Вирус-майнер: как найти и удалить. Какие бывают вирусы-майнеры, и как от них избавиться?

4 Информационная безопасность

Что такое скрытый майнер

Скрытый майнер – стороннее программное обеспечение, которое запускает майнинг в фоновом режиме, вне желания пользователя.

Оно скачивается на компьютер и использует его мощности для добычи монет, которые затем отправляются на кошелек мошенника.

Вирус-майнер: как найти и удалить. Какие бывают вирусы-майнеры, и как от них избавиться?

Распространенность скрытого майнинга растет с огромной скоростью, ведь это один из самых простых и массовых способов заработка для хакеров. Пользователь может и не догадываться, что его ПК используется для добычи той или иной криптовалюты, если софт не будет перегружать комп.Ботнеты заражают офисные компьютеры, которые чаще всего имеют слабые характеристики. Именно поэтому для майнинга используется центральный процессор.

Чаще всего заражение происходит из-за открытия вредоносных сообщений, скачивания неизвестных файлов и просмотра спам-рассылки.

Наиболее любопытно то, что те, кто занимается скрытым майнингом, получают за это совсем небольшую прибыль.

Так, если поставить ПО на 200 компьютеров, можно получить около 30 долларов в месяц.

Единственное, что привлекает – пассивность дохода, ведь кроме заражения делать больше ничего не надо самому.

Детальных инструкций о том, как распознать и удалить ботнет, в Интернете очень мало. Однако перед тем, как разбираться в поисках скрытого майнера, следует понять, почему он вообще вредит компьютеру.

Виды вирусов-майнеров

Вирусы-майнеры можно разделить на две категории: исполняемые файлы и браузерные скрипты. Многие люди и по сей день спокойно пользуются компьютером и даже не подозревают, что он в это время зарабатывает деньги кому-то другому.

Вирус-майнер имеет две категории: исполняемые файлы и браузерные скрипты
Вирус-майнер имеет две категории: исполняемые файлы и браузерные скриптыРассмотрим подробнее каждую из категорий вирусов, а также разберём способы их обнаружения и удаления.

Зачем майнерам нужен ваш компьютер

Мы уже писали про то, что такое ботнет, и про то, как злоумышленники могут «зомбировать» ваш компьютер, сделав его частью ботнета. Сети из таких зомби-устройств используются для самых разных целей, и в том числе злоумышленники подключают их к процессу майнинга.

По сути, ваш компьютер становится частью распределенной сети, вычислительные мощности которой используются для добычи какой-нибудь криптовалюты на благо владельца ботнета. Несколько тысяч компьютеров в ботнете добывают криптовалюту значительно эффективнее, чем один, да и за недешевое электричество в этом случае платят жертвы, так что скрытно ставить программы-майнеры на компьютеры пользователей для злоумышленников очень даже выгодно.

Вообще, программу-майнер рядовой пользователь может установить самостоятельно — если он осознанно собрался добывать таким образом криптовалюту. В этом и заключается сложность: как отличить легальный майнинг от нелегального? Программы-то одни и те же. Разница в том, что злоумышленники сначала пытаются тайком установить программу на компьютер без ведома пользователя, а затем скрыть ее работу.

Почему так происходит?

Выше упоминалось, что вредоносное ПО подключается к прописанному в нем пулу.

С ростом популярности криптовалют пулы стали активно бороться за клиентов, чтобы минимизировать количество непринятых блоков и увеличить профитность работы всех клиентов и свои комиссионные.

В результате требования к мощностям участников были сведены к минимуму, кроме того, не требовалось хоть каким-то образом подтверждать владение сдаваемыми в работу мощностями, поскольку предоставление личной информации противоречит анонимности и децентрализованности отрасли, как таковой.

Чтобы частично обезопасить пулы от происков мошенников, собственники подняли минимальную выплату добытых монет.

Такой шаг сделал практически бесполезным скрытый майнинг на небольшом количестве ПК, поскольку до вывода прибыли в части случаев дело не доходило.

С другой стороны, такие ограничения были предприняты не всеми ключевыми сервисами, что некоторым образом сконцентрировало злоумышленников, использующих вирус-майнинг на нескольких платформах.

Отдельно нужно сказать и о качественном росте тех, кто не отказался от получения прибыли за чужой счет.

Первым шагом в “выживании” стало снижение объемов используемых ресурсов, чтобы бот проработал дольше, ведь если он не мешает, то и искать его не станут.

Улучшились и методы распространения, скрытые ссылки стали прятать в двойные и тройные архивы, редиректы и рекламные платформы, чтобы создать полноценную добывающую сеть из нескольких сотен/тысяч компьютеров, отдающих несколько процентов мощности в пользу мошенников.Изрядно поумневшие программы скрытого майнинга могут оценивать производительность зараженного ПК в общем, а также процент задействованности.

В ситуации, когда пользователь нагружает оборудование своими задачами майнер отключается. Чтобы не вызывать подозрений, когда нагрузка спадает, работа продолжается.

Одна из антивирусных лабораторий в своем отчете уведомляла клиентов о том, что ряд вредоносных вирус-майнеров определяют активность пользователя за ПК и если оборудование оставлено на ночь включенным, процент используемых мощностей увеличивается до 50%.

Проявления на компьютере

Вот мы и узнали, что собой представляет майнер-вирус. Как обнаружить данную заразу на компьютере? Существует несколько вариантов развития событий. Первый из них — это просто обратить внимание на поведение операционной системы. Зачастую именно проявление майнера выдает факт инфицирования.

Что же происходит с компьютером в данный период времени? Во-первых, он начинает «тормозить». И работать очень-очень медленно. Это — первый признак того, что у вас сидит вирус-майнер. Впрочем, при инфицировании любым трояном операционная система начнет работать медленно.

Во-вторых, стоит обратить внимание на процессы в компьютере. Если открыть диспетчер задач, то можно заметить, что в соответствующей вкладке появляются строки, которые довольно сильно загружают компьютер. И это необязательно какие-то подозрительные процессы. Довольно часто майнер шифруется под программное обеспечение, которое уже было установлено ранее. Например, chrome.exe, steam.exe и так далее.

В-третьих, вы можете заметить, что даже при отключенных приложениях, а также непосредственно при перезагрузке системы, центральный процессор все равно остается максимально загруженным. От 90 до 99%. Видеокарта, кстати говоря, может начать работать очень громко, точнее, нагреваться. Все это указывает на то, что придется думать, как найти вирус-майнер и избавиться от него.

майнер вирус как обнаружить

Слабый вирус-майнер

Поскольку пишут их под заказ, сложность и умение выживать напрямую зависят от цены. Для злоумышленников, не имеющих возможности массово заражать ПК и построить крупную прибыльную бот-сеть покупать дорогие скрипты не удобно, следовательно, они ограничиваются дешевыми и простыми в надежде на то, что “клиенты не заметят проблем”.

Настройки вредоносного ПО содержат и возможность редактирования нагрузки.

Первым делом, после удаления всего подозрительного с жесткого диска открываем диспетчер задач и закрываем все процессы, которые не знаем или которые занимают более 10% мощности.

Обращайте внимание на загруженность CPU (процессор) и GPU (видеокарта) сверх нормы и закрывайте их по очереди.

Не имеющий возможности восстановления или автозапуска после перезагрузки вирус-майнер уничтожен.

Вирус-майнер: как найти и удалить. Какие бывают вирусы-майнеры, и как от них избавиться?

Сложные программы скрытого майнинга

К ним относятся версии, умеющие скрывать свое присутствие в системе, отключающиеся пред открытие диспетчера задач или сами его закрывающие.

Некоторые версии даже отслеживают запуск антивируса и удаляют исполнительную часть, восстанавливаясь после перезагрузки.

Несмотря на кажущуюся сложность избавления от проблем, оно возможно, главное четко следовать алгоритму поиска и удаления вирус майнера с ПК и запастись терпением:

  • Запустить глубокую проверку антивирусом, обновленным до последней версии;
  • Дождаться результата проверки и удалить все, что антивирус считает подозрительным;
  • Перезагружаем ПК и входим в меню BIOS, где выбираем загрузку операционной системы с расширенными настройками Advanced Boot Options;
  • Данный режим дает большое количество вариаций работы с системой, но нас интересует только безопасный режим с сетевой поддержкой (Safe Mode w Networking);
  • Запускаем систему и авторизуемся под своими учетными данными:
  • Находим в сети и скачиваем качественное ПО для работы со шпионскими программами, например, Malwarebytes Anti-Malware;

Вирус-майнер: как найти и удалить. Какие бывают вирусы-майнеры, и как от них избавиться?

  • В выбранном режиме, поисковое ПО будет находить все подозрительное, не входящее в базовые настройки Windows и автоматически удалять. Более того, будут удалены данные из системного реестра и подгружены базовые файлы для восстановления работоспособности ряда программ, часть файлов которых показалась подозрительной.

Как майнеру удаётся прятаться

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

В чем вред теневого манинга, и что такое вирус-майнер?

Код
Программный вирус.Большинство рядовых пользователей не знают, что за процесс называется майнингом, и поэтому не осознают, в чем опасность хакерских программ.

Теневой майнинг, говоря простым языком – это решение математических задач с помощью чужого процессора или видеокарты.Скрытый майнинг проводится на любых устройствах, имеющих процессор:

  1. На смартфонах и планшетах, причем чаще всего от вируса-майнера страдает Андроид.
  2. На стационарных компьютерах и ноутбуках, наиболее уязвима операционная система Windows.

Пока ничего не подозревающий владелец техники занимается своими делами, работает с документами, смотрит фильм или играет в игру, или зашел на кошелек zencash например, злоумышленник получает криптовалюту за те уравнения, которые решил процессор.

Вирус самостоятельно передается от одного владельца к другому, и может заражать домашние и офисные компьютерные сети. Особенно много криптовалюты он приносит хакерам, когда попадает в банковскую систему или в научно-исследовательский центр, где стоит много мощных и круглосуточно работающих компьютеров.

В чём опасность скрытого майнинга?

Подобное ПО использует ресурсы вашего оборудования для того чтобы добывать криптовалюты. Не буду углубляться в тему Bitcoin и аналогов. Поскольку в сети есть масса информации по этому поводу.

Заражение может осуществляться несколькими способами:

  • через открытие спам-сообщений, полученных по email;
  • через установку вредоносных файлов;
  • посредством открытия различных архивов;
  • после перехода на заражённые майнерами сайты.

Ещё не так давно подобные явления были очень редкими. Первые упоминания о скрытом майнинге появились еще в начале 2010 года, но в наши дни подобных случаев становиться всё больше и больше, о чём свидетельствуют многочисленные статьи в интернете.

В чём опасность скрытого майнинга?

  • Во-первых, уменьшается срок эксплуатации вашего компьютерного оборудования, поскольку нагружается процессор, видеокарта, увеличиваются обороты системы охлаждения. Всё это приводит к быстрому износу. То же самое касается и жестких дисков. Поэтому ваше «железо» прослужит меньше заявленного производителем срока;
  • Во-вторых, происходит ограничение производительности вашей системы. Вы не можете работать с приложениями, которые Вам нужны, потому что ресурсы максимально потребляются майнером;
  • Помимо этого, скрытые «добитчики» могут получать доступ к вашей личной информации, а это уже не шутки, поскольку на компьютере могут хранится пароли к различным сайтам, банковским реквизитам. Злоумышленники могут не только нагружать ваш ПК, но еще воровать ценные данные, таким образом нанося двойной ущерб.

Последствия заражения майнером

Код
Зараженный код.Майнинг требует больших затрат мощности компьютера(блок питания для майнинга) или смартфона, то есть дает на технику сильную нагрузку. Вирус вызывает следующие последствия:

  1. Быстрый износ деталей. Особенно сильно это сказывается на процессорах.
  2. Перегрев. Повышение температуры приводит к замедлению и ухудшению работы устройства, компьютер или смартфон начинают тормозить, зависать, либо постоянно перезагружаться. В последнем случае хакеры, конечно, не получат свои деньги, но и человек не сможет нормально использовать технику.
  3. Поломка. Если смартфон или ПК имеют некачественные детали, то предельная нагрузка может вызвать перегорание контактов.

В специализированных майнинг-фермах и центрах большое внимание уделяется охлаждению вычислительной техники. Там есть качественная и бесперебойная подача тока, предохранители от скачков напряжения в сети. Майнеры стараются оптимально рассчитать нагрузку, чтобы АСИКи и видеокарты приносили прибыль, но при этом сохраняли работоспособность в течение длительного времени.

Хакеры же не щадят чужое оборудование и стараются выжать из него максимум. У домашних компьютеров и смартфонов нет качественной системы охлаждения, да она им и не нужна при обычном использовании. Владельцы обычно не следят за температурой процессора, и система не может себя охладить самостоятельно, в результате чего рано или поздно техника выходит из строя.

Вследствие работы вируса владельца компьютера ждет увеличение расходов на электроэнергию. Это в большей степени актуально для домашних сетей из двух и более вычислительных машин.

Принцип работы скрытого майнинга

В связи с тем, что существуют различные способы добывания криптовалют, при скрытом майнинге могут задействоваться ресурсы процессора, графических ускорителей, пространство на жестких дисках, которые при постоянной нагрузке, вызванной майнингом неизбежно расходуют свой ресурс. Неизбежным следствием скрытого майнинга является увеличение энергопотребления, повышенный износ блоков питания.

Наличие различных алгоритмов добычи криптовалют позволяет использовать для майнинга не только компьютеры, но и другое оборудование, имеющее вычислительные ресурсы и подключенное к интернету: роутеры, смартфоны, планшеты и прочие устройства.

Принцип работы, используемый при скрытом майнинге, заключается в незаметной установке на оборудовании жертвы специального программного обеспечения, которое впоследствии работает в фоновом режиме, производя майнинг. Знание того, как найти майнинг вирус, поможет не допустить заражения своего оборудования и удалить его в случае необходимости.

Хакерские способы заражения вирусом майнинга

Программу для скрытого майнинга может установить недобросовестный человек, имеющий физический доступ к оборудованию. Кроме того, могут использоваться другие способы, аналогичные тем, которые используются для распространения компьютерных вирусов.

Наиболее распространенными способами хакерского проникновения на компьютер для установки скрытых майнеров являются такие:

  1. Установка вредоносных программ персоналом, имеющим доступ к оборудованию.
  2. Заражение интернет сайтов скриптами, содержащими код для выполнения скрытого майнинга, или загружающими на компьютер жертвы вирусы, позволяющие производить скрытый майнинг. Как правило, для этого используются различные полулегальные сайты с сомнительным содержимым;
  3. Распространение зараженных вирусом-майнером установочных файлов, которое часто происходит при распространении пиратского программного обеспечения в сети интернет;
  4. Использование уязвимостей в операционной системе или установленных программах со стороны сервера. При этом используются специальные утилиты (эксплойты), позволяющие скрыто управлять компьютером и устанавливать на нем вредоносные программы.

Сомнительные сайты

Как правило, интернет-ресурсы, предлагающие скачать бесплатно пиратские программы, порно-ресурсы и другие нелегальные и полулегальные сайты параллельно с этим распространяют вирусы, предназначенные либо для кражи личных данных, либо для скрытого майнинга, а также для других целей. В данном случае стоит помнить о старой поговорке, говорящей о том, что бесплатный сыр находится только в мышеловке. Не стоит использовать пиратские программы, потому что вред от их использования может быть намного больше, чем сэкономленные на их приобретении деньги. Коме того, в настоящее время существует масса окрытых бесплатных программ, имеющих те же функции, что и платные, а иногда даже лучше, благодаря усилиям сообщества людей, поддерживающих принцип открытости программного обеспечения. Такие программы легко можно найти на Github, где выложены их программные коды.

Установочные файлы

Проще всего внедрить вирус майнинга или специальные программы-закладки в установочные файлы широко используемых программ, что позволит незаметно проникнуть на чужой компьютер, использовав для этого самого владельца, или сделать это незаметно для других под видом установки безвредной программы. Для того, чтобы уберечься от такого способа проникновения нужно тщательно проверять источник, откуда были взяты установочные файлы, особенно если он находится в интернете, а также обязательно проверять их перед запуском хорошим антивирусом.

Атака сервера

Некоторые компьютеры в интернете заражены вирусами, которые выполняют алгоритмы, направленные на распространение вирусов. При этом могут использоваться программные коды, эксплуатирующие уязвимости компьютеров (так называемые эксплойты) как пользователей, подключенных к серверам, так и других компьютеров, подключенных к сети, но имеющих открытые порты, подверженные уязвимости.

Любые программы и операционные системы содержат уязвимости. Они могут быть некритичными, а могут таить в себе большую опасность и позволяют злоумышленникам полностью захватить контроль над компьютером и использовать его, как для скрытого майнинга, так и для дальнейшего распространения вирусов, сетевых атак и других нехороших целей.Необходимо максимально ограничвать количество таких уязвимостей и регулярно проверять компьютер на наличие вирусов и программ криптоджекинга.

Как обнаружить и удалить

Совет! Просканируйте систему антивирусом, возможно вам попадется обычный майнер, который не скрывает свое присутствие. В таком случае он будет обнаружен и автоматически удален антивирусным ПО.Обычно обнаружить троян пользователю довольно-таки сложно, ведь разработчики вирусного ПО постаралась максимально скрыть его работу. Новые майнеры способны маскировать свою деятельность:

  • Отключаться во время работы пользователя с требовательными приложениями.
  • Маскироваться в Диспетчере задач под другие приложения.
  • Работать только во время «простоя» ПК.

Ваш компьютер может быть заражен, а вы даже и не заметите этого. Все зависит лишь от изобретательности хакеров. Постараемся максимально подробно рассказать, как выявить вредоносное ПО.

Важно! Будьте осторожны при удалении какого-либо файла, особенно если не уверены в его назначении. Все действия вы делаете на свой страх и риск!

Проверка на вирусы майнеры

Разобравшись, чем опасен вирус майнер и как обнаружить проблему, следует переходить к её решению. И первое, о чём нужно позаботиться владельцу ПК – это сохранение необходимых ему сведений и файлов. Для этого их следует заранее перекинуть на флэш-карту или внешний жёсткий диск. Если позволяет скорость выхода в интернет, можно воспользоваться и облачными сервисами.

Далее следует найти и установить антивирус(если у вас его не было) и начать сканирование компьютера. Обычно качественные современные антивирусы без проблем выявляют опасные файлы и удаляют их.

Правда, в некоторых случаях это серьёзно влияет на работу отдельных приложений. Но безопасность системы и личной информации намного важнее. Да и наиболее полезные компоненты должны были перенестись на отдельный носитель. Но, перекидывая их позднее обратно, стоит тщательно проверять сохранённые файлы на наличие угроз. Только так можно избежать повторного заражения.

Как обнаружить

Вирус-майнер в виде исполняемого .exe-файла называется XMRig CPU Miner. Не стоит путать его с программой, у которой такое же название. В отличие от программы, которая вполне полезна, вирус потребляет куда больше ресурсов компьютера, и работает не на вас, а на кого-то другого. Но проблем с путаницей не возникнет – здесь всё просто. Если на вашем компьютере установлена эта программа, значит, вы сами добровольно её установили и знали, зачем она нужна и какие функции выполняет. Ведь в отличие от вируса-соименника она не стремится проникнуть в файловую систему вашего компьютера путём обмана и любыми способами усложнить процесс своего обнаружения и удаления.

Для обнаружения данного вируса необходимо периодически проводить мониторинг производительности компьютера. То есть делать следующие вещи:

  • следить за процессами и их нагрузкой на компоненты. Для выполнения этой функции существует диспетчер задач. Открывается он с помощью нажатия комбинации клавиш «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc»;В «Диспетчере задач», контролируем работу процессов в соответствующей вкладке
    В «Диспетчере задач», контролируем работу процессов в соответствующей вкладке
  • следить за температурой компонентов. С этой задачей справляются такие программы как AIDA64CPU-ZOpen Hardware MonitorMSI Afterburner и другие ПО с аналогичным функционалом.Интерфейс программы AIDA64, с помощью которой возможно проконтролировать температуру компонентов компьютера
    Интерфейс программы AIDA64, с помощью которой возможно проконтролировать температуру компонентов компьютера

Такой мониторинг желательно проводить регулярно, чтобы отслеживать состояние компьютера. Если в «Диспетчере задач» вы видите, что нагрузка на компоненты слишком велика, хотя никакие требовательные игры или программы у вас не запущены, то следует задуматься о наличии у вас вредоносных файлов.

То же самое касается и проверки температуры – если она слишком высокая, то, возможно, аппаратные компоненты перегреваются из-за наличия вируса (при условии, что вы хотя бы два раза в год чистите компьютер от пыли и проводите замену термопасты).

Если компьютер перегружен и перегревается, то пришло время проверить процессы, так как именно в них должен отображаться вирус XMRig CPU Miner. Для этого проделайте следующие шаги:

  1. Запустите «Диспетчер задач» с помощью кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc»Нажимаем одновременно сочетание кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc», чтобы вызвать «Диспетчер задач»
    Нажимаем одновременно сочетание кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc», чтобы вызвать «Диспетчер задач»

    На заметку! Желательно заиметь себе привычку постоянно держать «Диспетчер задач» в запущенном и свёрнутом состоянии. Он поможет вам в один клик узнать много полезной информации о текущем состоянии компьютера, при том сам потребляет крайне мало ресурсов.

  2. Перейдите во вкладку «Процессы».Переходим во вкладку «Процессы»
    Переходим во вкладку «Процессы»
  3. Если в процессах оказался XMRig CPU Miner, значит, ваши подозрения относительно вируса-майнера подтвердились.Просматриваем процессы, наличие процесса «XMRig CPU miner» с высоким процентом означает, что на устройстве есть вирус майнер
    Просматриваем процессы, наличие процесса «XMRig CPU miner» с высоким процентом означает, что на устройстве есть вирус майнер

Подготовка к удалению майнера

Существуют программы, специально созданные для выявления вирусов-майнеров на ПК,
Лучше использовать для поиска скрытых майнеров программное обеспечение.Требуется выполнить резервное копирование информации, находящейся в компьютере, и сохранить ее на аппаратном носителе. Не обязательно в ходе удаления вирус-майнера данные будут утеряны, но лучше перестраховаться. Не стоит дублировать абсолютно все файлы, ведь тогда и вирус попадет на носитель. Есть смысл задействовать вспомогательные софты вроде Spy Hanter и Cliner, которые увеличат шансы на полное удаление бота.

Поскольку майнер-вирусы относятся к троянам, они могут оказывать негативное воздействие на операционную систему. Иногда после их удаления компьютер начинает работать некорректно. С учетом этого лучше запастись диском с файлом установки ОС.

Перед началом поиска следует закрыть все фоновые программы. Поскольку скрытые майнеры для добычи монет зачастую маскируются под разное ПО, его отключение упростит задачу по выявлению вирусов.

Через Диспетчер задач

Немного коснемся интернет-майнинга. Есть сайты, которые с помощью специального скрипта получают доступ к производительности вашего ПК. Хакер, обойдя защиту интернет-ресурса, загружает туда свой вредоносный код, который майнит криптовалюты в момент вашего нахождения на сайте.

Понять, что вы попали на такой, очень просто, ведь при его посещении ваш компьютер начнет тормозить, а Диспетчер задач покажет сильную нагрузку на «железо». Достаточно просто покинуть сайт для прекращения процесса майнинга.

Диспетчер задач

Для обнаружения вредоносного ПО в системе:

  1. Зайдите в Диспетчер задач, зажав одновременно «Ctrl + Shift + Esc».
    Диспетчер задач майнер
  2. Понаблюдайте за процессами в течение 10 минут полного бездействия (включая движения мышью и нажатие клавиш).
    Важно! Некоторые вирусы закрывают или блокируют Диспетчер задач для того, чтобы скрыть свою деятельность.
    Если диспетчер закрылся самостоятельно или какая-либо программа начала грузить систему — это значит что ПК заражен майнером.
  3. Если вирус не обнаружен — перейдите во вкладку «Подробности».
    Диспетчер задач подробности
  4. Найдите процесс, отличающийся от стандартного (например, непонятные символы) и запишите название.
  5. В поиске Windows вбейте «regedit» → зайдите в реестр.

    Поиск

  6. «Правка» → «Найти».
    Правка
  7. Введите название файла → удалите все совпадения.
    Важно! Если вы не уверены в том, что файл можно удалять — напишите нам в комментариях, постараемся помочь.
    Удалить процесс
  8. Просканируйте систему антивирусом (для примера использован стандартный антивирус, который находится в «Пуск» → «Параметры» → «Обновление и безопасность» → «Защитник Windows»).
    Сканирование
  9. В случае обнаружения угроз, подтвердите их удаление.
  10. Перезагрузите ПК.

Через AnVir Task Manager

Обнаружить скрытый вирус поможет мультифункциональный диспетчер процессов AnVir.

  1. Скачайте и установите утилиту.
  2. Запустите ее и просмотрите запущенные процессы.
    AnVir
  3. При возникновении подозрений, наведите курсором на приложение для отображения информации о нем.
    AnVir Процесс
    Обратите внимание! Некоторые трояны маскируются под системное приложение, но детали подделывать не умеют.
  4. После чего ПКМ → «Детальная информация» → «Производительность».

    AnVir Detal

  5. Выбрав «1 день», просмотрите нагрузку на ПК в течении этого времени.

    AnVir Производительность

  6. Если процесс сильно нагружал систему — наведите курсором на него → запишите название и путь.

    AnVir Процесс 1

  7. Кликните по процессу ПКМ → «Завершить процесс».
    AnVir остановить
  8. В поиске Windows вбейте «regedit» → зайдите в реестр.

    Поиск

  9. «Правка» → «Найти».
    Правка
  10. Введите название файла → удалите все совпадения.
    Важно! Если вы не уверены в том, что файл можно удалять — напишите нам в комментариях, постараемся помочь.
    Удалить процесс
  11. Просканируйте систему антивирусом (для примера использован стандартный антивирус, который находится в «Пуск» → «Параметры» → «Обновление и безопасность» → «Защитник Windows»).
    Сканирование
  12. В случае обнаружения угроз, подтвердите их удаление.
  13. Перезагрузите ПК.

Браузерный майнер

Вирус-майнер в виде исполняемого файла было несложно обнаружить – сложности могли возникнуть в процессе его удаления. Но в случае с «онлайновым» майнером всё наоборот. Более того, удалить его не просто сложно – это сделать невозможно. А чтобы его обнаружить, нужно иметь хотя бы поверхностные знания в веб-программировании (в частности знать структуру HTML-страницы). Но обо всём по порядку.

Как обнаружить

Есть такой популярный язык программирования как JavaScript. Его возможности довольно широкие, но чаще всего он используется для улучшения внешнего вида страниц сайтов. Практически на всех сайтах установлено несколько скриптов, а если ваш браузер не поддерживает JavaScript, то вы даже не сможете зайти с него в ВК.

Вирус майнер в браузерах прячется в виде скрипта и его возможно обнаружить только через исходный код страницы
Вирус майнер в браузерах прячется в виде скрипта и его возможно обнаружить только через исходный код страницыНо некоторые умельцы использовали возможности языка для того, чтобы создать онлайн-майнер. Он работает следующим образом – пока вы сидите на странице, скрипт через браузер использует ресурсы вашего компьютера для майнинга криптовалюты. Такие скрипты в основном используются на сайтах, которые предназначены для длительного просмотра.

К ним можно отнести:

  • сайты с онлайн-книгами. Пока вы пополняете свой интеллектуальный багаж, злоумышленник с вашей помощью пополняет свой кошелёк;
  • сайты с фильмами и сериалами. Просмотр фильмов занимает длительное время, и это на руку злоумышленнику;
  • сайты для взрослых. Комментарии излишни.

Чтобы обнаружить онлайн-майнер, требуется постоянно мониторить «Диспетчер задач», в частности процесс браузера. Для этого проделайте следующие шаги:

  1. Запустите «Диспетчер задач». Как его открыть описано в предыдущих частях статьи.Нажимаем одновременно сочетание кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc», чтобы вызвать «Диспетчер задач»
    Нажимаем одновременно сочетание кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc», чтобы вызвать «Диспетчер задач»
  2. Во вкладке «Приложения» найдите ваш браузер, затем правым щелчком мышки кликните на него и нажмите на «Перейти к процессу».Во вкладке «Приложения» находим браузер, правым щелчком мышки кликаем на него и нажимаем на «Перейти к процессу»
    Во вкладке «Приложения» находим браузер, правым щелчком мышки кликаем на него и нажимаем на «Перейти к процессу»
  3. Посмотрите, как влияет процесс на нагрузку ЦП и оперативной памяти. Если нагрузка слишком велика, значит, вполне вероятно, на одной из вкладок вашего браузера запущен скрипт с майнером.Смотрим данные процесса, которые влияют на нагрузку ЦП и оперативной памяти
    Смотрим данные процесса, которые влияют на нагрузку ЦП и оперативной памяти

В подавляющем большинстве случаев для этих целей используется скрипт coinhive, другие почти никогда не используются. Он выглядит так: . Этот скрипт служит для майнинга криптовалюты Monero. Чтобы его обнаружить, необходимо проверить исходный код HTML-страницы на наличие этого скрипта. Чтобы сделать это, следуйте дальнейшей пошаговой инструкции (описанный далее процесс нужно будет повторить во всех открытых вкладках в браузере на время обнаружения чрезмерного потребления оным ресурсов):

  1. Нажмите на комбинацию клавиш «Ctrl+U», находясь на странице сайта, чтобы перейти к просмотру исходного кода. Нажимаем сочетание клавиш «Ctrl+U», находясь на странице сайта
    Нажимаем сочетание клавиш «Ctrl+U», находясь на странице сайтаИсходный код страницы сайта
    Исходный код страницы сайта
  2. Нажмите на «F3», чтобы запустить поиск.
  3. В поиске введите «coinhive». Если среди результатов будет такой код, который упомянут выше, значит, эта страница содержит скрипт с майнером.В поиске вводим «coinhive», наличие совпадений кода, означает, что эта страница содержит скрипт с майнером
    В поиске вводим «coinhive», наличие совпадений кода, означает, что эта страница содержит скрипт с майнером

Более «продвинутый» способ

Описанный ниже способ подойдёт для тех, кто знаком с языком программирования JavaScript, так как он требует умения анализировать код.

Некоторые особо хитрые любители лёгкого заработка могут попытаться скрыть наличие на сайте этого скрипта. Например, интегрировать его код непосредственно в HTML-документ без указания адреса первоисточника. А если они очень хитрые, то могут ещё и поменять в коде имена некоторых переменных, функций и объектов. Конечно, мало кто будет так заморачиваться, но минимальная вероятность – не нулевая. Чтобы избежать такой уловки, делайте всё, как в инструкции выше, но только вводите в поле ввода поиска «<> (именно так – угловую скобку закрывать не нужно).

В поле ввода поиска вводим «
В поле ввода поиска вводим «<>Такой поиск поможет вам найти все скрипты на странице вне зависимости от типа их интеграции. Со скриптом майнера вы можете ознакомиться по следующей ссылке: https://coinhive.com/lib/coinhive.min.js.

Скрипты вируса-майнера
Скрипты вируса-майнераЕсли вы разбираетесь в JavaScript, то ознакомление с оригинальным исходным кодом поможет вам не только в случае необходимости узнать «врага в лицо», но и понять более глубоко, как это всё работает.

Как решить проблему онлайн-майнера

Самый оптимальный способ решения данной проблемы – это покинуть сайт, на котором он был обнаружен. Во всемирной паутине мало сайтов с оригинальным контентом – практически каждый можно заменить другим.

Если же отключить JavaScript, то он отключится для всех сайтов сразу, так как в браузерах пока что нет функции отключения скриптов для отдельных страниц. А без скриптов страницы сайтов будут выглядеть, мягко говоря, не очень. Так что на данный момент самым разумным решением будет забыть про такой сайт, если вы, конечно, не хотите отблагодарить его создателя за труды и помайнить немного для него за свой счёт.

На картинке ниже приведён список сайтов, на которых присутствует наиболее высокая вероятность столкнуться с браузерным майнером. Этот список вывели исследователи из 360 Netlab. Так что остерегайтесь таких сайтов.

Список сайтов, на которых есть вероятность столкнуться с браузерным майнером
Список сайтов, на которых есть вероятность столкнуться с браузерным майнеромТеперь вы знаете, как нужно бороться с угрозой скрытого майнинга. Этот вид вируса будет эволюционировать, а их создатели будут придумывать всё более хитрые уловки. Единственное, что вам остаётся – это повышать свою компьютерную грамотность и изучать IT-сферу, чтобы обеспечить себе безопасность и быть на шаг впереди злоумышленника.

Антивирус против майнеров

Впрочем, нет нужды заниматься борьбой с вирусами-майнерами вручную, с ними прекрасно справляются антивирусы. Такой способ даже лучше, потому что, как было сказано выше, майнер может нагружать систему так, что это очень трудно заметить — вы будете только недоумевать, почему время от времени всё тормозит и дёргается.

Смотрите нашу статью про лучшие антивирусы 2018 года

Как пример здесь рассматривается Avast — очень неплохой антивирус, который основные защитные функции предоставляет полностью бесплатно, без всяких пробных периодов. Зайдите на официальный сайт компании: , скачайте и установите программу.

Это интересно:   Проверяем эффективность антивируса и быстро удаляем вирусы с помощью бесплатной утилиты Dr.Web CureItЗдесь есть один нюанс. Вообще, антивирусы не считают майнеры вирусами, что правильно — майнеры не повреждают вашу систему и личные файлы, не заражают другие компьютеры, они просто используют ресурсы, как делает любая другая программа. Поэтому, чтобы антивирус боролся с майнерами, нужно настроить его так, чтобы он обращал внимание на потенциально опасные программы.

После запуска Avast кликните кнопку “Настройки”, и на вкладке “Общие” (она откроется первой) поставьте галочки “Включить усиленный режим” и “Искать потенциально нежелательные программы (ПНП)”.

Новомодные вирусы-майнеры: как их найти и удалить

Теперь на вкладке “Защита” кликните кнопку “Основные компоненты защиты” и там активируйте все 3 доступных модуля.

Новомодные вирусы-майнеры: как их найти и удалить

Новомодные вирусы-майнеры: как их найти и удалить

Подождите 5-10 минут, и…

Новомодные вирусы-майнеры: как их найти и удалить

Как защититься от теневого майнинга

В нынешних условиях, когда на каждое обновление антивирусного ПО появляются новые вирусы, гарантий защиты не даст никто. Снизить риск заражения поможет посещение только проверенных сайтов, регулярная установка обновлений антивируса и проверка ПК на наличие скрытого майнера.

 

Источники
  • https://bitgid.com/hidden-miner/
  • https://pc-consultant.ru/bezopasnost/virus-majner-kak-najti-i-udalit/
  • https://www.kaspersky.ru/blog/hidden-miners-botnet-threat/18707/
  • https://bitgid.com/virus-miner/
  • https://FB.ru/article/229236/virus-mayner-kak-nayti-i-udalit
  • https://zen.yandex.ru/media/id/5b46c16578c21800a90aae58/kak-obnarujit-i-udalit-skrytyi-mainer-v-windows-5b4d5b4fbde6d200a8d6ea3e
  • https://crypta.guru/kriptovalyuty/virus-mayner/
  • https://it-tehnik.ru/virus/find-miner.html
  • https://altcoinlog.com/skrytyy-mayner-proverka-kompyutera/
  • https://geekon.media/kak-najti-skrytyj-majner-na-pk/
  • https://bitcoins-mining.net/articles/miner-virus
  • https://coinmania.com/kak-najti-i-udalit-virus-majner/
  • https://f1comp.ru/bezopasnost/novomodnye-virusy-majnery-kak-ix-najti-i-udalit/

Оцените статью
Гид по безопасности
Добавить комментарий