monitor. Когда что-то пытается прописаться в реестр без ведома человека – софтинка начинает реально тявкать и выдаёт окно, где описано что и куда пытается прорваться.

Опытного пользователя довольно редко посещает мысль, что и откуда скачать: большинство сайтов давно проверены. Поэтому пользоваться сомнительными ресурсами, на которые уже давно выработалось чутьё, нужды нет. Но если что-то и качать, например, софт от неизвестного производителя, антивирусами, конечно, его не проверишь: лучше запустить в песочнице, которая входит в комплект 360 Total Security. Дело в том, что в некоторые вирусы вшит механизм самоуничтожения на случай попытки его изучения в условиях песочницы. А нам это и нужно.

В завершение, несколько слов для тех, кто не считает скрытый майнинг чем-то вредоносным. Чтобы не говорили сторонники «серых методов», это в любом случае нечестная игра. Некто, не спрашивая пользователя, что-то устанавливает на его машину, не заплатив за неё перед этим ни копейки. Пользователь, может, и сам понемногу майнил бы, так сказать, «на печеньки», но не хочет лишний раз нагружать технику, в которую немало вложил и собрал исключительно для работы и развлечений. И тут какой-то Вася будет по-тихому майнить на компе крипту (в копейках) и нагружать и без того уже подогретую когда-то видеокарту!

Как начать добычу криптовалют

Добывать цифровые монеты можно честным путем. Чтобы начать такую деятельность, требуется заранее ознакомиться с некоторыми нюансами.

Какие вопросы нужно решить перед началом майнинга:

Сколько денег имеется для первоначальных инвестиций (минимальная сумма — 1000 долларов);

Какое оборудование и серверы будут задействованы;

Какое количество электроэнергии примерно будет расходоваться.

Важно заранее определить факторы, влияющие на скорость майнинга и что собой представляет мощность. Скорость определяется мощностью, которая измеряется определенным числом хэшрейта (Hashrate) на конкретном алгоритме.

Заключение

Скрытый майнер — вредное программное обеспечение. Оно хоть и не наносит прямого вреда системе, но достаточно сильно замедляет работу компьютера.

И если вы не хотите, чтобы кто-то использовал ресурсы вашего компьютера с целью личной выгоды, воспользуйтесь простыми советами, которые приведены в этой статье.

Изучив их, обнаружить майнер-бота и удалить его не составит труда.

Банер