Page load

Как найти и удалить скрытый вирус майнер на вашем компьютере

Автор: Игорь Филатов
2020.12.01 18:12
Автор: Игорь Филатов

Интернет полон жирных кнопок «СКАЧАТЬ», сомнительного вида сайтов, предлагающих легальный заработок и прочих «Злачных мест». Ряд личностей использует подобные каналы сбыта ПО, внедряя в них скрытые майнеры — программы для добычи криптовалюты на вашем железе и без вашего ведома.

Что такое скрытый майнинг криптовалют

Скрытый майнер это как обычный майнер для криптовалют, но он добывает крипту не для вас, а для кого-то другого. Владелец ПО или ботнета использует вашу электроэнергию, железо и время, чтобы разбогатеть.

Три сценария заражения скрытым майнером

Заражение майнером имеет три понятых и изученных источника.

Первый сценарий заражения — пользователь скачивает и устанавливает программу «с сюрпризом». Чтобы скрытый майнер смог пройти через многочисленные фильтры и заслоны, он маскируется под что-то уже известное — браузер, скриншотер, иконку ВК и подобные узнаваемые вещи.

Второй сценарий заражения — пользователь попадает на страницу загрузки, которая выглядит в точности, как обычная. По сути — это копия оригинальной страницы с одним изменением — кнопка «СКАЧАТЬ» не скачивает то, что должна. После загрузки файла и взаимодействия с ним начинается процесс заражения, который антивирусы не всегда могут уловить.

Есть и третий сценарий заражения — сайт использует JavaScript или другой код, исполняемый на стороне клиента и майнит на посетителях. Тогда браузер заражается и начинает добывать крипту без ведома пользователя. Причиной нагрузки могут стать и сомнительные плагины, следует обратить внимание на рейтинг дополнения и отзывы. Особое внимание при проверке отзывов следует уделить негативным или «Однозвездочным» — владельцы приложения могут «нагнать» положительных обзоров, чтобы перекрыть плохие оценки от реальных пользователей.

«В ряде случаев, сайты предлагают таким образом избавить пользователя от рекламы, представляя на выбор подписку или майнинг в пользу сайта.»

Как майнерам удается скрываться

Когда скачанный файл запускается, то вместе с ожидаемым ПО распаковывается и установщик, который скачивает майнер и маскирует его специальной утилитой. Продвинутые майнеры обеспечены «Службами», которые будут настраивать майнер, обеспечивать его автозагрузку и незаметность.

Сервисы служат скрытому майнеру хорошую службу — стоит запустить игру, как майнер перестает работать, чтобы не вызывать подозрений у геймера. Есть и другие виды майнеров — которые восстанавливаются, если их удалить. В общем и целом, майнеры скрывают свое присутствие маскируясь под знакомые программы в диспетчере задач, скрываясь из выдачи работающего ПО или изменяя файлы реестра.

Цифры по скрытому майнингу

Чтобы не основывать выводы на голословных допущениях, покажем реальные цифры расследований за три года.

  • 2017 год, антивирусная компания Symantec провела расследование, выяснив, что с Сентября по Декабрь количество случаев выросло с нескольких сотен тысяч до 1.6 Млрд срабатываний. Сегмент IoT устройств понес чуть меньше потерь — в 2016 с 6 тыс нападений цифра выросла до 50 тыс в 2017 году.
  • 2018 год, Malwarebytes публикуют отчет, где фиксируют 16 млн срабатываний в секторе домашних ПК на предмет скрытого майнинга. Бизнес-сектор находится в районе от 400 тыс до 550 тыс срабатываний.
  • 2020 год, майнинговые агенты атакуют сайты на WordPress, Joomla, Magento и Drupal, ПО вставляют в пиратские копии диснеевских мультфильмов и согласно отчёту ESET — возросла популярность майнеров.

Как можно понять, угроза вполне реальная. Скрытый майнинг, или как его еще называют, криптоджекинг, приносит прибыль владельцам ботнетов. Он ворует вычислительные мощности у честных работяг, которые стараются собрать майнинг ферму своими руками.

Как распознать скрытый майнер на ПК

Первичные признаки заражения на ноутбуках — быстрая разрядка батареи даже в простое, шум кулеров, перегрев при простое. На ПК выявить майнер немного сложнее — понадобиться проверять программы вручную.

Симптомы заражения майнером на ПК

В ряде случаев, выявить скрытый майнер получается через слежение за температурами, потреблением и активными задачами в Диспетчере Задач. Выявить наличие майнера можно по графикам нагрузки — если компьютер ничего не делает, но наблюдается постоянная загрузка на 70 — 100%, то это может служить одним из сигналов о наличии вредоносного ПО.

Как выявить майнер в «Диспетчере задач»

Откройте окно Диспетчера, выключите все другие программы и не шевеля мышкой наблюдайте за работой программ 15 — 30 минут. Если во время наблюдения резко подскакивает потребление GPU или CPU, то это служит сигналом о начале работы майнера. Если «Диспетчер» резко закрывается — это признак наличия майнера, препятствующего нормальной работе программы.

На Windows 10 есть вкладка «Журнал приложений», где отображается процент ресурсов, потребляемых приложением за месяц. В ней можно отследить, какое приложение потребляло больше всего времени работы CPU или GPU.

Проведите полную проверку антивирусом

360TotalSecurity, Avast, Kaspersky или любой другой антивирус сможет выявить майнер в большинстве случаев.

Как удалить скрытый майнер

Современные антивирусные программы обучены распознавать наличие майнеров на ПК. Устанавливать антивирусы не обязательно — у них есть портативные веб-версии, которые скачивают актуальную базу данных и сверяются с ней.

Антивирусы, которые удалят скрытый майнер

  • Comodo Cleaning Essentials — бесплатный антивирус для проверки на наличие зловредов. Не поддерживает фоновую работу и не интегрируется в систему. Сканирование происходит в ручном режиме — запускаете и ожидаете.
  • Kaspersky Virus Removal Tool — инструмент, работающий в ручном режиме. Выявляет и удаляет вирусы и скрытые майнеры.

Как защитить себя от попадания скрытых майнеров

Чтобы не попадать на скрытые майнеры, следует соблюдать правила гигиены в сети.

  1. Проверяйте то, что скачиваете. Желательно антивирусом.
  2. Не разрешайте выполнение Java-элементов по-умолчанию, если сайт не имеет сертификата.Скриншот доверенного сайта
    Так выглядит доверенный сайт — сертификат действительный.
  3. Проверяйте ссылки, по которым скачиваете — если они содержат опечатки, цифры, символы не к месту, то это фишинговый сайт.
  4. Не кликайте по мигающим баннерам, а если кликнули, то закройте вкладку.
  5. Не устанавливайте ПО, чьего разработчика вы не знаете или не можете установить.
  6. Не устанавливайте ПО из непонятных вам источников. Например, на ГитХаб наличие скрытого майнера быстро вскроется — это отметят в комментариях, поднимется шум. Если скачиваете через DropBox или Google Drive, то присмотритесь к формату файла и скормите его антивирусу. Когда скачиваете приложение с форумов, то изучайте комментарии, оставленные пользователями.