Как обнаружить и удалить скрытый майнер в Windows

Под скрытым майнером подразумевается программа-вирус, которая использует ресурсы вашего компьютера для добычи криптовалют. Делается это в автоматическом режиме без ведома пользователя и каких-либо предупреждений.

Чаще всего поймать скрытый майнер можно при скачивании файлов из непроверенных источников. Обычно это какой-то пиратский контент, который пользуется большой популярностью среди пользователей. Также наткнуться на подобный вирус можно при получении различных спам-рассылок. В любом варианте вы получаете желаемое, а вместе с этим на ваш компьютер может быть загружен скрытый майнер или утилита для его автоматического скачивания из Сети.

Типы майнинг-вирусов

В первое время трояны были основными средствами заражения компьютеров майнинг-вирусами. Этот тип держит все свои файлы на атакованном компьютере. Кроме майнера, он запускает сценарии для подключения компьютера к серверу управления. Все действия происходят в фоновом режиме с маскировкой под системные процессы.

В случае успешной установки связи с Command & Control сервером, вирус получает дальнейшие инструкции, а зараженный компьютер становится частью ботнета, добывающего хакеру деньги.

Другим типом майнинг-вирусов являются приложения, написанные с помощью JavaScript. Такое программное обеспечение встраивается в браузер в качестве кода. У такого зловреда нет файлов на компьютере и поэтому его очень трудно обнаружить. Подобный вирус может установить несколько видов майнеров.

Вредоносное ПО начинает работать вместе с запуском браузера. Майнер отключается, когда пользователь закрывает браузер.

Еще одной разновидностью майнинговых вирусов считаются веб-майнеры, которые запускаются во время посещения сайтов. После закрытия страницы такого сайта, майнер перестает работать.

Этот тип вируса становится все более распространен. Эксперты антивирусных компаний говорят, что это связано с введением блокировок на веб-рекламу. Владельцы сайтов, которые зарабатывали на ней, понесли большие убытки. Чтобы восстановить доходность, они вводят скрипт майнеры в свои страницы. Пока человек находится на таком сайте, он зарабатывает, сам не зная этого, деньги владельцу ресурса.

Как это работает?

Алгоритм работы таких вирусов весьма прост. Программа осуществляет скрытый запуск майнера и подключается к пулу для майнинга, на котором происходит добыча криптовалют. Данные действия ощутимо грузят процессор. Основной задачей софта является получение денег за несанкционированное использование чужих вычислительных мощностей. Мошенник получает заработанную жертвами криптовалюту прямо на свой кошелёк. Пулы в такой схеме можно считать идеальным способом создания подобных ботнетов, ведь большинство пулов поддерживает неограниченное количество подключенных к одному адресу пользователей и их принадлежность не требуется никому доказывать. А при наличии ботнета из сотен компьютеров можно легко использовать даже самые крупные пулы с высокой минимальной суммой вывода заработанных средств.

Как происходит заражение

Специалисты по безопасности выделяют несколько основных причин заражения ботнетом. Обычно такие вирусы попадают в компьютер по следующим причинам:

• Скачивание и запуск файлов из интернета. Хакеры находят множество способов распространения своих программ и встраивают их в раздачи на сомнительных сайтах.
• Физический контакт с заражённым устройством. Также можно “подцепить”” такое ПО используя чужие флешки и другие устройства для хранения и передачи информации.
• Несанкционированный удалённый доступ. Классический удалённый взлом также используется для заражения и по сей день.

В сети можно найти много новостей о том, как люди пытались использовать скрытый майнинг на работе, заражая целые офисы. Известные и случаи попыток распространения вредоносного ПО для майнинга через Телеграм.

Почему майнер работает в скрытом режиме?

Другой вопрос заключается в том, как такому вирусу получается оставаться необнаруженным и как определить его наличие. Весь секрет заключается в том, что на компьютер он попадает вместе с какими-то файлами и документами, а его установка происходит в тихом режиме. Процесс добычи криптовалюты прячется под одну из служб Виндовс или не отображается вообще. Другая интересная особенность современного майнера заключается в том, что его работа прекращается при увеличении нагрузки. Делается это для уменьшения торможения и, соответственно, риска быть быть обнаруженным. Может показаться, что хакеры существенно теряют прибыль, но такой подход безопасней для них при наличии большой сети взломанных ПК.

В отдельных случаях система даже сокрывает исходный код вируса, который автоматически восстанавливает его запуском bat на устройстве в случае удаления. В таких ситуациях процесс лечения может сильно затянуться и потребовать куда более серьёзных мер.

Как найти скрытый майнер

Если компьютер или телефон не тормозит, это не значит, что он не заражен.

Самый действенный способ — просканировать компьютер антивирусом. Фокус популярных компаний-производителей антивирусов направлен на борьбу со скрытыми майнерами, поэтому базы обновляются достаточно часто. Но если вирус закриптован, а код свежий, антивирус не поможет.

Самый простой вариант майнера можно найти через панель задач Windows 7/10:

В этом случае нужно заглушить процесс и удалить программу. Вот этот процесс на видео:

Более сложный вариант

Обнаружить скрытый майнер более продвинутого уровня будет непросто. Он устанавливается без окошек, часто через зараженную флешку или псевдо-обновление популярной программы (типа Adobe). Такой майнер использует только половину ядер и половину мощности видеокарты, но если пользователь бездействует более какого-то срока, включается на всю мощность. Его не видно через стандартный диспетчер задач Windows 10, и найти скрытый майнер через другие программы может быть также сложно.

1. Проверьте температуру устройства, когда вы не даете никакой видимой нагрузки на него.
2. Установите мониторинг загруженности системы. Некоторые майнеры уходят в сон, когда открывается стандартное средство Windows, поэтому ищите спецпрограммы.
3. Отследите сетевой трафик. Чтобы майнинг давал результат, хеши нужно отправлять в пул.
4. Не удаляйте папки с найденным вирусом, этого недостаточно, он их восстановит.

Считается, что Apple менее подвержена вирусам. Но в последнее время Crypto Miner на Mac занимает значительное место. Это связано с тем, что устройства Apple мощные, что делает их нужными для ботнета .

Как понять, что на компьютере вирус-майнер?

Гул системы охлаждения

В условиях постоянной нагрузки (а именно в таком состоянии находятся комплектующие, когда добывают криптовалюту) системы охлаждения включаются на полную мощность. Причем происходит это без видимой на то причины, например, когда вы просто сидите в браузере. Но это ещё не все.

Со времен появления первых майнеров, прошло немало времени, и компьютерная зараза эволюционировала. Она научилась отключаться во время запуска любых приложений. То есть запустили вы игру, а вирус отключился. Также многие из них умеют загружать железо не на полную катушку. А, скажем, на 20-30%. Это, конечно же, ограничивает скорость добычи криптовалюты, зато позволяет червяку дольше оставаться незаметным на зараженном компьютере. Маскироваться под другие процессы — то, чему вирусы были обучены довольно давно.

Медленная работа операционной системы

Самые простые сорняки, как и говорилось выше, наглым образом задействуют все ресурсы компьютера, зачастую нагружая и видеокарту и процессор. Это, кстати, в некотором роде и осложняет процесс удаления такой заразы. Пока процессы откроются, пока антивирус запустишь и т.д. Думаем, вы поняли.

Автоматическое закрытие уже открытых приложений

Нам не хочется вас пугать, но существуют даже такие версии, которые закрывают ресурсоемкие приложения. А в прошлом году был обнаружен вирус-майнер с функцией Kill-list, который устраняет конкурентов. При проникновении на компьютер жертвы, он анализирует запущенные процессы и если среди них находится другой майнер, то он захватывает его ресурсы. Весело, правда? Такие трюки умеют проворачивать далеко не все червяки, но всё же подцепить такую заразу вполне возможно.

Черный майнинг: с миру по монетке

Если ваш компьютер неожиданно стал медленнее работать, возможно, он помогает кому-то добывать криптовалюту

СУХУМ, 25 окт — Sputnik, Светлана Бурцева. В последнее время участились случаи использования и частных, домашних, компьютеров, и серверов крупных компаний в качестве дополнительного ресурса для майнеров — добытчиков криптовалют.

“Злоумышленники, как всегда, используют любую возможность для получения прибыли незаконным путем, и способы заработка постоянно эволюционируют. Развитие рынка криптовалют открыло для киберпреступников новые возможности, но, чтобы использовать их по полной, им нужны мощности чужого оборудования. И это, в свою очередь, поспособствовало бурному росту числа случаев, когда майнеры устанавливаются без ведома пользователей.

Отчасти этот бум скрытого майнинга объясняется тем, что на этапе зарождения криптовалютного рынка майнить и зарабатывать на этом деньги намного проще”, – объясняет Евгений Лопатин, аналитик “Лаборатории Касперского”.

Теневые криптофермы

По сообщению компании “Лаборатория Касперского”, только за август 2017 года были обнаружены две крупные сети общей численностью около 9000 компьютеров, зараженных вирусами для майнинга криптовалют. При этом пиратская майнинговая сеть может приносить своим владельцам до 30 000 долларов в месяц.

Специалисты “Лаборатории Касперского” отметили, что сам факт вирусов-майнеров не нов, так как с ними приходится сталкиваться уже года три. Однако если раньше вирусы специализировались на биткоине, то сейчас они переключаются на разные криптовалюты, которых с каждым месяцем становится все больше. Самыми популярными криптовалютами у пиратских майнеров на сегодня являются Monero (XMR) и Zcash. Но это пока. Завтра фаворитами у преступников могут стать любые другие криптовалюты.

Защити свой компьютер от себя самого

По данным “Лаборатории Касперского”, для вирусов-майнеров интересны в первую очередь хорошие компьютеры, имеющие графическую видеокарту и мощный процессор. Вирусы-майнеры используют непосредственно технические мощности захваченного компьютера, что резко снижает скорость его работы и увеличивает потребление энергии. Одним из индикаторов подобного вируса может быть “зависание” игр, таких как World of Tanks, GTA 5, Dota, Minecraft и многих других. То же происходит у любителей просмотра фильмов.

Особенность вирусов-майнеров в том, что ничего, кроме непосредственно ресурсов компьютера, вирус не ворует. Поэтому не все антивирусные программы способны обнаружить пиратское вредоносное программное обеспечение. А загружается вирус-майнер на чужой компьютер из сети при обновлении программного обеспечения под предлогом продления лицензии, скачивания ключей активации и т.д.

Для избежания подобной неприятности специалисты “Лаборатории Касперского” советуют соблюдать следующие правила работы с компьютером: обязательно использовать антивирусную программу, вовремя обновлять свою операционную систему и используемые программы, не ставить подозрительное программное обеспечение с файлами-распаковщиками и работать с правами пользователя, а не администратора. В частности, права пользователя ограничивают необдуманную постановку несанкционированных программ, запрашивая для установки пароль.

Также специалисты “Лаборатории Касперского” напоминают, что владельцы макинтошей в современной версии Mac OS могут ограничить установку дополнительных программ, выбрав их загрузку только из AppStore.

Не смертельно, но неприятно

Как отмечают специалисты “Лаборатории Касперского”, любой пользователь может вполне легально установить себе специальную программу и добывать криптовалюты. В самом процессе майнинга нет ничего незаконного. Однако именно это и усложняет детектирование пиратского майнинга, который становится таковым просто потому, что владелец компьютера не в курсе, что тот участвует своими мощностями в цепочке расчетов.

Консультант по криптовалютным рынкам Александр Григорьев из Intelligent Crypto Fund считает, что вирусы-майнеры много мощности одного компьютера задействовать не могут. Какой-то результат для киберпреступников достигается лишь при задействовании огромного числа компьютеров.

Если процессор компьютера загружен какими-то дополнительными операциями, любой пользователь, по мнению Григорьева, забьет тревогу и начнет искать, в чем дело. Если же говорить о видеокартах, то сразу бывает трудно заметить, что ресурсы видеокарты потребляются сверх меры.

“Но при определенных алгоритмах карта все же начинает оказывать влияние на всю мощность компьютера. И он начинает притормаживать, и тогда это становится видно. Есть определенные эффекты”, — объяснил Григорьев.

При этом Александр Григорьев считает, что достаточно легко самостоятельно проверить загрузку видеокарты. По словам специалиста, это можно сделать при помощи утилиты GPU-Z (Graphics processing unit). Программу надо запустить, и она покажет, как используются ресурсы видеокарты. “Если при этом на компьютере смотрят ролики на youtube или работают с графическим редактором, например, тогда ресурсы карты будут задействованы. А если компьютер включен, пользователь ничего на нем не делает и в то же время ресурсы видеокарты довольно прилично задействованы, карта греется, то понятно, что идет какая-то пиратская деятельность”, — рассказал Григорьев.

Сервис безопасности вируса-майнера

Есть еще одна незначительная особенность вирусов-майнеров, однако она всерьез способна добавить сложности в обнаружении самого воришки мощности. Это обслуживающий или дополнительный сервис вируса. Сервис обеспечивает закрепление в системе компьютера основной пиратской программы, ее автозапуск при включении компьютера, а также следит за безопасностью.

Такой дополнительный сервис зачастую отвечает за то, чтобы программа мониторинга активности компьютера не обнаружила пирата-майнера, поэтому вовремя приостанавливает его работу. В частности, приостановка работы вируса может произойти именно в момент запуска утилиты, например, для проверки загрузки видеокарты. Кроме того, этот же сервис проверяет наличие майнера на жестком диске, не давая его удалить и восстанавливая его после удаления.

Как пояснил Григорьев, это может выглядеть, например, так: работает вирус в режиме, когда компьютером не пользуются, но как только пользователь подошел к своему компьютеру, поводил мышкой, вирус перестал работать. И даже в таком случае, если есть подозрение на похищение мощности компьютера, можно, что называется, в домашних условиях, не будучи специалистом, сделать самую простую проверку.

Для этого надо включить утилиту GPU-Z и пойти пить кофе, советует специалист. То есть ничего на компьютере не надо больше делать некоторое время. Как только пользователь оставил компьютер в покое, вирус может активизироваться, и утилита успеет зафиксировать несанкционированное потребление мощности видеокарты.

Нерентабельно

Несмотря на популярность Coinhive среди подпольного мира, проект все же решил закрыться. И дело совсем не в том, что скрипт использовался злоумышленниками.

Coinhive предназначен только для добычи Monero. Выбор разработчиков пал именно на эту монету потому, что она построена на алгоритме Cryptonight. А его очень легко добывать на CPU, тогда как другие популярные алгоритмы делают упор на добычу при помощи видеокарт или ASIC. К тому же, Coinhive – браузерный майнер. А браузеры просто не имеют доступа к GPU-устройствам.

Проект подтолкнул к закрытию последний хардфорк Monero. После него количество хешрейтов в системе XRP обвалилось на 50%. Вдобавок, сама монета за последний год подешевела на 85%. Потому разработчики заявили, что в дальнейшей работе просто нет экономического смысла. «Смерть» же назначили на праздничный день – 8 марта. Клиенты смогут вывести заработанные деньги до 30 апреля.

Может добыча через Coinhive действительно не имеет смысла. Но есть и другое мнение. К примеру, по данным исследования ученых Ахенского университета в Германии, скрипт приносит $250 000 дохода каждый месяц. Причем эти деньги идут на счета только 10 человек.

Так что скрипт вполне возможно и имеет экономическую обоснованность, но не для самого проекта.

Совсем недавно начинающий майнер действовал по принципу «настроил и забыл». Он выбирал криптовалюту, которая ему казалась наиболее перспективной, максимум их было две: основная и резервная. После чего прикидывал оптимальную конфигурацию «фермы» с учетом алгоритмов хеширования или покупал готовые ноды у оператора облачного майнинга. Затем настраивал и запускал собственно майнер — специфическую для каждого алгоритма консольную программу. Дальше требовалось задать оповещения о критических событиях и лишь изредка проверять, как там капают виртуальные монетки на столь же виртуальный счет.

Конечно, многие смотрели свою статистику по десять раз на дню и вскакивали ночью, но это уже психологические, а не технические особенности майнинга. В то время, когда Litecoin еще был «серебряным стандартом», постоянного контроля процесса не требовалось. Скорее было нужно терпение, и то небольшое.

Поначалу расчеты всем сулили быструю окупаемость вложений и получение прибыли уже в ближайшие месяцы (максимум — год). Однако время шло, и чем популярнее становилась выбранная криптовалюта, тем сильнее падали темпы ее майнинга на каждом узле из-за стремительно возрастающей сложности вычисления верного хеша в очередном блоке.

Когда я начинал писать эту статью, казалось, что «экскаватор» копает очень бодро. Он приносил 5,76 доллара в день, и с одной не самой крутой видеокарты это был бы отличный сбор.

Начало криптовалютного эксперимента, июнь 2017-го

Однако это был просто временный эффект биржевых игр. Как только кончился хайп и курсы выровнялись, та же система с теми же настройками стала приносить всего 2,13 доллара. В отдельные моменты система работала, считай, на холостом ходу, так как прибыльность падала ниже доллара в день. То же самое происходило и с другими криптовалютами, просто в разные периоды. Поэтому можно было снизить потери, вовремя переключившись на майнинг других монет.

Окончание криптовалютного эксперимента, июль 2017-го

У облачных операторов даже появился новый пункт в FAQ, объясняющий постоянное уменьшение выплат. В абсолютных числах производительность приобретенной системы оставалась неизменной, а вот ее относительная доля в общей сети майнеров часто падала быстрее, чем прогнозировал онлайн-калькулятор доходности.

Дополнительно повышались расценки на электроэнергию, появлялись новые чипы и новые алгоритмы. Непредсказуемости добавляют и биржевые штормы, из-за них возникают часы и даже дни, на протяжении которых майнинг выбранной криптовалюты становится откровенно убыточным.

К примеру, за один из коротких тестовых прогонов я намайнил в Decred эквивалент 18 рублей, а электросчетчик накрутил за то же время на 23 рубля. То есть в этот период мне пришлось заплатить больше, чем удалось получить за майнинг. Надо было приостановить его? Если да, то на сколько? Переключиться на другую криптовалюту? На какую? Хорошо, что сейчас не надо терзать себя этими вопросами посреди ночи, когда сработала очередная тревога. Есть универсальные системы майнинга, не привязанные к какому-то одному альткойну и снижающие финансовые риски.

Заключение

Появление современных кибер-угроз, напрямую относящихся к криптовалютной сфере, является логичным результатом возрастания популярности и стремительного подорожания виртуальных денег. Разумеется, отрасль информационной безопасности также прогрессирует, позволяя пользователям эффективно предотвращать проникновение в системы устройств вредоносного ПО. Есть качественные инструменты защиты и проверки компьютеров, чтобы скорее обнаруживать вирусные алгоритмы, включая программки для скрытого майнинга.

Защитные алгоритмы специалисты совершенствуют, улучшают возможности браузеров, оптимизируют приложения для блокировки скрытых майнер-вирусов. Нужно грамотно пользоваться такими средствами и многие опасности будут своевременно упреждены и устройство не будет использовано для скрытого майнинга криптовалют.