Майнинг – процесс добычи криптовалюты путём предоставления вычислительных способностей компьютера. Ранее цифровую валюту добывали на ПК, сейчас мощности рядового компьютера для получения достойного дохода недостаточно, и майнерам приходится собирать фермы или арендовать производительное оборудование.
Злоумышленники придумали эффективный способ заполучить криптовалюту – вирус-майнер. Это узкоспециализированная вредоносная программа, которая внедряется в систему пользователя, в фоновом режиме (без его ведома) задействует вычислительные мощности процессора или видеокарты (реже – SSD) для генерирования цифровой валюты.
В публикации разберёмся, по каким признакам можно определить, что на компьютере трудится майнер. Расскажем, как он работает, откуда берётся, какую опасность представляет для компьютера. Покажем, как найти, удалить вирусы-майнеры и предотвратить заражение системы ими.
- Что такое скрытый майнинг и его особенности
- Принцип работы скрытого майнинга
- Чем опасен скрытый майнер?
- Хакерские способы заражения вирусом
- Когда необходимо распознать вирус майнер?
- Как обнаружить вирус-майнер через Диспетчер задач вручную?
- Как удалить скрытый майнер с компьютера: пошаговая инструкция по ручному удалению
- Диспетчер задач
- Вирус майнер CPU Miner: как найти и удалить
- Как проверить компьютер на скрытый майнинг при помощи программного обеспечения?
- Как удалить майнер с компьютера через Anvir Task Manager
- Антивирус против майнера
- Как защититься от браузерного майнинга?
- Отключения JavaScript
- Расширение для браузера
- Редактирование файла hosts
- Утилита Anti-WebMiner
- Антивирус
- Заключение
Что такое скрытый майнинг и его особенности
Криптомайнер или скрытый майнер – вредоносное программное обеспечение для ПК, которое задействует вычислительную мощность компьютеров жертв без их ведома для майнинга цифровой валюты злоумышленнику. Первый криптомайнер Coinhive создан в 2017 году, это был JavaScript, встроенный в код сайта.
Различают два вида майнеров:
- Классический или исполняемый файл – распространяется под видом взломанного приложения, кряка, патча, русификатора для него. Иногда инсталлируется в процессе установки софта. После внедрения запускается и начинает свою деятельность, также прописывает себя в автозагрузку Windows.
- Криптоджекинг – скрипт для выполнения в интернет-обозревателе – более тонкий способ получения цифровой валюты. Майнер выполняется в виде скрипта (сценария), встроенного в код веб-сайта. Загруженный скрипт выполняется в браузере и начинает майнить криптовалюту для владельца сайта. Иногда веб-матер уведомляет о наличии на его ресурсе майнера.
Принцип работы скрытого майнинга
Программы для скрытой добычи цифровой валюты редко воруют конфиденциальную информацию пользователей, не подключают их компьютеры к бот-сети для организации DDoS-атак. Они в фоновом режиме (без графического интерфейса) или посредством социальной инженерии внедряется в операционную систему ПК, получают доступ к аппаратным ресурсам (центральный процессор, видеокарта, накопители, оперативная память) компьютера, задействуют их потенциал для майнинга криптовалюты автору вируса.
Чем опасен скрытый майнер?
Криптомайнер задействует центральный процессор, видеокарту и твердотельный накопитель (одно устройство, несколько или все сразу) для добычи цифровой валюты. Вирусы оборудование обычно не жалеют – нагружают его работой почти под 100%, CPU и GPU начинают работать на пределе физических возможностей, поэтому ПК начинает сильно тормозить. Также компоненты быстро нагреваются, вентиляторы вращаются активнее, сильнее шумят. По этим признакам на компьютере можно обнаружить майнер.
Зачастую приложение для майнинга состоит из нескольких модулей, задача одного из них – маскировка работы вредоносного ПО. Он сканирует активность процессов и приостанавливает майнинг при запуске тяжелых приложений: игры, редакторы. Криптомайнеры могут снабжаться средствами для маскировки в Диспетчере задач, скрытия активности от антивирусов, иногда отключают последние.
Следующая опасность майнеров – не все антивирусы способны обнаруживать и удалять их.
Хакерские способы заражения вирусом
Способов распространения криптомайнеров много. В основном злоумышленники обманывают жертв, пользуются их доверием, отсутствием знаний:
- Рассылка спама по форумам, социальным сетям, мессенджерам. Ссылки на майнеры маскируются под различные приложения, например, читы для игр. Злоумышленники могут завлекать пользователей скачать утилиту под разными предлогами.
- Распространение модифицированного софта, кряков, патчей для программ со встроенными майнерами на раскрученных фейк-сайтах с программным обеспечением.
- Розыгрыши в социальных сетях – рассылка сообщений десяткам «победителей» с предложением заполнить анкету через программу-майнер.
- Распространение вредоносного софта для ПК под видом утилит для помощи майнерам: мониторинг комплектующих, отслеживание температуры, повышение хешрейта.
Вывод – загружайте программное обеспечение исключительно из официальных и проверенных сайтов, откажитесь от взломанного, модифицированного софта, игр. Не переходите по ссылкам от незнакомцев.
Когда необходимо распознать вирус майнер?
Определить майнер на компьютере Windows 10 можно с помощью штатных инструментов и сторонних приложений. Такая необходимость появляется, когда компьютер, работающий без нагрузки, тормозит или долго выполняет обычные задачи, вентилятор (-ы) начинают шуметь. Температура центрального процессора или видеокарты при работе скрытого майнера будет высокой: 60 – 85 °С. Посмотреть можно через AIIDA64, MSI Afterburner, HWMonitor.
Как обнаружить вирус-майнер через Диспетчер задач вручную?
Вирусы имеют разные названия, определяются по нагрузке на центральный процессор ПК, если для получения криптовалюты используется CPU. Для этого:
- Запустите Диспетчер задач, например, посредством Win + R.
- При появлении миниатюрного окна кликните «Подробнее», иначе пропустите шаг.
- Во вкладке «Производительность» понаблюдайте за активностью процессора «ЦП». Цифра покажет текущую нагрузку и динамику её изменения на графике.
- Если на компьютере не запущены ресурсоёмкие приложения, а показатели высокие, идите во вкладку «Процессы».
- Щёлкните по столбику «ЦП» для сортировки задач по уровню нагрузки на ядра ЦП. Если стрелочка будет направленной вниз, выполните второй клик.
В нашем случае подозрение вызывает SPE.exe, которое потребляет почти 70% ресурсов центрального процессора. Проверить, это майнер или нет, можно онлайн сервисом VirusTotal. Посетите сайт, нажмите «Choose file», дважды кликните по подозрительному объекту, нажмите «Открыть».
Для определения пути к файлу вызовите его свойства через правый клик, скопируйте путь, указанный в строке «Расположение».
Дождитесь завершения анализа.
Мы выявили активность приложения с модулем для криптомайнинга, далее покажем, как его удалить.
Для оценки загруженности видеокарты воспользуйтесь одноимённой кнопкой Диспетчера задач (наш вредонос нагружает процессор, графика работает в обычном режиме).
Ещё вариант – утилита GPU-Z, вкладка «Датчики» или «Sensors».
Как удалить скрытый майнер с компьютера: пошаговая инструкция по ручному удалению
После того, как вычислили майнера на компьютере Windows 10, удалите его. Делается это не совсем привычным способом.
Диспетчер задач
Для удаления загруженного в оперативную память ПК файла его необходимо оттуда выгрузить – завершить процесс.
- Кликните по объекту правой клавишей, выберите «Свойства».
- В строке «Расположение» скопируйте путь к папке с объектом в буфер обмена – выделите адрес, нажмите Ctrl + C.
- Щёлкните по объекту, выберите пункт «Снять задачу».
Подтверждать действие не нужно.
- Откройте Проводник, например, комбинацией Win + E, или файловый менеджер, вставьте путь в адресную строку и нажмите Enter.
- Удалять обнаруженный файл с ПК можно со всем содержимым директории, если в папке есть другие объекты.
Если выполнить действие не удаётся, воспользуйтесь программой для удаления заблокированных файлов, например, Unlocker или ThisIsMyFile.
Удалять вирусы можно в безопасном режиме Windows 10.
- Выполните команду «msconfig» в окне Win + R.
- Во вкладке «Загрузка» отметьте флажком опцию «Безопасный режим», кликните «ОК», перезагрузитесь.
Компьютер запустится без сторонних приложений, вы сможете беспрепятственно очистить компьютер от майнеров, удалить заблокированные файлы через Проводник.
Как вариант, загрузитесь с флешки с дистрибутивом WinPE, LiveCD, Hirens BootCD.
Вирус майнер CPU Miner: как найти и удалить
XMRig CPU Miner – кроссплатформенное приложение для добычи цифровой валюты, это не вирус. Оно бесплатно распространяется с исходным кодом.
Как проверить компьютер на скрытый майнинг при помощи программного обеспечения?
Найти майнер криптовалюты на ПК могут антивирусы и утилиты для мониторинга активных процессов.
Как удалить майнер с компьютера через Anvir Task Manager
Аналог Диспетчера задач от компании Anvir поможет обнаружить и убрать майнера с компьютера Windows 7, 8, 10, 11.
- Загрузите и инсталлируйте утилиту с официального сайта.
- Отсортируйте процессы по уровню нагрузки на центральный процессор – кликните по названию одноимённого столбца.
Программа для поиска майнеров на ПК Anvir Task Manager отображает уровень опасности приложений, который позволит выявить другие вирусы.
- При обнаружении программы, которая сильно нагружает ядра, щёлкните по ней ПКМ, выберите «Перейти» – «Показать файл в Проводнике».
- Опять откройте контекстное меню объекта, нажмите «Завершить процесс».
Чтобы избавиться от майнера, удалите открывшуюся директорию со всеми файлами через Проводник или описанными ранее способами: Unlocker, безопасный запуск Windows, загрузка с флешки.
Антивирус против майнера
Не каждый антивирус способен обнаружить и удалить программу-майнер с ПК, ведь добыча криптовалюты – обычная процедура. Антивирусная программа предотвратит установку майнера посредством троянов, но детектировать сами майнеры может по сигнатурам. При обнаружении подозрительных объектов (процессов) их необходимо отправлять в службу поддержки антивируса для вынесения вердикта либо проверять сервисом VirusTotal.
Как защититься от браузерного майнинга?
Обнаружить вредоносный скрипт для получения криптовалюты – криптоджекинг – сложнее. Это небольшое приложение на языке программирования JavaScript, встроенное в код веб-сайта. При посещении страницы скрипт или файл с ним загружается и выполняется браузером. Применяются они преимущественно на сайтах, где пользователь проводит много времени:
- Сайты для просмотра фильмов и сериалов онлайн.
- Чтение книг без скачивания.
- Прослушивание радио и аудиокниг.
- Ресурсы с видеоматериалами для взрослых.
- Браузерные или онлайн-игры.
Предотвратить превращение компьютера в средство для майнинга криптовалюты злоумышленнику можно, придерживаясь ряда рекомендаций.
Отключения JavaScript
Браузеры умеют распознавать криптомайнеры и автоматически блокируют их при стандартном уровне безопасности, но способы маскировки вредоносных программ развиваются.
Для отключения JavaScript в Chrome откройте настройки программы через главное меню, введите ключевое слово в поисковую строку, перенесите переключатель в положение «Запретить сайтам…».
Ниже можете сформировать списки сайтов, которым разрешено и запрещено загружать скрипты.
Расширение для браузера
Для тонкого управления Java-скриптами в браузере воспользуйтесь расширением NoScript. В нём есть функции создания чёрного и белого списка сайтов.
Блокировщики рекламы (AdBlock) работают со списками серверов с криптомайнерами – предотвращают их загрузку при посещении страниц с вредоносными скриптами.
Также появились дополнения-антимайнеры, например, NoCoin – предотвратит майнинг криптовалюты на сайтах.
Редактирование файла hosts
Способ малоэффективный из-за разнообразия майнеров. Предусматривает внесение адреса сервера, где располагается криптомайнер, в файл hosts – при попытке соединиться с ним браузер перенаправит на локальный хост.
Откройте через текстовый редактор (блокнот) файл «%windir%\system32\drivers\etc\hosts», в конце добавьте строку вида: «0.0.0.0 coin-hive.com», сохраните изменения.
Утилита Anti-WebMiner
Бесплатный инструмент для защиты компьютера от браузерных (JavaScript) майнеров вроде Coinhive. Она автоматически модифицирует hosts – внесёт туда перечень опасных сайтов после клика по кнопке «Protected».
Hosts примет следующий вид.
Антивирус
Антивирусные программы не всегда выявляют криптомайнеры из-за разнообразия и сложностей их детектирования, но комплексная защита компьютера лишней не будет.
Заключение
Майнеры – одна из новейших киберугроз, которая за счёт аппаратных мощностей ПК и электроэнергии жертвы принесёт доход злоумышленнику. Дополнительно не позволит нормально работать за ПК, а при худшем сценарии – выведет из строя центральный процессор или видеокарту. Обнаружить и удалить криптомайнера можно средствами Windows или бесплатными утилитами, антивирусные программы помогут не всегда.