█ 21.05.2018 16:40
Каждый активный пользователь ПК, который проводит много времени на различных интернет ресурсах рано или поздно задумывается о кибербезопасности своей операционной системы. Но далеко не все интернет серферы способны обеспечить свой компьютер необходимой защитой и надлежащим уходом. Для того, чтобы не стать жертвой вредоносного ПО, необходимо знать в каком направлении развиваются вирусы и как с ними бороться, ведь вероятность подхватить в сети новое детище хакеров, крайне высока. И далеко не факт, что антивирус спасет вас в такой ситуации. Самыми активными вредоносами в последнее время стали так называемые вирусы-майнеры, о которых мы с вами сегодня и поговорим.
Что делать если на компьютере вирус-майнер
Итак, что же такой вирус-майнер? Это вид вредоносного ПО, которое использует ресурсы зараженного компьютера (в основном видеокарту и процессор) для добычи различной криптовалюты. Чаще всего майнят Monero (XMR) и Zcash (ZEC), остальные анонимные виды валют используются реже. На данный момент в природе встречается два вида вирусов-майнеров.
1. Классические
Проникают на компьютер пользователя классическими способами, скрытно запускают процесс-майнер, маскируют его и указывают интернет-кошелек злоумышленника. По большому счету это самый обычный троян, только предназначение у него немного другое.
2. Браузерные
Бывает, заходишь на сайт, и вся система начинает жутко тормозить. При чём нехватка оперативной памяти зачастую здесь ни при чём. Если заглянуть в диспетчер задач, то можно увидеть стопроцентную загрузку системы браузером. Но как такое возможно, спросите вы? Это как раз дело рук браузерного майнера, который работает благодаря специальным скриптам на сайте. Таким хитрым способом не побрезговала даже знаменитая пиратская бухта.
В чем опасность скрытого майнера?
Во-первых, из-за того, что некоторые компоненты вашего компьютера нагружаются на полную катушку, срок их эксплуатации значительно снижается. И хоть разработчики процессоров и видеокарт дают нам многолетнюю гарантию, я бы не стал надеяться, что любая железка способна проработать весь гарантийный срок на пределе своей мощности. Да и кому захочется, потом возиться с сервисными центрами? Более того, наибольшую опасность стабильная пиковая нагрузка представляет не для графического чипа видеокарты или кристалла центрального процессора, как вы могли подумать, а для системы охлаждения, ведь гарантия на нее, как правило, относительно небольшая из-за высокого уровня уязвимости перед износом.
Во-вторых, что наиболее важно – ограниченная производительность всей системы. В подавляющем большинстве использовать ресурсы ПК для собственных нужд не удастся все из-за той же высокой нагрузки компонентов с помощью майнера. Однако это еще полбеды. Некоторые, особенно продвинутые версии скрытых майнеров способны анализировать запущенные в винде процессы и включаться только тогда, когда система находится в простое. Либо же запускаться, используя только определенное количество ресурсов. Например, когда вы просто сидите в браузере, вы по большому счету практически не нагружаете свою систему, разве что оперативную память, до которой майнеру и так нет никакого дела. В это время троян запускает скрытый майнер, который задействует 80% мощности вашего процессора для добычи криптовалюты, оставляя вам лишь 20%, которых в условиях серфинга будет вполне достаточно. Делается это для того, чтобы неопытный пользователь не смог заметить вредоноса сразу, тем самым оставляя паразита у себя на ПК как можно дольше.
В-третьих, создание комплексных вирусов никто не отменял. Ничто не мешает злоумышленникам создавать две заразы в одном флаконе. Так, например, помимо скрытой криптодобычи, вы можете потерять конфеденциальную информацию, хранящуюся на ПК.
Как определить, что на компьютере вирус-майнер?
1. Самый очевидный признак – это медленная работа операционной системы. Однако, как я уже написал выше, некоторые хорошо замаскированные и продвинутые черви не выдают себя по данному критерию.
2. Дублированные системные процессы. В подавляющем большинстве подобные вирусы маскируются под стандартные системные службы и процессы. Однако самые простые и наглые версии вредоносов даже не маскируются и используют самые очевидные имена по типу: xmrig, xmr, systemminer и т.д. Вот список самых популярных используемых имен.
Silence
svhosts
winlogan
Carbon
system64
winlogo
Xmrrig32
systemiissec
logon
nscpucnminer64
taskhost
win1nit
mrservicehost
vrmserver
svchosts3
vshell
wininits
sql31
win1ogin
winlnlts
taskhots
win1ogins
taskngr
svchostx
ccsvchst
tasksvr
xmr86
nscpucnminer64
mscl
xmrig
update_windows
cpuminer
xmr[/code]
3. Высокий нагрев. Из-за того, что железо нагружено на 100%, его тепловыделение соответственно повышается. Это, наверное, самый очевидный признак, который является ахиллесовой пятой новой заразы. Ведь если вы просто сидите в браузере, а из корпуса валит горячий, как из трубы паровоза воздух, то не нужно быть Шерлоком Холмсом чтобы заподозрить что-то неладное. Особенно легко выявить скрытый майнер на ноутбуке, когда клавиатура, на которой вы держите руки, начинает ощутимо нагреваться, ведь буквально в паре сантиметров под ней находятся все внутренности вашей раскладушки.
4. Автоматическое закрытие уже открытых приложений. Как я уже писал выше, в природе вирусов-майнеров встречаются продвинутые версии, которые способны активироваться не на полную мощность, чтобы не "спалиться”. Так вот, как оказалось, это далеко не единственный изощренный вид подобной заразы. Встречаются такие модификации, которые даже способны закрывать антивирусные утилиты. Безусловно, такие трюки прокатывают только с не самыми сильными представителями антивирусной защиты, но все же они есть. Так же некоторые майнеры умеют закрывать приложения, через которые проходит большое количество трафика. Например, загрузка файлов из интернета с помощью торрента или браузера. Да, друзья, современные компьютерные сорняки очень сильно эволюционировали и приспособились к окружающей среде, поэтому нужно держать ухо востро.
P.S. В марте 2018 года был обнаружен вирус-майнер с функцией Kill-list, который способен даже устранять ему подобных конкурентов. При проникновении на компьютер жертвы, он так же, как и остальные умеет анализировать запущенные в операционной системе процессы, ничего сверхъестественного. Однако дальше начинается самое интересное. При обнаружении замаскированных процессов, которые уже направлены на скрытый майнинг, данный червь принудительно их блокирует и сам захватывает все ресурсы. То есть один паразит уничтожает другого паразита, за право быть единственной заразой в теле носителя. Забавно, не правда ли?
Сколько зарабатывают создатели скрытых майнеров?
Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.
Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.
А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.
Как защититься от вируса-майнера?
Большинство из вас может подумать, что это все мелочи, ведь я владею платной версией антивируса и мне не одна зараза не страшна. К сожалению, спешу вас огорчить, но это не так. Часто утилиты, предназначенные для защиты пользователя от вредоносного ПО, зачастую бесполезны перед новыми, ранее неизведанными видами компьютерной заразы. И данный случай как раз является подтверждением этих слов. Если зайти на официальный сайт одного из самых популярных антивирусов – dr.Web, то вы увидите, сколько новых майнеров обнаруживается каждый день. Думаю, и не стоит говорить о том, что буквально пару дней назад система защиты была полностью бессильна перед всеми обнаруженными троянами.
К примеру, в период с 1 по 14 мая было выпущено 1179 обновлений базы сигнатур антивируса, которые направлены на борьбу с майнерами.
Более того, лазить по сомнительным сайтам для того, чтобы подцепить подобного рода заразу далеко не обязательно. Так например десятки тысяч пользователей были заражены через официальный сайт ВЦИОМ, который был взломан в 2015 году.
Именно поэтому я рекомендую вам сильно не надеяться на вашу антивирусную защиту и совершить несколько простых профилактических действий для того чтобы минимизировать риск заражения новыми червями.
1. Перейти на сайт , который показывает, защищен ли ваш браузер от скрытого майнинга. Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен. Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.
2. Использовать браузеры, которые имеют встроенную защиту от майнинга, к примеру: Opera и Yandex.Browser, Chrome.
3. Самый радикальный метод, однако, один из самых эффективных – отключение javascript в браузере. Вводим в адресную строку следующее:
chrome://settings/content > Запретить javascript на всех сайтах. Здесь же можете настроить исключения, если имеются подозрения на какой-то конкретный сайт. Имейте ввиду, что большинство современных сайтов для корректной работы требуют данный язык сценариев.
4. Установить одно из предложенных расширений для браузера: NoCoin, AntiMiner, MineControl, MineBlock.
5. Отредактировать файл hosts, лежащий по адресу: C:\Windows\System32\drivers\etc\
В конец файла нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:
0.0.0.0 azvjudwr.info
0.0.0.0 cnhv.co
0.0.0.0 gus.host
0.0.0.0 jroqvbvw.info
0.0.0.0 jsecoin.com
0.0.0.0 jyhfuqoh.info
0.0.0.0 kdowqlpt.info
0.0.0.0 listat.biz
0.0.0.0 lmodr.biz
0.0.0.0 mataharirama.xyz
0.0.0.0 minecrunch.co
0.0.0.0 minemytraffic.com
0.0.0.0 miner.pr0gramm.com
0.0.0.0 reasedoper.pw
0.0.0.0 xbasfbno.info
6. Установить программу для мониторинга нагрузки на компоненты ПК. Например, MSI Afterburner отлично справляется с данной задачей. О том, как это сделать читайте отдельную статью.
7. Если вы пользуетесь антивирусом, то регулярно обновляйте базы.
На этом список рекомендаций заканчивается. Будьте бдительны и следите за состоянием вашего компьютера, ведь нет лучше защиты, чем продвинутый пользователь у руля!
Что делать если на компьютере вирус-майнер
Итак, что же такой вирус-майнер? Это вид вредоносного ПО, которое использует ресурсы зараженного компьютера (в основном видеокарту и процессор) для добычи различной криптовалюты. Чаще всего майнят Monero (XMR) и Zcash (ZEC), остальные анонимные виды валют используются реже. На данный момент в природе встречается два вида вирусов-майнеров.
1. Классические
Проникают на компьютер пользователя классическими способами, скрытно запускают процесс-майнер, маскируют его и указывают интернет-кошелек злоумышленника. По большому счету это самый обычный троян, только предназначение у него немного другое.
2. Браузерные
Бывает, заходишь на сайт, и вся система начинает жутко тормозить. При чём нехватка оперативной памяти зачастую здесь ни при чём. Если заглянуть в диспетчер задач, то можно увидеть стопроцентную загрузку системы браузером. Но как такое возможно, спросите вы? Это как раз дело рук браузерного майнера, который работает благодаря специальным скриптам на сайте. Таким хитрым способом не побрезговала даже знаменитая пиратская бухта.
В чем опасность скрытого майнера?
Во-первых, из-за того, что некоторые компоненты вашего компьютера нагружаются на полную катушку, срок их эксплуатации значительно снижается. И хоть разработчики процессоров и видеокарт дают нам многолетнюю гарантию, я бы не стал надеяться, что любая железка способна проработать весь гарантийный срок на пределе своей мощности. Да и кому захочется, потом возиться с сервисными центрами? Более того, наибольшую опасность стабильная пиковая нагрузка представляет не для графического чипа видеокарты или кристалла центрального процессора, как вы могли подумать, а для системы охлаждения, ведь гарантия на нее, как правило, относительно небольшая из-за высокого уровня уязвимости перед износом.
Во-вторых, что наиболее важно – ограниченная производительность всей системы. В подавляющем большинстве использовать ресурсы ПК для собственных нужд не удастся все из-за той же высокой нагрузки компонентов с помощью майнера. Однако это еще полбеды. Некоторые, особенно продвинутые версии скрытых майнеров способны анализировать запущенные в винде процессы и включаться только тогда, когда система находится в простое. Либо же запускаться, используя только определенное количество ресурсов. Например, когда вы просто сидите в браузере, вы по большому счету практически не нагружаете свою систему, разве что оперативную память, до которой майнеру и так нет никакого дела. В это время троян запускает скрытый майнер, который задействует 80% мощности вашего процессора для добычи криптовалюты, оставляя вам лишь 20%, которых в условиях серфинга будет вполне достаточно. Делается это для того, чтобы неопытный пользователь не смог заметить вредоноса сразу, тем самым оставляя паразита у себя на ПК как можно дольше.
В-третьих, создание комплексных вирусов никто не отменял. Ничто не мешает злоумышленникам создавать две заразы в одном флаконе. Так, например, помимо скрытой криптодобычи, вы можете потерять конфеденциальную информацию, хранящуюся на ПК.
Как определить, что на компьютере вирус-майнер?
1. Самый очевидный признак – это медленная работа операционной системы. Однако, как я уже написал выше, некоторые хорошо замаскированные и продвинутые черви не выдают себя по данному критерию.
2. Дублированные системные процессы. В подавляющем большинстве подобные вирусы маскируются под стандартные системные службы и процессы. Однако самые простые и наглые версии вредоносов даже не маскируются и используют самые очевидные имена по типу: xmrig, xmr, systemminer и т.д. Вот список самых популярных используемых имен.
Silence
svhosts
winlogan
Carbon
system64
winlogo
Xmrrig32
systemiissec
logon
nscpucnminer64
taskhost
win1nit
mrservicehost
vrmserver
svchosts3
vshell
wininits
sql31
win1ogin
winlnlts
taskhots
win1ogins
taskngr
svchostx
ccsvchst
tasksvr
xmr86
nscpucnminer64
mscl
xmrig
update_windows
cpuminer
xmr[/code]
3. Высокий нагрев. Из-за того, что железо нагружено на 100%, его тепловыделение соответственно повышается. Это, наверное, самый очевидный признак, который является ахиллесовой пятой новой заразы. Ведь если вы просто сидите в браузере, а из корпуса валит горячий, как из трубы паровоза воздух, то не нужно быть Шерлоком Холмсом чтобы заподозрить что-то неладное. Особенно легко выявить скрытый майнер на ноутбуке, когда клавиатура, на которой вы держите руки, начинает ощутимо нагреваться, ведь буквально в паре сантиметров под ней находятся все внутренности вашей раскладушки.
4. Автоматическое закрытие уже открытых приложений. Как я уже писал выше, в природе вирусов-майнеров встречаются продвинутые версии, которые способны активироваться не на полную мощность, чтобы не "спалиться”. Так вот, как оказалось, это далеко не единственный изощренный вид подобной заразы. Встречаются такие модификации, которые даже способны закрывать антивирусные утилиты. Безусловно, такие трюки прокатывают только с не самыми сильными представителями антивирусной защиты, но все же они есть. Так же некоторые майнеры умеют закрывать приложения, через которые проходит большое количество трафика. Например, загрузка файлов из интернета с помощью торрента или браузера. Да, друзья, современные компьютерные сорняки очень сильно эволюционировали и приспособились к окружающей среде, поэтому нужно держать ухо востро.
P.S. В марте 2018 года был обнаружен вирус-майнер с функцией Kill-list, который способен даже устранять ему подобных конкурентов. При проникновении на компьютер жертвы, он так же, как и остальные умеет анализировать запущенные в операционной системе процессы, ничего сверхъестественного. Однако дальше начинается самое интересное. При обнаружении замаскированных процессов, которые уже направлены на скрытый майнинг, данный червь принудительно их блокирует и сам захватывает все ресурсы. То есть один паразит уничтожает другого паразита, за право быть единственной заразой в теле носителя. Забавно, не правда ли?
Сколько зарабатывают создатели скрытых майнеров?
Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.
Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.
А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.
Как защититься от вируса-майнера?
Большинство из вас может подумать, что это все мелочи, ведь я владею платной версией антивируса и мне не одна зараза не страшна. К сожалению, спешу вас огорчить, но это не так. Часто утилиты, предназначенные для защиты пользователя от вредоносного ПО, зачастую бесполезны перед новыми, ранее неизведанными видами компьютерной заразы. И данный случай как раз является подтверждением этих слов. Если зайти на официальный сайт одного из самых популярных антивирусов – dr.Web, то вы увидите, сколько новых майнеров обнаруживается каждый день. Думаю, и не стоит говорить о том, что буквально пару дней назад система защиты была полностью бессильна перед всеми обнаруженными троянами.
К примеру, в период с 1 по 14 мая было выпущено 1179 обновлений базы сигнатур антивируса, которые направлены на борьбу с майнерами.
Более того, лазить по сомнительным сайтам для того, чтобы подцепить подобного рода заразу далеко не обязательно. Так например десятки тысяч пользователей были заражены через официальный сайт ВЦИОМ, который был взломан в 2015 году.
Именно поэтому я рекомендую вам сильно не надеяться на вашу антивирусную защиту и совершить несколько простых профилактических действий для того чтобы минимизировать риск заражения новыми червями.
1. Перейти на сайт , который показывает, защищен ли ваш браузер от скрытого майнинга. Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен. Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.
2. Использовать браузеры, которые имеют встроенную защиту от майнинга, к примеру: Opera и Yandex.Browser, Chrome.
3. Самый радикальный метод, однако, один из самых эффективных – отключение javascript в браузере. Вводим в адресную строку следующее:
chrome://settings/content > Запретить javascript на всех сайтах. Здесь же можете настроить исключения, если имеются подозрения на какой-то конкретный сайт. Имейте ввиду, что большинство современных сайтов для корректной работы требуют данный язык сценариев.
4. Установить одно из предложенных расширений для браузера: NoCoin, AntiMiner, MineControl, MineBlock.
5. Отредактировать файл hosts, лежащий по адресу: C:\Windows\System32\drivers\etc\
В конец файла нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:
0.0.0.0 azvjudwr.info
0.0.0.0 cnhv.co
0.0.0.0 gus.host
0.0.0.0 jroqvbvw.info
0.0.0.0 jsecoin.com
0.0.0.0 jyhfuqoh.info
0.0.0.0 kdowqlpt.info
0.0.0.0 listat.biz
0.0.0.0 lmodr.biz
0.0.0.0 mataharirama.xyz
0.0.0.0 minecrunch.co
0.0.0.0 minemytraffic.com
0.0.0.0 miner.pr0gramm.com
0.0.0.0 reasedoper.pw
0.0.0.0 xbasfbno.info
6. Установить программу для мониторинга нагрузки на компоненты ПК. Например, MSI Afterburner отлично справляется с данной задачей. О том, как это сделать читайте отдельную статью.
7. Если вы пользуетесь антивирусом, то регулярно обновляйте базы.
На этом список рекомендаций заканчивается. Будьте бдительны и следите за состоянием вашего компьютера, ведь нет лучше защиты, чем продвинутый пользователь у руля!
█ 22.05.2018 08:33
Цитата:
Чтобы - Occul ➤ 1. Перейти на сайт ↴, который показывает, защищен ли ваш браузер от скрытого майнинга.
Цитата:
:D Occul ➤ Бывает, заходишь на сайт, и вся система начинает жутко тормозить. При чём нехватка оперативной памяти зачастую здесь ни при чём. Если заглянуть в диспетчер задач, то можно увидеть стопроцентную загрузку системы браузером. Но как такое возможно, спросите вы? Это как раз дело рук браузерного майнера, который работает благодаря специальным скриптам на сайте.
Захожу на этот сайт, а мне сразу -
Цитата:
Oops! It seems you have JavaScript disabled in your browser.
Enable JavaScript and refresh page to run Cryptojacking test.
Enable JavaScript and refresh page to run Cryptojacking test.
█ 22.05.2018 09:07
Ну, если JS отключен, то может быть только для этого теста, поэтому он и предлагает включить его и проверить на уязвимость.
Я, кстати, на какой-то из майнеров в браузере тесты проводил. Но, получалось, что тупит все адски, а выхлоп минимальный. Т.е. ставить себе сайт будет только неуважающий свою аудиторию.
Ради интереса прошел тест под Win7, Firefox. Пишет, что защищен, но предлагает поставить оперу :)
Я, кстати, на какой-то из майнеров в браузере тесты проводил. Но, получалось, что тупит все адски, а выхлоп минимальный. Т.е. ставить себе сайт будет только неуважающий свою аудиторию.
Ради интереса прошел тест под Win7, Firefox. Пишет, что защищен, но предлагает поставить оперу :)
█ 22.05.2018 11:13
У тебя более правильный подход :) Кстати, чем блокируешь JS?
█ 22.05.2018 14:52
А чем не устраивает Firefox по умолчанию? NS, как я понимаю, в нем используете?
█ 22.05.2018 15:06
OlegON, давайте на ты )))
Да, в ФФ. NS я там использую, чтобы не соврать, много лет. Уже может 8-10. Но чем он мне изначально нравился, что по умолчанию блокируется вся хрень, а я уже выбираю что допускать (если что-то не работает или не показывается на странице). Мне так спокойнее, особенно когда заходишь на не знакомые сайты.
И даже сейчас, допустим надо мне что-то скачать с файло обменника, тот же depositfiles. Если туда зайти и отключить целиком NS, то на странице начинается какой то ад из всякой хрени. Чуть куда ткни - лезут окна новые и тд. Хотя очень многому там приходится давать доступ, т.к. всякие капчи разномастные, таймеры и тп не робят с включенным NS.
Да, в ФФ. NS я там использую, чтобы не соврать, много лет. Уже может 8-10. Но чем он мне изначально нравился, что по умолчанию блокируется вся хрень, а я уже выбираю что допускать (если что-то не работает или не показывается на странице). Мне так спокойнее, особенно когда заходишь на не знакомые сайты.
И даже сейчас, допустим надо мне что-то скачать с файло обменника, тот же depositfiles. Если туда зайти и отключить целиком NS, то на странице начинается какой то ад из всякой хрени. Чуть куда ткни - лезут окна новые и тд. Хотя очень многому там приходится давать доступ, т.к. всякие капчи разномастные, таймеры и тп не робят с включенным NS.
Часовой пояс GMT +3, время: 20:31.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.