Скрытый майнер для криптовалют – уже не новая тема, хотя достойных технических инструкций по его обнаружению и ликвидации почти нет. Есть лишь масса разрозненной информации и статьи сомнительного содержания. Почему? Потому что всем выгоден майнинг криптовалют в мировых масштабах, кроме, конечно, того, кто копейки с этого не получает и даже не подозревает, что стал частью . И действительно – ведь принцип скрытого майнинга может стать чем-то большим, чем просто добычей монеток в чужой карман.

Понятие скрытого майнинга

Речь здесь пойдёт не о майнинге, до поры скрытом от ЖКХ, но о скрытой добыче койнов на обычном компьютере, при том, что сам владелец компьютера об этом ни сном ни духом. Иными словами, для добычи криптовалюты возможно не только использование собственного компьютера, но и множества чужих машин.

И необязательно, что нагрузка на видеокарту или процессор должна возрасти до 100% – эти умники осторожны и не станут нагружать машину участника своей сети в неразумных пределах. Вы можете, в принципе, и не заметить большой разницы, если у вас достаточно мощная техника. Это важное условие для сохранения скрытой работы майнера.

Впервые официальные сообщения о явлении скрытого майнинга начали появляться в 2011 году, а в 2013 году уже произошло массовое заражение ПК в различных странах, посредством Скайпа. Причём трояны не только майнили, но и получали доступ к биткойн-кошелькам.

Самый известный случай – попытка разработчиков μTorrent таким образом дополнительно заработать на пользователях внедрив в софт скрытый майнер EpicScale.

Криптоотрасль продолжает удивлять своей многогранностью, как в отношение способов получения прибыли, так и ценовыми движениями, не позволяющими грамотно производить аналитику.

Майнинг стал для многих пользователей основным источником дохода, а для кого-то превратился в полноценный бизнес.

Как и в любой отрасли, бизнес не всегда ведется честно, майнинг не стал исключением.

В одном из прошлых материалов мы рассказывали о , использующих ресурсы ПК или ноутбука в период, пока посетитель находится на сайте.

Закрытие вкладки сразу же избавляет от всех проблем.

В данном материале поговорим о более вредоносном варианте наживы на чужих , а именно на майнере, встроенном в вирусную программу.

Попадая в систему, этот симбиоз достаточно грамотно скрывается от антивирусных программ, в особенности бесплатных версий, которыми пользуется большинства рунета и использует часть вычислительных мощностей для добычи криптовалюты в пользу злоумышленников.

Как происходит вирусный майнинг

В процессе путешествий по сети, пользователь производит некое действие, которое может быть замаскировано под скачивание файла/картинки или под переход по внешней ссылке социальной сети в результате чего на компьютер скачивается вредоносная программа.

Она активируется, автоматически подключается к заданному разработчиком пулу и начинает добычу.

Основными монетами, которые добываются незаконным, так сказать, майнингом являются и .

Одой из причин называется высокая анонимность операций в данных сетях. Очень сильно от подобной деятельности страдают офисные компьютеры, массово заражаемые из одного источника через внутренние сети.

Отдельно нужно отметить тот факт, что далеко не все программы ограничиваются только майнингом.

Многим приданы функции поиска и копирования адресов кошельков различных криптосервисов, регистрационных данных бирж, секретных фраз и ключей, хранимых многими здесь же на ПК.

От антивирусов программы маскируются под видом официальных программ майнеров, для которых многие устанавливают исключения в системе защиты.

Самостоятельный поиск через перечень установленных программ или путем изучения содержимого папки “Program Files” также не всегда результативен, поскольку большинство пользователей просто не знают, что нужно искать.

В период активного становления данной отрасли ряд вредоносных программ удавалось вычислить и удалить благодаря тому, что они активизировали все неиспользуемые ресурсы ПК, что нередко приводило к перегревам и просто мешало работать.

Современные вирусы майнеры стали более скромными и занимают от 2 до 5 % свободных ресурсов, не нагружая особенно оборудование и не мешая пользователю спокойно работать.

Почему так происходит?

Выше упоминалось, что вредоносное ПО подключается к прописанному в нем пулу.

С ростом популярности стали активно бороться за клиентов, чтобы минимизировать количество непринятых блоков и увеличить профитность работы всех клиентов и свои комиссионные.

В результате требования к мощностям участников были сведены к минимуму, кроме того, не требовалось хоть каким-то образом подтверждать владение сдаваемыми в работу мощностями, поскольку предоставление личной информации противоречит анонимности и децентрализованности отрасли, как таковой.

Чтобы частично обезопасить пулы от происков мошенников, собственники подняли минимальную выплату добытых монет.

Такой шаг сделал практически бесполезным скрытый майнинг на небольшом количестве ПК, поскольку до вывода прибыли в части случаев дело не доходило.

С другой стороны, такие ограничения были предприняты не всеми ключевыми сервисами, что некоторым образом сконцентрировало злоумышленников, использующих вирус-майнинг на нескольких платформах.

Отдельно нужно сказать и о качественном росте тех, кто не отказался от получения прибыли за чужой счет.

Первым шагом в “выживании” стало снижение объемов используемых ресурсов, чтобы бот проработал дольше, ведь если он не мешает, то и искать его не станут.

Изрядно поумневшие программы могут оценивать производительность зараженного ПК в общем, а также процент задействованности.

В ситуации, когда пользователь нагружает оборудование своими задачами майнер отключается. Чтобы не вызывать подозрений, когда нагрузка спадает, работа продолжается.

Одна из антивирусных лабораторий в своем отчете уведомляла клиентов о том, что ряд вредоносных вирус-майнеров определяют активность пользователя за ПК и если оборудование оставлено на ночь включенным, процент используемых мощностей увеличивается до 50%.

Как искать вирус-майнер?

Если в процессе прочтения материала, описываемые ситуации показались знакомыми или в прошлом возникало подозрение, что ноутбук или компьютер загружены свыше того, что делаете вы сами, проведите вивисекцию, следуя ряду указаний:

• Откройте перечень программ, который используется в обычной ситуации и оцените нагрузку через диспетчер задач. В нормальной ситуации ничего не должно бросаться в глаза;
• Проверяем стабильность работы ОС запуском ресурсозатратной игры и/или используем программы оценки производительности системы. При периодической проверке показатели не должны разнится, если таковое происходит, в системе присутствует крот;
• Запустить специализированную программу, например, AIDA 64 проверяющую степень загруженности процессора и видеокарты приложениями, работающими в фоновом режиме.

Лучше всего произвести все процедуры и сравнить их показатели между собой, а также с информацией, полученной при прошлых проверках.

Разница производительности в 5 – 10% прямо говорит, что вирус майнер поселился на ПК и ситуацию необходимо срочно исправлять.

Отдельной строкой! Есть ситуации, когда поиск вредоносного майнера усложняется искусственно, его разработчиком.

Первый момент – отключение майнера при вызове диспетчера задач. Просмотр активных процессов тогда лишен смысла, поскольку сравнить производительность не с чем. Решением в такой ситуации будет открытие диспетчера в фоновом режиме постоянно, пока вредоносное ПО не будет удалено.

Второй момент – отключение диспетчерского приложения через определенное время. То есть Вы помните, что открывали его, но в какой-то момент не наблюдаете среди активных программ или в трее.

Решением данных ситуация будет установка и запуск программ, отслеживающих все активные процессы, например, AnVir Task Manager.

Она проведет качественный анализ и выдаст рекомендации по перечню работающих приложений которые считает подозрительными, ненужными или откровенно вредоносными и поможет их удалить.

Как избавиться от скрытого майнера?

Провести проверку с целью подтверждения подозрений о присутствии вирус майнера на ПК позволит глубокая проверка хорошим антивирусом.

Однако, таковая позволит только уточнить присутствие и в некоторых случаях укажет на конкретное место размещения.

Выковырять злодея из жесткого диска будет куда проблематичнее, поскольку не мало программ имеют функцию восстановления из *bat файла в случае, если встроенный сканер не находит исполнительный файл.

Важно ! Лучшим решением в ситуации, когда достоверно известно о присутствии вирус-майнера на ПК будет полное форматирование диска и переустановка операционной системы. Именно в таком порядке, поскольку исполняемые файлы майнеров не хранятся в тех папках, где их будут искать и не привязаны к конкретной ОС, то есть могут активироваться и после ее переустановки.

Согласно статистике, наибольшее количество заражений вирус-майнерами происходит после скачивания пиратского контента с торрент-треккеров.

Если трудности с производительностью возникли внезапно и привлекли Ваше внимание, вспомните, что из последнего было загружено и куда именно.

Важно удалить файлы, из которых установился вирус перед его удалением, чтобы при перезапуске все не вернулось на круги своя.

Слабый вирус-майнер

Поскольку пишут их под заказ, сложность и умение выживать напрямую зависят от цены. Для злоумышленников, не имеющих возможности массово заражать ПК и построить крупную прибыльную бот-сеть покупать дорогие скрипты не удобно, следовательно, они ограничиваются дешевыми и простыми в надежде на то, что “клиенты не заметят проблем”.

Настройки вредоносного ПО содержат и возможность редактирования нагрузки.

Первым делом, после удаления всего подозрительного с жесткого диска открываем диспетчер задач и закрываем все процессы, которые не знаем или которые занимают более 10% мощности.

Обращайте внимание на загруженность CPU (процессор) и GPU (видеокарта) сверх нормы и закрывайте их по очереди.

Не имеющий возможности восстановления или автозапуска после перезагрузки вирус-майнер уничтожен.

Сложные программы скрытого майнинга

К ним относятся версии, умеющие скрывать свое присутствие в системе, отключающиеся пред открытие диспетчера задач или сами его закрывающие.

Некоторые версии даже отслеживают запуск антивируса и удаляют исполнительную часть, восстанавливаясь после перезагрузки.

Несмотря на кажущуюся сложность избавления от проблем, оно возможно, главное четко следовать алгоритму поиска и удаления вирус майнера с ПК и запастись терпением:

• Запустить глубокую проверку антивирусом, обновленным до последней версии;
• Дождаться результата проверки и удалить все, что антивирус считает подозрительным;
• Перезагружаем ПК и входим в меню BIOS, где выбираем загрузку операционной системы с расширенными настройками Advanced Boot Options;
• Данный режим дает большое количество вариаций работы с системой, но нас интересует только безопасный режим с сетевой поддержкой (Safe Mode w Networking);
• Запускаем систему и авторизуемся под своими учетными данными:
• Находим в сети и скачиваем качественное ПО для работы со шпионскими программами, например, Malwarebytes Anti-Malware;

Компьютерная безопасность - вопрос довольно сложный. И мало кто из пользователей способен быстро и качественно обеспечить данный процесс своей операционной системе. Довольно часто складываются ситуации, в которых компьютер инфицируется вирусами. И их, разумеется, приходится удалять. Сегодня мы научимся находить и устранять вирус-майнер. Стоит сразу отметить, что это - далеко не самый простой процесс. Ведь у нашей сегодняшней заразы несколько нестандартное назначение и происхождение. Давайте же постараемся разделаться с поставленной перед нами проблемой как можно скорее.

Что это такое

Перед тем как стоит вообще понять, с чем мы будем иметь дело. Ведь уже это поможет как-то настроиться на устранение заразы. Иногда бывает куда логичнее и проще просто переустановить операционную систему. Но в нашем случае, это не совсем так.

Дело все в том, что вирус-майнер - это своеобразный троян. Он проникает в операционную систему, загружает процессор компьютера, а также начинает использовать для своей работы все компьютерные ресурсы. За счет этого создатели вируса получают так называемые "биткоины" - электронную валюту, которую можно превратить в реальные деньги.

Кроме того, некоторые пользователи говорят, что наш сегодняшний троян способен работать как и любая другая зараза на компьютере - похищать данные, разрушать операционную систему, а также способствовать проникновению других вирусов в систему. Иногда это действительно так. Но основное назначение нашей сегодняшней заразы - незаконное обогащение хакера за счет ресурсов компьютера пользователя.

Проявления на компьютере

Вот мы и узнали, что собой представляет майнер-вирус. Как обнаружить данную заразу на компьютере? Существует несколько вариантов развития событий. Первый из них - это просто обратить внимание на поведение операционной системы. Зачастую именно проявление майнера выдает факт инфицирования.

Что же происходит с компьютером в данный период времени? Во-первых, он начинает "тормозить". И работать очень-очень медленно. Это - первый признак того, что у вас сидит вирус-майнер. Впрочем, при инфицировании любым трояном операционная система начнет работать медленно.

Во-вторых, стоит обратить внимание на процессы в компьютере. Если открыть диспетчер задач, то можно заметить, что в соответствующей вкладке появляются строки, которые довольно сильно загружают компьютер. И это необязательно какие-то подозрительные процессы. Довольно часто майнер шифруется под программное обеспечение, которое уже было установлено ранее. Например, и так далее.

В-третьих, вы можете заметить, что даже при отключенных приложениях, а также непосредственно при перезагрузке системы, центральный процессор все равно остается максимально загруженным. От 90 до 99%. Видеокарта, кстати говоря, может начать работать очень громко, точнее, нагреваться. Все это указывает на то, что придется думать, как найти вирус-майнер и избавиться от него.

Подготовка

Но для точной если честно, одних проявлений трояна недостаточно. Очень часто используется дополнительный контент. Да и вообще, подготовиться к удалению компьютерной заразы нужно уметь. Чтобы потом не жалеть о сделанном.

Для начала сохраните на какой-нибудь съемный носитель все важные для вас данные. Это позволит избежать непредвиденных потерь. Если важных документов нет, шаг можно пропустить.

Далее - запаситесь антивирусной системой, а также дополнительным контентом для сканирования компьютера. Можно использовать Dr.Web или NOD32 по мнению пользователей). А в качестве дополнительного софта - SpyHunter, CCleaner и Dr.Web CureIT. Без него обойтись можно, но тогда не факт, что удастся устранить вирус-майнер. Как найти и удалить его на все 100%?

Кроме всего прочего, не плохо было бы иметь под рукой установочный диск вашей операционной системы. На всякий случай. И располагать несколькими часами свободного времени. Ведь лечение компьютера - это не такой уж и быстрый процесс. Давайте же начнем его как можно скорее.

Чтобы не было ошибок

И начинается процесс с того, что нам необходимо устранить все ситуации, при которых операционная система способна не показать нам вирус-майнер. Что нужно сделать для этого? Закрыть все приложения, работающие в фоновом режиме. Не забудьте, что чем меньше программ будут запущены, тем лучше.

Почему? Ведь майнер, как уже было сказано, очень любит прописываться в разнообразные приложения и маскироваться под них. А такой шаг позволит вовремя увидеть заразу. Желательно оставить работающим только "Центр обновления Windows" и антивирус. Все а также фоновые программы закройте. Запустить их можно будет только после окончания борьбы с вирусом.

Сканирование

Теперь можно попытаться удалить майнер-вирус. Как проверить его наличие на компьютере? Во-первых, уже было сказано - по проявлениям в операционной системе. А во-вторых, любой современный антивирус увидит данную заразу. Проведите глубокую а затем посмотрите на результат.

Все потенциально опасные файлы нужно "пролечить". В любом антивирусе для этого существует специальная кнопка. Правда, в случае с майнером, довольно часто данный прием не работает. Приходится просто удалять все угрозы. В принципе, если вы сталкивались с вирусами, то данный процесс ничем вас не удивит. Ничего сложного, верно?

Удаление угроз

Как найти вирус-майнер и удалить его? Хорошенько подумайте, после чего у вас начались изменения в операционной системе. Может быть, вы установили какой-то софт?

Скорее всего, это действительно так. Поэтому, чтобы окончательно разделаться с вирусом, придется найти вредоносное приложение и избавиться от него. Как правило, распространителями майнеров являются торренты (особенно UTorrent последней версии), менеджеры загрузки и некоторые онлайн-игры. В частности, продукция GameNet. При помощи панели управления удалите все подобные приложения и уже потом продолжайте борьбу с заразой.

Завершение процессов

Далее придется поработать с диспетчером задач Windows. Вызовите данную службу и загляните во вкладку "Процессы". Здесь обязательно будет показан майнер-вирус. Как проверить, какая именно строка относится к нему? Например, взгляните, сколько ресурсов компьютера потребляет та или иная задача. Если цифра составляет более 5% (при условии выключенного главного приложения) или больше 20% при включенном режиме, это наша зараза.

Что следует сделать? Завершить процесс. Просто выделите нужную строку, а потом щелкните на правую кнопку мышки. В появившемся списке стоит выбрать "Завершить". Согласитесь с предупреждением (в нем говорится о том, что несохраненные данные приложения будут утеряны) и подтвердите свои действия.

Контрольная зачистка

Как удалить майнер-вирус? Теперь, когда почти все возможные шаги проделаны, стоит обратиться к помощи дополнительного софта. Речь идет о SpyHunter, CCleaner и Dr.Web CureIT. Первое и последнее приложение стоит поочередно запускать и ставить на сканирование системы. После выдачи результаты - точно так же, как и в случае с антивирусом, все опасные объекты лечатся или удаляются. В принципе, после использования CureIT вирус-майнер, как правило, пропадает.

Но для большей уверенности стоит немного поработать с реестром компьютера. Запускаете CCleaner, а затем жмете на "Анализ" в правом нижнем углу окна. Обратите внимание, что в настройках (левая панель программы) в сканировании должны быть отмечены все разделы жесткого диска, а также браузеры и фоновые приложения (по возможности). После завершения процесса стоит нажать на "Очистка". Вот и все. Перезагружаем компьютер и смотрим на результат. Теперь нам известно, как удалить майнер-вирус. В некоторых случаях, если операционная система не была вылечена, потребуется полная переустановка компьютера с форматированием жесткого диска.

Вирус-майнер (майнер, Биткоин майнер) – это вредоносное программное обеспечение, основной целью которого является майнинг (mining) - заработок криптовалюты с использованием ресурсов компьютера жертвы. В идеальном случае, такое программное обеспечение должно работать максимально скрытно, иметь высокую живучесть и низкую вероятность обнаружения антивирусными программами. ”Качественный” вирус-майнер малозаметен, почти не мешает работе пользователя и с трудом обнаруживается антивирусным ПО. Основным внешним проявлением вирусного заражения является повышенное потребление ресурсов компьютера и, как следствие – дополнительный нагрев и рост шума от вентиляторов системы охлаждения. В случае ”некачественного” вируса-майнера, в дополнение к перечисленным симптомам, наблюдается снижение общей производительности компьютера, кратковременные подвисания или даже неработоспособность некоторых программ.

Что такое майнинг?

Слово ”майнинг” происходит от английского ”mining”, что означает ”разработка полезных ископаемых”. Майнинг - это не что иное, как процесс создания новых единиц криптовалюты (криптомонет) по специальному алгоритму. На сегодняшний день существует около тысячи разновидностей криптовалют, хотя все они используют алгоритмы и протоколы наиболее известного начинателя - Bitcoin .

Процесс майнинга представляет собой решение сложных ресурсоемких задач для получения уникального набора данных, подтверждающего достоверность платежных транзакций. Скорость нахождения и количество единиц криптовалюты, получаемых в виде вознаграждения, различны в системах разных валют, но в любом случае требуют значительных вычислительных ресурсов. Мощность оборудования для майнинга обычно измеряется в мегахешах (MHash) и гигахешах (GHash). Так как сложность майнинга наиболее дорогих криптовалют уже давно недостижима на отдельно взятом компьютере, для заработка используются специальные фермы , представляющие собой мощные вычислительные системы промышленного уровня и пулы майнинга - компьютерные сети, в которых процесс майнинга распределяется между всеми участниками сети. Майнинг в общем пуле - это единственный способ для простого пользователя поучаствовать в получении хотя бы небольшой прибыли от процесса создания криптомонет. Пулы предлагают разнообразные модели распределения прибыли, учитывающие в том числе и мощность клиентского оборудования. Ну и вполне понятно, что загнав в пул десятки, сотни и даже тысячи зараженных майнером компьютеров, злоумышленники получают определенную прибыль от эксплуатации чужого компьютерного оборудования.

Вирусы-майнеры нацелены на долговременное использование компьютера жертвы и при заражении, как правило, устанавливается вспомогательное ПО, восстанавливающее основную программу майнинга в случае ее повреждения, удаления антивирусом или аварийного завершения по каким-либо причинам. Естественно, основная программа настраивается таким образом, чтобы результаты майнинга были привязаны к учетным записям злоумышленников в используемом пуле. В качестве основной программы используется легальное программное обеспечение для майнинга, которое загружается с официальных сайтов криптовалют или специальных ресурсов пулов и, фактически, не являющееся вредоносным программным обеспечением (вирусом, вирусным программным обеспечением - ПО). Это же ПО вы можете сами скачать и установить на собственном компьютере, не вызывая особых подозрений у антивируса, используемого в вашей системе. И это говорит не о низком качестве антивирусного ПО, а скорее наоборот – об отсутствии событий ложной тревоги, ведь вся разница между майнингом, полезным для пользователя, и майнингом, полезным для злоумышленника заключается в том, кому будут принадлежать его результаты, т.е. от учетной записи в пуле.

Как уже упоминалось, главным признаком заражения системы майнером является интенсивное использование ресурсов какой-либо программой, сопровождающееся увеличением уровня шума системного блока, а также температуры комплектующих. При чем, в многозадачной среде, как правило, вирус работает с самым низким приоритетом, используя ресурсы системы только тогда, когда компьютер простаивает. Картина выглядит так: компьютер ничем не занят, простаивает, а его температура комплектующих и издаваемый вентиляцией шум напоминает игровой режим в какой-нибудь очень даже требовательной компьютерной стрелялке. Но, на практике наблюдались случаи, когда приоритет программ для майнинга устанавливался в стандартное значение, что приводило к резкому падению полезного быстродействия. Компьютер начинает жутко ”тормозить” и им практически невозможно было пользоваться.

Удаление майнера с использованием отката на точку восстановления

Самым простым способом избавления от нежелательного ПО является возврат предыдущего состояния Windows с использованием точек восстановления, часто называемый откатом системы. Для этого необходимо, чтобы существовала точка восстановления, созданная в тот момент времени, когда заражение еще не произошло. Для запуска средства восстановления можно воспользоваться комбинацией клавиш Win+r и набором команды rstrui.exe в открывшемся поле ввода. Или воспользоваться главным меню – ”Программы – Стандартные – Служебные – Восстановление системы”. Далее, выбираете нужную точку восстановления и выполняете откат на нее. При успешном откате, в большинстве случаев, удается избавиться от вируса без особых усилий. Если же нет подходящей точки восстановления или откат не привел к нейтрализации вируса, придется искать более сложные пути для разрешения данной проблемы. При этом можно воспользоваться стандартными средствами операционной системы или специализированными программами, позволяющими выполнять поиск и завершение процессов, получение сведений об их свойствах, просмотр и модификацию точек автозапуска программ, проверки цифровых подписей издателей и т.п. Такая работа требует определенной квалификации пользователя и навыков в использовании командной строки, редактора реестра и прочих служебных утилит. Использование же нескольких антивирусных сканеров разных производителей, программ для очистки системы и удаления нежелательного ПО может не дать положительного результата, и в случае с майнером – обычно не дает.

Поиск и удаления майнера с использованием утилит из пакета Sysinternals Suite

Сложность выявления программ, используемых для майнинга, заключается в том, что они не обнаруживаются большинством антивирусов, поскольку фактически не являются вирусами. Есть вероятность, что антивирус может предотвратить процесс установки майнера, поскольку при этом используются не совсем обычные программные средства, но если этого не произошло, искать и удалять вредоносную (с точки зрения владельца зараженного компьютера) программу, скорее всего, придется вручную. К сведению, в июне 2017г. средний уровень выявления вредоносности подобного ПО, например, средствами известного ресурса Virustotal составлял 15-20/62 – т.е. из 62 антивирусов, только 15-20 посчитали его вредоносной программой. При чем, наиболее популярные и качественные антивирусные программы в эту группу не входят. Для хорошо известных или обнаруженных относительно давно вирусов уровень выявления вредоносности может быть выше благодаря сигнатурам антивирусных баз данных и принятия некоторых дополнительных мер разработчиками антивирусных программ. Но все это далеко не всегда позволяет избавиться от вируса майнера без дополнительных усилий, которые потребуется приложить для решения проблемы.

Ниже рассматривается практический случай заражения системы вредоносным ПО для майнинга. Заражение произошло при использовании модифицированных игровых программ, загруженных с одного из недоверенных торент-трекеров. Хотя способ заражения мог быть и другим, как и для любого прочего вредоносного ПО – переход по ссылкам на непроверенных ресурсах, открытие почтовых вложений и т.п.

Набор вредоносных программ для майнинга в интересах злоумышленников реализует следующие функции:

Обеспечение своего автоматического запуска. Одна или несколько программ выполняют модификацию ключей реестра для автоматического запуска в случае непредвиденного завершения, перезагрузки или выключения питания. Периодически (приблизительно 1 раз в минуту) ключи реестра просматриваются и в случае их нарушения (удаления, изменения) - восстанавливаются.

Автоматического запуска программы для майнинга. Программа также запускается автоматически и параметры ее автозапуска отслеживаются и восстанавливаются одной или несколькими вспомогательными программами.

Пока в памяти компьютера выполняются процессы, обеспечивающие автоматический запуск, нет смысла удалять исполняемые файлы и записи в реестре – они все равно будут восстановлены. Поэтому, на первом этапе нужно выявить и принудительно завершить все процессы, обеспечивающие автоматический перезапуск вредоносных программ.

Для поиска и устранения вируса-майнера в современных ОС можно обойтись стандартными средствами или, например, более функциональным ПО из пакета Sysinternals Suite от Microsoft

- Process Explorer – позволяет просматривать подробные сведения о процессах, потоках, использовании ресурсов и т.п. Можно изменять приоритеты, приостанавливать (возобновлять) работу нужных процессов, убивать процессы или деревья процессов. Утилитой удобно пользоваться для анализа свойств процессов и поиска вредоносных программ.

- Autoruns – удобное средство контроля автозапуска программ. Контролирует практически все точки автоматического запуска, начиная от папок автозагрузки и заканчивая задачами планировщика. Позволяет быстро обнаружить и изолировать программы, запуск которых не желателен.

В качестве вспомогательного ПО можно также воспользоваться утилитой Process Monitor , которая в сложных случаях позволяет отслеживать активность конкретных программ с использованием фильтров (обращение к реестру, файловой системе, сети и т.п.) А также удобной для поиска файлов и папок утилитой SearhMyfiles от Nirsoft , главной особенностью которой является возможность поиска файлов и папок с использованием отметок времени файловой системы NTFS (Time stamp). В качестве критериев поиска, можно задавать диапазоны времени создания, модификации и доступа для файлов и папок (Created, Modified, Accessed). Если известно приблизительное время заражения или взлома, можно собрать полный список файлов, которые были созданы или изменены в заданный период.

Но повторюсь, для поиска и удаления майнеров, как правило, достаточно использования стандартных средств Windows - диспетчера задач и редактора реестра. Просто перечисленное выше ПО проще в использовании и удобнее для поиска вредоносных программ.

Cведения об использовании ресурсов системы, отображаемые Process Explorer:

Колонка CPU отображает степень использования центрального процессора различными процессами. System Idle Process - это не процесс, а индикация программой режима простоя (бездействия). В итоге видим, что процессор находится в режиме бездействия 49.23% времени, часть процессов используют сотые доли его ресурсов, а основным потребителем CPU является процесс system.exe - 49.90%. Даже при поверхностном анализе свойств процесса system.exe , заметны факты, которые вызывают обоснованное подозрение:

Странное описание (Description) – Microsoft Center

Странное имя компании (Company Name) – www.microsoft.com Прочие процессы, действительно имеющие отношение к Microsoft в качестве описания имеют строку Microsoft Corporation

Более подробный анализ выполняется через контекстное меню, вызываемое правой кнопкой мышки – пункт Properties:

Путь исполняемого файла ProgramData\System32\system.exe также является явно подозрительным, а переход в паку с исполняемым файлом при нажатии на соответствующую кнопку Explore показал, что и сама папка и исполняемый файл имеют атрибуты ”Скрытый” (”Hidden”). Ну, и параметры командной строки:

-o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [email protected]*-p x -t 2 –k явно указывают на то, что процесс system.exe – это программа-майнер (для использования пулов pool.minergate.com).

Поле Autostart Location содержит значение n/a , что означает, что данный процесс не имеет точек автоматического запуска. Родительский процесс для system.exe имеет идентификатор PID=4928, и на данный момент не существует (Non existent Process ), что с большой долей вероятности говорит о том, что запуск процесса был выполнен с использованием командного файла или программы, которая завершила свою работу после запуска. Кнопка Verify предназначена для принудительной проверки наличия родительского процесса.

Кнопка Kill Process позволяет завершить текущий процесс. Это же действие можно выполнить с использованием контекстного меню, вызываемого правой кнопкой мышки для выбранного процесса.

Вкладка TCP/IP позволяет получить список сетевых соединений процесса system.exe:

Как видно, процесс system.exe имеет установленное соединение локальный компьютер – удаленный сервер static.194.9.130.94.clients.your-server.de:45560.

В данном реальном случае, процесс system.exe имел минимальный приоритет и почти не влиял на работу прочих процессов, не требующих повышенного потребления ресурсов. Но для того, чтобы оценить влияние на поведение зараженной системы, можно установить приоритет майнера равный приоритету легальных программ и оценить степень ухудшения полезной производительности компьютера.

При принудительном завершении процесса system exe, он снова запускается спустя несколько секунд. Следовательно, перезапуск обеспечивается какой-то другой программой или службой. При продолжении просмотра списка процессов, в первую очередь вызывает подозрения процесс Security.exe

Как видно, для запуска программы Security.exe используется точка автозапуска из стандартного меню программ пользователя, и выполняемый файл Security.exe находится в той же скрытой папке C:\ProgramData\System32

Следующим шагом можно принудительно завершить Security.exe , а затем – system.exe . Если после этого процесс system.exe больше не запустится, то можно приступать к удалению вредоносных файлов и настроек системы, связанных с функционированием вредоносных программ. Если же процесс system.exe снова будет запущен, то поиск вспомогательных программ, обеспечивающих его запуск нужно продолжить. В крайнем случае, можно последовательно завершать все процессы по одному, каждый раз завершая system.exe до тех пор, пока не прекратится его перезапуск.

Для поиска и отключения точек автозапуска удобно использовать утилиту Autoruns из пакета Sysinternals Suite:

В отличие от стандартного средства msconfig.exe, утилита Autoruns выводит практически все возможные варианты автоматического запуска программ, существующие в данной системе. По умолчанию, отображаются все (вкладка Everything), но при необходимости, можно отфильтровать отдельные записи по типам переключаясь на вкладки в верхней части окна (Known DLLs, Winlogon, … Appinit).

При поиске записей, обеспечивающих автозапуск вредоносных программ, в первую очередь нужно обращать внимание на отсутствие цифровой подписи разработчика в колонке Publisher. Практически все современные легальные программы имеют цифровую подпись, за редким исключением, к которому, как правило, относятся программные продукты сторонних производителей или драйверы/службы от Microsoft. Вторым настораживающим принципом является отсутствие описания в колонке Description. В данном конкретном случае, под подозрением оказывается запись, обеспечивающая открытие ярлыка Security.lnk в папке автозагрузки пользователя:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Ярлык ссылается на файл c:\programdata\system32\security.exe

Отметка времени (Time Stamp) дает дату и время заражения системы - 23.06.2017 19:04

Любую из записей, отображаемых утилитой Autoruns, можно удалить или отключить, с возможностью дальнейшего восстановления. Для удаления используется контекстное меню или клавиша Del . Для отключения – снимается галочка выбранной записи.

Скрытую папку c:\programdata\system32\ можно удалить вместе со всем ее содержимым. После чего перезагрузиться и проверить отсутствие вредоносных процессов.

Майнинг – одно из самых известных понятий в криптомире. А криптосистемы очень популярны в течении последних нескольких лет.

Интернет переполнен информацией о криптовалютах, их добыче и прибыли, которую они приносят. А чем больше пользователей интересуются чем-то, тем больше вариантов для мошенничества.

Одним из таких схем «черного заработка» является скрытый майнинг. Его начало положено в 2011 году, но это были отдельные случаи, сейчас это довольно серьезная проблема.

Для того, чтобы обезопасить свою технику, важно знать, как найти такую программу, удалить и предотвратить попытки их появления.

Скрытый майнер – стороннее программное обеспечение, которое запускает майнинг в фоновом режиме, вне желания пользователя.

Оно скачивается на компьютер и использует его мощности для добычи монет, которые затем отправляются на кошелек мошенника.

Распространенность скрытого майнинга растет с огромной скоростью, ведь это один из самых простых и массовых способов заработка для хакеров. Пользователь может и не догадываться, что его ПК используется для добычи той или иной криптовалюты, если софт не будет перегружать комп.

Ботнеты заражают офисные компьютеры, которые чаще всего имеют слабые характеристики. Именно поэтому для майнинга используется .

Чаще всего заражение происходит из-за открытия вредоносных сообщений, скачивания неизвестных файлов и просмотра спам-рассылки.

Наиболее любопытно то, что те, кто занимается скрытым майнингом, получают за это совсем небольшую прибыль.

Так, если поставить ПО на 200 компьютеров, можно получить около 30 долларов в месяц.

Единственное, что привлекает – пассивность дохода, ведь кроме заражения делать больше ничего не надо самому.

Детальных инструкций о том, как распознать и удалить ботнет, в Интернете очень мало . Однако перед тем, как разбираться в поисках скрытого майнера, следует понять, почему он вообще вредит компьютеру.

Почему скрытый майнер вредит компьютеру

Вредоносная программа чем-то похожа на обычный компьютерный вирус. Она также выдает себя за системный файл и может очень перегружать комп.

Однако они действуют по разным схемам.

Если вирус напрямую вредит «внутренностям» компьютера, то скрытый майнер нельзя обнаружить с помощью антивируса, ведь он использует только системные ресурсы аппарата.

Именно из-за того, что такое ПО не видит ни одна антивирусная программа, оно и является опасным.

Ведь для того, чтобы обезвредить его, нужно потратить разбираться в характеристиках и файловой системе своего ПК, что для обычного пользователя может оказаться большой проблемой.

Хакеру не обязательно создавать ПО для ПК, есть возможность просто разработать скрипт и получить доступ к ресурсам.

Мошенник просто загружает созданный код на сайт, который будет добывать криптовалюты во время пребывания посетителей на странице.

Обнаружить это достаточно просто, при посещении страницы техника начнет работать медленно, а диспетчер задач отобразит увеличенную нагрузку.

Для того, чтобы обезопасить свое техустройство от скрытого майнера онлайн, нужно просто выйти из такой страницы.

С помощью Диспетчера Задач

Если дело касается скрытого майнинга через ПО, такое простое решение не поможет. Для того, чтобы удалить майнер навсегда без установки специальных программ, необходимо выполнить 5 простых действий:

Шаг 1. Заходим в «Панель управления» - «Управление» - «Диспетчер задач» - «Подробности» .

Шаг 2. Просматриваем все задачи, ботнет отличается от остальных (часто это несвязный набор символов).

Шаг 3. Во вкладке «Действия» будет отображено запуск файла с названием из Шага 2.

Шаг 4. Очень часто скрытый майнер скрывается под видом системного обновления. Для этого можно ввести название файла в поисковик и посмотреть, что он запускает.

Шаг 5 . С помощью поиска в реестре удаляем все точные совпадения.

Шаг 6. Перегружаем систему.

С помощью программы AnVir Task Manager

Шаг 1. Скачать и установить программу на компьютер.

Шаг 2. Открыть программу и проверить все запущенные задачи.

Шаг 3. Если какая-то задача кажется подозрительной, можно вызвать дополнительную информацию, для этого следует навести курсором на операцию (важно помнить, множество ботнетов скрываются под программным обеспечением, однако они не могут подделать данные файла).

Шаг 4; Правой кнопкой мыши нажимаем на файл – «Детальная информация» - «Производительность» выбираем 1 день и смотрим на деятельность компьютера в этот период.