Как проверить, удалить скрытый майнер с ПК: ТОП 3 способа

Статья проверена экспертом
Александр Сергиенко
С 2017 года занимается майнингом и инвестированием в криптовалюты. Основатель криптопортфеля стоимостью более 1,5 млн рублей @cryptoc_mining
Задать вопрос
5
Автор статьи
Антон Петров
В 2019 году увлекся темой криптовалют и майнинга. Специализируется на темах: майнинг, криптовалюты, ICO, NFT, блокчейн-проекты, использование блокчейн в бизнесе.

Майнинг – процесс добычи криптовалюты путём предоставления вычислительных способностей компьютера. Ранее цифровую валюту добывали на ПК, сейчас мощности рядового компьютера для получения достойного дохода недостаточно, и майнерам приходится собирать фермы или арендовать производительное оборудование.

Злоумышленники придумали эффективный способ заполучить криптовалюту – вирус-майнер. Это узкоспециализированная вредоносная программа, которая внедряется в систему пользователя, в фоновом режиме (без его ведома) задействует вычислительные мощности процессора или видеокарты (реже – SSD) для генерирования цифровой валюты.

В публикации разберёмся, по каким признакам можно определить, что на компьютере трудится майнер. Расскажем, как он работает, откуда берётся, какую опасность представляет для компьютера. Покажем, как найти, удалить вирусы-майнеры и предотвратить заражение системы ими.

Что такое скрытый майнинг и его особенности

Криптомайнер или скрытый майнер – вредоносное программное обеспечение для ПК, которое задействует вычислительную мощность компьютеров жертв без их ведома для майнинга цифровой валюты злоумышленнику. Первый криптомайнер Coinhive создан в 2017 году, это был JavaScript, встроенный в код сайта.

Различают два вида майнеров:

  • Классический или исполняемый файл – распространяется под видом взломанного приложения, кряка, патча, русификатора для него. Иногда инсталлируется в процессе установки софта. После внедрения запускается и начинает свою деятельность, также прописывает себя в автозагрузку Windows.
  • Криптоджекинг – скрипт для выполнения в интернет-обозревателе – более тонкий способ получения цифровой валюты. Майнер выполняется в виде скрипта (сценария), встроенного в код веб-сайта. Загруженный скрипт выполняется в браузере и начинает майнить криптовалюту для владельца сайта. Иногда веб-матер уведомляет о наличии на его ресурсе майнера.

Криптоджекинг

Принцип работы скрытого майнинга

Программы для скрытой добычи цифровой валюты редко воруют конфиденциальную информацию пользователей, не подключают их компьютеры к бот-сети для организации DDoS-атак. Они в фоновом режиме (без графического интерфейса) или посредством социальной инженерии внедряется в операционную систему ПК, получают доступ к аппаратным ресурсам (центральный процессор, видеокарта, накопители, оперативная память) компьютера, задействуют их потенциал для майнинга криптовалюты автору вируса.

Чем опасен скрытый майнер?

Криптомайнер задействует центральный процессор, видеокарту и твердотельный накопитель (одно устройство, несколько или все сразу) для добычи цифровой валюты. Вирусы оборудование обычно не жалеют – нагружают его работой почти под 100%, CPU и GPU начинают работать на пределе физических возможностей, поэтому ПК начинает сильно тормозить. Также компоненты быстро нагреваются, вентиляторы вращаются активнее, сильнее шумят. По этим признакам на компьютере можно обнаружить майнер.

Зачастую приложение для майнинга состоит из нескольких модулей, задача одного из них – маскировка работы вредоносного ПО. Он сканирует активность процессов и приостанавливает майнинг при запуске тяжелых приложений: игры, редакторы. Криптомайнеры могут снабжаться средствами для маскировки в Диспетчере задач, скрытия активности от антивирусов, иногда отключают последние.

Следующая опасность майнеров – не все антивирусы способны обнаруживать и удалять их.

Хакерские способы заражения вирусом

Способов распространения криптомайнеров много. В основном злоумышленники обманывают жертв, пользуются их доверием, отсутствием знаний:

  • Рассылка спама по форумам, социальным сетям, мессенджерам. Ссылки на майнеры маскируются под различные приложения, например, читы для игр. Злоумышленники могут завлекать пользователей скачать утилиту под разными предлогами.
  • Распространение модифицированного софта, кряков, патчей для программ со встроенными майнерами на раскрученных фейк-сайтах с программным обеспечением.
  • Розыгрыши в социальных сетях – рассылка сообщений десяткам «победителей» с предложением заполнить анкету через программу-майнер.
  • Распространение вредоносного софта для ПК под видом утилит для помощи майнерам: мониторинг комплектующих, отслеживание температуры, повышение хешрейта.

заражение майнером

Вывод – загружайте программное обеспечение исключительно из официальных и проверенных сайтов, откажитесь от взломанного, модифицированного софта, игр. Не переходите по ссылкам от незнакомцев.

Когда необходимо распознать вирус майнер?

Определить майнер на компьютере Windows 10 можно с помощью штатных инструментов и сторонних приложений. Такая необходимость появляется, когда компьютер, работающий без нагрузки, тормозит или долго выполняет обычные задачи, вентилятор (-ы) начинают шуметь. Температура центрального процессора или видеокарты при работе скрытого майнера будет высокой: 60 – 85 °С. Посмотреть можно через AIIDA64, MSI Afterburner, HWMonitor.

Как обнаружить вирус-майнер через Диспетчер задач вручную?

Вирусы имеют разные названия, определяются по нагрузке на центральный процессор ПК, если для получения криптовалюты используется CPU. Для этого:

  • Запустите Диспетчер задач, например, посредством Win + R.

Диспетчер задач

  • При появлении миниатюрного окна кликните «Подробнее», иначе пропустите шаг.

Подробнее в диспетчере

  • Во вкладке «Производительность» понаблюдайте за активностью процессора «ЦП». Цифра покажет текущую нагрузку и динамику её изменения на графике.

вкладка Производительность

  • Если на компьютере не запущены ресурсоёмкие приложения, а показатели высокие, идите во вкладку «Процессы».
  • Щёлкните по столбику «ЦП» для сортировки задач по уровню нагрузки на ядра ЦП. Если стрелочка будет направленной вниз, выполните второй клик.

ЦП в диспетчере

В нашем случае подозрение вызывает SPE.exe, которое потребляет почти 70% ресурсов центрального процессора. Проверить, это майнер или нет, можно онлайн сервисом VirusTotal. Посетите сайт, нажмите «Choose file», дважды кликните по подозрительному объекту, нажмите «Открыть».

VirusTotal

Для определения пути к файлу вызовите его свойства через правый клик, скопируйте путь, указанный в строке «Расположение».

расположение файла

Дождитесь завершения анализа.

результат анализа

Мы выявили активность приложения с модулем для криптомайнинга, далее покажем, как его удалить.

Для оценки загруженности видеокарты воспользуйтесь одноимённой кнопкой Диспетчера задач (наш вредонос нагружает процессор, графика работает в обычном режиме).

нагрузка карты

Ещё вариант – утилита GPU-Z, вкладка «Датчики» или «Sensors».

GPU-Z

Как удалить скрытый майнер с компьютера: пошаговая инструкция по ручному удалению

После того, как вычислили майнера на компьютере Windows 10, удалите его. Делается это не совсем привычным способом.

Диспетчер задач

Для удаления загруженного в оперативную память ПК файла его необходимо оттуда выгрузить – завершить процесс.

  • Кликните по объекту правой клавишей, выберите «Свойства».

свойства файла

  • В строке «Расположение» скопируйте путь к папке с объектом в буфер обмена – выделите адрес, нажмите Ctrl + C.

путь к папке с файлом

  • Щёлкните по объекту, выберите пункт «Снять задачу».

Снять задачу

Подтверждать действие не нужно.

  • Откройте Проводник, например, комбинацией Win + E, или файловый менеджер, вставьте путь в адресную строку и нажмите Enter.
  • Удалять обнаруженный файл с ПК можно со всем содержимым директории, если в папке есть другие объекты.

удаление файла

Если выполнить действие не удаётся, воспользуйтесь программой для удаления заблокированных файлов, например, Unlocker или ThisIsMyFile.

утилита ThisIsMyFile

Удалять вирусы можно в безопасном режиме Windows 10.

  • Выполните команду «msconfig» в окне Win + R.

msconfig

  • Во вкладке «Загрузка» отметьте флажком опцию «Безопасный режим», кликните «ОК», перезагрузитесь.

включить Безопасный режим

Компьютер запустится без сторонних приложений, вы сможете беспрепятственно очистить компьютер от майнеров, удалить заблокированные файлы через Проводник.

Как вариант, загрузитесь с флешки с дистрибутивом WinPE, LiveCD, Hirens BootCD.

Вирус майнер CPU Miner: как найти и удалить

XMRig CPU Miner – кроссплатформенное приложение для добычи цифровой валюты, это не вирус. Оно бесплатно распространяется с исходным кодом.

Как проверить компьютер на скрытый майнинг при помощи программного обеспечения?

Найти майнер криптовалюты на ПК могут антивирусы и утилиты для мониторинга активных процессов.

Как удалить майнер с компьютера через Anvir Task Manager

Аналог Диспетчера задач от компании Anvir поможет обнаружить и убрать майнера с компьютера Windows 7, 8, 10, 11.

  • Загрузите и инсталлируйте утилиту с официального сайта.
  • Отсортируйте процессы по уровню нагрузки на центральный процессор – кликните по названию одноимённого столбца.

Anvir Task Manager

Программа для поиска майнеров на ПК Anvir Task Manager отображает уровень опасности приложений, который позволит выявить другие вирусы.

  • При обнаружении программы, которая сильно нагружает ядра, щёлкните по ней ПКМ, выберите «Перейти» – «Показать файл в Проводнике».

Показать файл в Проводнике

  • Опять откройте контекстное меню объекта, нажмите «Завершить процесс».

Завершить процесс программы

Чтобы избавиться от майнера, удалите открывшуюся директорию со всеми файлами через Проводник или описанными ранее способами: Unlocker, безопасный запуск Windows, загрузка с флешки.

Антивирус против майнера

Не каждый антивирус способен обнаружить и удалить программу-майнер с ПК, ведь добыча криптовалюты – обычная процедура. Антивирусная программа предотвратит установку майнера посредством троянов, но детектировать сами майнеры может по сигнатурам. При обнаружении подозрительных объектов (процессов) их необходимо отправлять в службу поддержки антивируса для вынесения вердикта либо проверять сервисом VirusTotal.

Как защититься от браузерного майнинга?

Обнаружить вредоносный скрипт для получения криптовалюты – криптоджекинг – сложнее. Это небольшое приложение на языке программирования JavaScript, встроенное в код веб-сайта. При посещении страницы скрипт или файл с ним загружается и выполняется браузером. Применяются они преимущественно на сайтах, где пользователь проводит много времени:

  • Сайты для просмотра фильмов и сериалов онлайн.
  • Чтение книг без скачивания.
  • Прослушивание радио и аудиокниг.
  • Ресурсы с видеоматериалами для взрослых.
  • Браузерные или онлайн-игры.

Предотвратить превращение компьютера в средство для майнинга криптовалюты злоумышленнику можно, придерживаясь ряда рекомендаций.

Отключения JavaScript

Браузеры умеют распознавать криптомайнеры и автоматически блокируют их при стандартном уровне безопасности, но способы маскировки вредоносных программ развиваются.

приватность браузера

Для отключения JavaScript в Chrome откройте настройки программы через главное меню, введите ключевое слово в поисковую строку, перенесите переключатель в положение «Запретить сайтам…».

Ниже можете сформировать списки сайтов, которым разрешено и запрещено загружать скрипты.

JavaScript в Chrome

Расширение для браузера

Для тонкого управления Java-скриптами в браузере воспользуйтесь расширением NoScript. В нём есть функции создания чёрного и белого списка сайтов.

расширение NoScript

Блокировщики рекламы (AdBlock) работают со списками серверов с криптомайнерами – предотвращают их загрузку при посещении страниц с вредоносными скриптами.

Также появились дополнения-антимайнеры, например, NoCoin – предотвратит майнинг криптовалюты на сайтах.

Редактирование файла hosts

Способ малоэффективный из-за разнообразия майнеров. Предусматривает внесение адреса сервера, где располагается криптомайнер, в файл hosts – при попытке соединиться с ним браузер перенаправит на локальный хост.

Откройте через текстовый редактор (блокнот) файл «%windir%\system32\drivers\etc\hosts», в конце добавьте строку вида: «0.0.0.0 coin-hive.com», сохраните изменения.

файл hosts

Утилита Anti-WebMiner

Бесплатный инструмент для защиты компьютера от браузерных (JavaScript) майнеров вроде Coinhive. Она автоматически модифицирует hosts – внесёт туда перечень опасных сайтов после клика по кнопке «Protected».

Утилита Anti-WebMiner

Hosts примет следующий вид.

отредактированный файл Hosts

Антивирус

Антивирусные программы не всегда выявляют криптомайнеры из-за разнообразия и сложностей их детектирования, но комплексная защита компьютера лишней не будет.

Заключение

Майнеры – одна из новейших киберугроз, которая за счёт аппаратных мощностей ПК и электроэнергии жертвы принесёт доход злоумышленнику. Дополнительно не позволит нормально работать за ПК, а при худшем сценарии – выведет из строя центральный процессор или видеокарту. Обнаружить и удалить криптомайнера можно средствами Windows или бесплатными утилитами, антивирусные программы помогут не всегда.

Оцените статью
Майнинг и криптовалюта
Добавить комментарий