Bitcoin Miner - вирус который охотится за вашим железом. Как обнаружить и удалить скрытый майнер — пошаговая инструкция в картинках

Биткоин вирус — это троянский конь, который захватывает устройства, чтобы добывать биткоины с использованием графического и центрального процессоров. Эта кибер инфекция также известна как Bitcoin miner, Bitcoin mining или просто BitcoinMiner вирус. Несмотря на разнообразие названий, цель вредоносного ПО остается неизменной — делать незаконно деньги.

Для тех, кто еще не слышал этого термина, мы скажем, что биткоин — это виртуальная валюта, появившаяся в 2008 году. Однако она был запущена более широко только в 2011. Биткоины уже достигли оборотов больше чем 16 миллионов на 1 августа 2017.

Неудивительно, что даже самые уважаемые компании подтверждают эту валюту. Однако эта валюта создается не через центральное денежное агентство, а через компьютеры, которые выполняют криптографические вычисления с интенсивным использованием процессора. Поэтому киберпреступники всегда ищут новые способы воспользоваться этой возможностью, создавая новые версии вредоносных программ Bitcoin.

Bitcoin miner вирус имеет несколько версий. Наиболее известные из них называются CPU Miner и Vnlgp Miner . К сожалению, но вы вряд ли заметите, когда ваш компьютер заражен этим. По мнению экспертов, это вредоносное ПО пытается скрыться, пытаясь работать только тогда, когда пользователь не использует свой компьютер.

Тем не менее, вы можете заметить Bitcoin вирус, проверяя скорость вашего ПК. Известно, что использование процессора машины значительно возрастает, когда этот вирус проникает в него, поэтому не игнорируйте такие изменения. Более того, троянский конь также может открыть бэкдор или загрузить другие вредоносные программы.

Если вы заметили замедление работы системы или другие подозрительные действия, вы должны убедиться, что ваш компьютер не заражен. Если вы подозреваете что-то странное, вы должны проверить компьютер с помощью или . Программное обеспечение безопасности удалит Bitcoin вирус и прекратит его злонамеренную деятельность.

Эволюция Bitcoin вируса: злонамеренные действия вариант-вымогателя

Bitcoin вымогатель — это конкретная версия Bitcoin вируса, которая может проникнуть на компьютер без одобрения пользователя, а затем зашифровать каждый из его/ее файлов. Эта угроза была замечена после шифрования всей сети одного медицинского центра в США. Тем не менее, она может также повлиять на простых домашних пользователей, оставив их без файлов.

После завершения шифрования файлов жертвы Bitcoin вымогатель отображает предупреждающее сообщение с просьбой заплатить выкуп 1,5 биткойна. Пожалуйста, НЕ платите, так как в итоге вы ничего не получите! Имейте в виду, что вы имеете дело с мошенниками, которые могут забрать у вас ваши деньги и оставить вас без специального кода, необходимого для расшифровки ваших зашифрованных файлов.

В этом случае вы должны выполнить удаление Bitcoin вируса с помощью и попытаться расшифровать ваши файлы с помощью этих инструментов: Photorec и R-studio . Имейте в виду, что общение с киберпреступниками никогда не является хорошим вариантом!

В конце июля 2017 года сообщалось, что вредоносное ПО для майнинга криптовалюты заразило 25% пользователей компьютеров в России. Однако некоторые источники сообщают, что эта кибер-инфекция, возможно, проникла на 30% российских компьютеров.

Согласно официальным данным, большинство уязвимых устройств работают на ОС Windows. В то время как, компьютеры Mac и iPhone сильно не пострадали от вируса.

Информация о Bitcoin mining вирусе была опубликована в интернете. Однако специалисты по безопасности и поставщики антивирусных программ заявляют, что масштабы атаки преувеличены. Эксперты согласны с тем, что в прошлом было несколько проблем с этим вредоносным ПО, но не так много, как сейчас.

Представитель Kaspersky, являющийся одним из основных российских антивирусных поставщиков, утверждает, что если бы такая огромная атака была проведена, они бы это заметили. Однако с начала года только 6% их клиентов пострадали от BitcoinMiner.

Способы заражения инфекцией

По словам экспертов по безопасности, Bitcoin вирус распространяется в основном через сеть Skype, но он также замечен в других социальных сетях, поэтому остерегайтесь этого. Как правило, этот вирус полагается на спам сообщение, которое утверждает что-то вроде “это мое любимое изображение тебя” и прикрепляет вредоносный файл. Конечно, вирус пытается убедить жертв загрузить файл.

Если вы хотите избежать этого, держитесь подальше от таких сообщений. Как только жертва загружает “фотографию”, она не только позволяет вредоносным угрозам войти внутрь машины, но и позволяет вирусу подключить ПК к удаленному серверу управления.

После проникновения и активации, вирус превращает зараженную машину в генератор биткойнов. Тем не менее, он также может быть разработан для кражи банковских реквизитов, записи нажатий клавиш или загрузки еще большего количества вредоносных программ на целевом ПК. Вот почему вы должны удалить Bitcoin вирус, как только он попадет в компьютер.

Объяснение — как удалить Bitcoin вирус

Если вы считаете, что ваш компьютер заражен вредоносными программами, вы должны сканировать его с помощью обновленного программного обеспечения безопасности, такого как или . Если ваше устройство заражено, выбранный вами инструмент немедленно удалит вирус Bitcoin.

Эти программы также должны помочь вам удалить Bitcoin вирус из системы. Однако иногда вирусы, которые классифицируются как вымогатели, блокируют антивирусное ПО, чтобы предотвратить свое удаление. Если вы имеете дело с такой проблемой прямо сейчас, следуйте приведенному ниже руководству.

Вирус майнер — что это такое должен знать каждый современный пользователь ПК. Дело в том, что в любой сфере человеческой деятельности есть люди, которые хотят получать от нее незаконный доход. Особенно это касается новых, неизведанных и популярных направлений. Логичным следствием популярности майнинга стало создание вредоносных программ, позволяющих добывать криптовалюту с использованием чужих компьютеров без ведома их хозяев.

Что такое скрытый майнер и как его обнаружить на ПК

Черным или скрытым и майнингом называют добычу цифровой валюты сторонними лицами посредством использования мощностей чужих ПК. Для этого в компьютеры внедряют вирус-майнеры, а что это такое мы сейчас расскажем.

Заражение оборудования происходит через скачивание и установку файлов, неразрешенный удаленный доступ, а иногда через прямую подсадку. Далее ПК подключается к мошенника, а заработанные монеты отправляются в его кошелек.

Установка шпионского ПО производится в тихом режиме, а добыча крипты маскируется под работу службы ОС или вовсе ничем себя не проявляет. Вирус-майнеры нового поколения обладают способностью оставаться незамеченными: при повышении нагрузки они отключаются, дабы не провоцировать торможение компьютера и не выдать своего присутствия.

На первый взгляд, подобное ПО не приносит особого вреда ни компьютеру, ни его владельцу (за исключением повышения оплаты за электроэнергию). На самом деле наличие теневого майнера наносит вред операционной системе, «съедает» мощность ПК, влияет на продуктивность работы, а самое главное – может открыть доступ к личным данным, включая информацию о платежных операциях и паролях электронных кошельков.

Самый распространенный скрытый майнер – Bitcoin miner, разработанный в качестве единого инструмента для добычи разных криптовалют на чужих компьютерах. Он состоит из неограниченного количества узлов и загружает оборудование на 90-100%. Процесс майнинга сопровождается заметным шумом кулера видеокарты. Bitcoin miner прост в техническом плане, не умеет маскироваться и может быть легко обнаружен по диспетчеру задач, но существуют и более «хитрые» вирусы для майнинга:

• Bad Miner;
• Epic Scale;
• Miner Gate.

Как найти и удалить вирус майнер на своем компьютере

Чтобы обнаружить майнер на ПК или ноутбуке, нужно использовать один из следующих способов:

• протестировать работу устройства в режиме привычной нагрузки (попробовать открывать вкладки в браузере или элементарные программы);
• запустить игру, при которой нагрузка на процессор и видеокарту повышается, затем проанализировать показатели;
• запустить AIDA64 для проверки загруженности ПК до закрытия фоновых программ и после
• провести сравнительный анализ полученной информации.

Некоторые вирусы отключают «Диспетчер задач» через несколько минут после начала работы, а другие сами отключаются, когда пользователь в него заходит. Если спустя некоторое время после запуска «Диспетчера» окна не появится, это повод задуматься.

Существуют достаточно эффективные программы для мониторинга состояния ПК, способные обнаружить вирус-майнер. Одна из самых популярных – это AnVirTask Manager.

Подготовка к удалению майнера

Требуется выполнить резервное копирование информации, находящейся в компьютере, и сохранить ее на аппаратном носителе. Не обязательно в ходе удаления вирус-майнера данные будут утеряны, но лучше перестраховаться. Не стоит дублировать абсолютно все файлы, ведь тогда и вирус попадет на носитель. Есть смысл задействовать вспомогательные софты вроде Spy Hanter и Cliner, которые увеличат шансы на полное удаление бота.

Поскольку майнер-вирусы относятся к троянам, они могут оказывать негативное воздействие на операционную систему. Иногда после их удаления компьютер начинает работать некорректно. С учетом этого лучше запастись диском с файлом установки ОС.

Перед началом поиска следует закрыть все фоновые программы. Поскольку скрытые майнеры для зачастую маскируются под разное ПО, его отключение упростит задачу по выявлению вирусов.

Удаление вируса-майнера

При глубокой чистке ПК антивирусная программа может обнаружить вирус, а вот удалить его ей вряд ли удастся. Обычно это приходится делать вручную.

Практика показывает, что чаще всего вредоносное ПО можно подхватить на торрент-трекерах при скачивании нелицензионных игр, кинофильмов либо других файлов. Если момент скачивания совпадает с началом странностей в работе компьютера, можно попытаться найти вирус вручную. В этом случае необходимо сначала избавиться от подозрительной программы и лишь затем переходить к удалению Stealth mining.

Если повезет и вирус окажется относительно простым, удалить его будет несложно. Для этого нужно открыть «Диспетчер задач» комбинацией клавиш Ctrl + Alt + Del). Если в открывшемся списке есть задача, которая задействует мощность процессора или видеокарты на 20 % и больше, вероятно, это и есть вирус-майнер. Его следует удалить, предварительно дав согласие на утерю несохраненных данных.

К сожалению, от большинства современных вирус-ботов таким простым способом не избавишься. Если попытка не принесла результата, следует перейти к другому варианту:

• проверить ПК на наличие вредоносного ПО, а при его обнаружении перезагрузиться;
• зайти в меню BIOS для управления в обход операционной системы: сразу при включении компьютера нажать F2 или Delete (зависит от прошивки, но можно жать сразу обе кнопки), а затем далее перейти во вкладку Advanced Boot Options;
• из длинного списка выбрать пункт Safe Mode;
• авторизоваться через личный аккаунт;
• запустить браузер и войти в сеть;
• скачать антишпионскую программу, которая поможет навсегда избавиться от вирус-майнера.

В Windows 10 нет возможности войти в меню Advanced Boot Options в ходе перезагрузки, поэтому ход действий следующий:

• нажать комбинацию Win + R и в появившемся окне ввести msconfig$
• выбрать вкладку «Конфигурация системы»;
• во вкладке «Загрузка» выбрать необходимый режим Safe Mode и перезагрузить ПК.

Далее действуем по вышеописанной схеме. Программы-антишпионы, как правило, удаляют троянов автоматически, а в качестве бонуса исправляют настройки браузера и убирают ненужные записи из ОС. При удалении шпионских программ могут быть полезны сайты Anti-Malware и Malwarebytes.

Многие из тех, кому довелось столкнуться с проблемой , рекомендуют программу Curelt. Судя по отзывам, она эффективно справляется с любым вредоносным ПО.

Как защититься от теневого майнинга

В нынешних условиях, когда на каждое обновление антивирусного ПО появляются новые вирусы, гарантий защиты не даст никто. Снизить риск заражения поможет посещение только проверенных сайтов, регулярная установка обновлений антивируса и проверка ПК на наличие скрытого майнера.

Вирус-майнер (майнер, Биткоин майнер) – это вредоносное программное обеспечение, основной целью которого является майнинг (mining) - заработок криптовалюты с использованием ресурсов компьютера жертвы. В идеальном случае, такое программное обеспечение должно работать максимально скрытно, иметь высокую живучесть и низкую вероятность обнаружения антивирусными программами. ”Качественный” вирус-майнер малозаметен, почти не мешает работе пользователя и с трудом обнаруживается антивирусным ПО. Основным внешним проявлением вирусного заражения является повышенное потребление ресурсов компьютера и, как следствие – дополнительный нагрев и рост шума от вентиляторов системы охлаждения. В случае ”некачественного” вируса-майнера, в дополнение к перечисленным симптомам, наблюдается снижение общей производительности компьютера, кратковременные подвисания или даже неработоспособность некоторых программ.

Что такое майнинг?

Слово ”майнинг” происходит от английского ”mining”, что означает ”разработка полезных ископаемых”. Майнинг - это не что иное, как процесс создания новых единиц криптовалюты (криптомонет) по специальному алгоритму. На сегодняшний день существует около тысячи разновидностей криптовалют, хотя все они используют алгоритмы и протоколы наиболее известного начинателя - Bitcoin .

Процесс майнинга представляет собой решение сложных ресурсоемких задач для получения уникального набора данных, подтверждающего достоверность платежных транзакций. Скорость нахождения и количество единиц криптовалюты, получаемых в виде вознаграждения, различны в системах разных валют, но в любом случае требуют значительных вычислительных ресурсов. Мощность оборудования для майнинга обычно измеряется в мегахешах (MHash) и гигахешах (GHash). Так как сложность майнинга наиболее дорогих криптовалют уже давно недостижима на отдельно взятом компьютере, для заработка используются специальные фермы , представляющие собой мощные вычислительные системы промышленного уровня и пулы майнинга - компьютерные сети, в которых процесс майнинга распределяется между всеми участниками сети. Майнинг в общем пуле - это единственный способ для простого пользователя поучаствовать в получении хотя бы небольшой прибыли от процесса создания криптомонет. Пулы предлагают разнообразные модели распределения прибыли, учитывающие в том числе и мощность клиентского оборудования. Ну и вполне понятно, что загнав в пул десятки, сотни и даже тысячи зараженных майнером компьютеров, злоумышленники получают определенную прибыль от эксплуатации чужого компьютерного оборудования.

Вирусы-майнеры нацелены на долговременное использование компьютера жертвы и при заражении, как правило, устанавливается вспомогательное ПО, восстанавливающее основную программу майнинга в случае ее повреждения, удаления антивирусом или аварийного завершения по каким-либо причинам. Естественно, основная программа настраивается таким образом, чтобы результаты майнинга были привязаны к учетным записям злоумышленников в используемом пуле. В качестве основной программы используется легальное программное обеспечение для майнинга, которое загружается с официальных сайтов криптовалют или специальных ресурсов пулов и, фактически, не являющееся вредоносным программным обеспечением (вирусом, вирусным программным обеспечением - ПО). Это же ПО вы можете сами скачать и установить на собственном компьютере, не вызывая особых подозрений у антивируса, используемого в вашей системе. И это говорит не о низком качестве антивирусного ПО, а скорее наоборот – об отсутствии событий ложной тревоги, ведь вся разница между майнингом, полезным для пользователя, и майнингом, полезным для злоумышленника заключается в том, кому будут принадлежать его результаты, т.е. от учетной записи в пуле.

Как уже упоминалось, главным признаком заражения системы майнером является интенсивное использование ресурсов какой-либо программой, сопровождающееся увеличением уровня шума системного блока, а также температуры комплектующих. При чем, в многозадачной среде, как правило, вирус работает с самым низким приоритетом, используя ресурсы системы только тогда, когда компьютер простаивает. Картина выглядит так: компьютер ничем не занят, простаивает, а его температура комплектующих и издаваемый вентиляцией шум напоминает игровой режим в какой-нибудь очень даже требовательной компьютерной стрелялке. Но, на практике наблюдались случаи, когда приоритет программ для майнинга устанавливался в стандартное значение, что приводило к резкому падению полезного быстродействия. Компьютер начинает жутко ”тормозить” и им практически невозможно было пользоваться.

Удаление майнера с использованием отката на точку восстановления

Самым простым способом избавления от нежелательного ПО является возврат предыдущего состояния Windows с использованием точек восстановления, часто называемый откатом системы. Для этого необходимо, чтобы существовала точка восстановления, созданная в тот момент времени, когда заражение еще не произошло. Для запуска средства восстановления можно воспользоваться комбинацией клавиш Win+r и набором команды rstrui.exe в открывшемся поле ввода. Или воспользоваться главным меню – ”Программы – Стандартные – Служебные – Восстановление системы”. Далее, выбираете нужную точку восстановления и выполняете откат на нее. При успешном откате, в большинстве случаев, удается избавиться от вируса без особых усилий. Если же нет подходящей точки восстановления или откат не привел к нейтрализации вируса, придется искать более сложные пути для разрешения данной проблемы. При этом можно воспользоваться стандартными средствами операционной системы или специализированными программами, позволяющими выполнять поиск и завершение процессов, получение сведений об их свойствах, просмотр и модификацию точек автозапуска программ, проверки цифровых подписей издателей и т.п. Такая работа требует определенной квалификации пользователя и навыков в использовании командной строки, редактора реестра и прочих служебных утилит. Использование же нескольких антивирусных сканеров разных производителей, программ для очистки системы и удаления нежелательного ПО может не дать положительного результата, и в случае с майнером – обычно не дает.

Поиск и удаления майнера с использованием утилит из пакета Sysinternals Suite

Сложность выявления программ, используемых для майнинга, заключается в том, что они не обнаруживаются большинством антивирусов, поскольку фактически не являются вирусами. Есть вероятность, что антивирус может предотвратить процесс установки майнера, поскольку при этом используются не совсем обычные программные средства, но если этого не произошло, искать и удалять вредоносную (с точки зрения владельца зараженного компьютера) программу, скорее всего, придется вручную. К сведению, в июне 2017г. средний уровень выявления вредоносности подобного ПО, например, средствами известного ресурса Virustotal составлял 15-20/62 – т.е. из 62 антивирусов, только 15-20 посчитали его вредоносной программой. При чем, наиболее популярные и качественные антивирусные программы в эту группу не входят. Для хорошо известных или обнаруженных относительно давно вирусов уровень выявления вредоносности может быть выше благодаря сигнатурам антивирусных баз данных и принятия некоторых дополнительных мер разработчиками антивирусных программ. Но все это далеко не всегда позволяет избавиться от вируса майнера без дополнительных усилий, которые потребуется приложить для решения проблемы.

Ниже рассматривается практический случай заражения системы вредоносным ПО для майнинга. Заражение произошло при использовании модифицированных игровых программ, загруженных с одного из недоверенных торент-трекеров. Хотя способ заражения мог быть и другим, как и для любого прочего вредоносного ПО – переход по ссылкам на непроверенных ресурсах, открытие почтовых вложений и т.п.

Набор вредоносных программ для майнинга в интересах злоумышленников реализует следующие функции:

Обеспечение своего автоматического запуска. Одна или несколько программ выполняют модификацию ключей реестра для автоматического запуска в случае непредвиденного завершения, перезагрузки или выключения питания. Периодически (приблизительно 1 раз в минуту) ключи реестра просматриваются и в случае их нарушения (удаления, изменения) - восстанавливаются.

Автоматического запуска программы для майнинга. Программа также запускается автоматически и параметры ее автозапуска отслеживаются и восстанавливаются одной или несколькими вспомогательными программами.

Пока в памяти компьютера выполняются процессы, обеспечивающие автоматический запуск, нет смысла удалять исполняемые файлы и записи в реестре – они все равно будут восстановлены. Поэтому, на первом этапе нужно выявить и принудительно завершить все процессы, обеспечивающие автоматический перезапуск вредоносных программ.

Для поиска и устранения вируса-майнера в современных ОС можно обойтись стандартными средствами или, например, более функциональным ПО из пакета Sysinternals Suite от Microsoft

- Process Explorer – позволяет просматривать подробные сведения о процессах, потоках, использовании ресурсов и т.п. Можно изменять приоритеты, приостанавливать (возобновлять) работу нужных процессов, убивать процессы или деревья процессов. Утилитой удобно пользоваться для анализа свойств процессов и поиска вредоносных программ.

- Autoruns – удобное средство контроля автозапуска программ. Контролирует практически все точки автоматического запуска, начиная от папок автозагрузки и заканчивая задачами планировщика. Позволяет быстро обнаружить и изолировать программы, запуск которых не желателен.

В качестве вспомогательного ПО можно также воспользоваться утилитой Process Monitor , которая в сложных случаях позволяет отслеживать активность конкретных программ с использованием фильтров (обращение к реестру, файловой системе, сети и т.п.) А также удобной для поиска файлов и папок утилитой SearhMyfiles от Nirsoft , главной особенностью которой является возможность поиска файлов и папок с использованием отметок времени файловой системы NTFS (Time stamp). В качестве критериев поиска, можно задавать диапазоны времени создания, модификации и доступа для файлов и папок (Created, Modified, Accessed). Если известно приблизительное время заражения или взлома, можно собрать полный список файлов, которые были созданы или изменены в заданный период.

Но повторюсь, для поиска и удаления майнеров, как правило, достаточно использования стандартных средств Windows - диспетчера задач и редактора реестра. Просто перечисленное выше ПО проще в использовании и удобнее для поиска вредоносных программ.

Cведения об использовании ресурсов системы, отображаемые Process Explorer:

Колонка CPU отображает степень использования центрального процессора различными процессами. System Idle Process - это не процесс, а индикация программой режима простоя (бездействия). В итоге видим, что процессор находится в режиме бездействия 49.23% времени, часть процессов используют сотые доли его ресурсов, а основным потребителем CPU является процесс system.exe - 49.90%. Даже при поверхностном анализе свойств процесса system.exe , заметны факты, которые вызывают обоснованное подозрение:

Странное описание (Description) – Microsoft Center

Странное имя компании (Company Name) – www.microsoft.com Прочие процессы, действительно имеющие отношение к Microsoft в качестве описания имеют строку Microsoft Corporation

Более подробный анализ выполняется через контекстное меню, вызываемое правой кнопкой мышки – пункт Properties:

Путь исполняемого файла ProgramData\System32\system.exe также является явно подозрительным, а переход в паку с исполняемым файлом при нажатии на соответствующую кнопку Explore показал, что и сама папка и исполняемый файл имеют атрибуты ”Скрытый” (”Hidden”). Ну, и параметры командной строки:

-o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [email protected]*-p x -t 2 –k явно указывают на то, что процесс system.exe – это программа-майнер (для использования пулов pool.minergate.com).

Поле Autostart Location содержит значение n/a , что означает, что данный процесс не имеет точек автоматического запуска. Родительский процесс для system.exe имеет идентификатор PID=4928, и на данный момент не существует (Non existent Process ), что с большой долей вероятности говорит о том, что запуск процесса был выполнен с использованием командного файла или программы, которая завершила свою работу после запуска. Кнопка Verify предназначена для принудительной проверки наличия родительского процесса.

Кнопка Kill Process позволяет завершить текущий процесс. Это же действие можно выполнить с использованием контекстного меню, вызываемого правой кнопкой мышки для выбранного процесса.

Вкладка TCP/IP позволяет получить список сетевых соединений процесса system.exe:

Как видно, процесс system.exe имеет установленное соединение локальный компьютер – удаленный сервер static.194.9.130.94.clients.your-server.de:45560.

В данном реальном случае, процесс system.exe имел минимальный приоритет и почти не влиял на работу прочих процессов, не требующих повышенного потребления ресурсов. Но для того, чтобы оценить влияние на поведение зараженной системы, можно установить приоритет майнера равный приоритету легальных программ и оценить степень ухудшения полезной производительности компьютера.

При принудительном завершении процесса system exe, он снова запускается спустя несколько секунд. Следовательно, перезапуск обеспечивается какой-то другой программой или службой. При продолжении просмотра списка процессов, в первую очередь вызывает подозрения процесс Security.exe

Как видно, для запуска программы Security.exe используется точка автозапуска из стандартного меню программ пользователя, и выполняемый файл Security.exe находится в той же скрытой папке C:\ProgramData\System32

Следующим шагом можно принудительно завершить Security.exe , а затем – system.exe . Если после этого процесс system.exe больше не запустится, то можно приступать к удалению вредоносных файлов и настроек системы, связанных с функционированием вредоносных программ. Если же процесс system.exe снова будет запущен, то поиск вспомогательных программ, обеспечивающих его запуск нужно продолжить. В крайнем случае, можно последовательно завершать все процессы по одному, каждый раз завершая system.exe до тех пор, пока не прекратится его перезапуск.

Для поиска и отключения точек автозапуска удобно использовать утилиту Autoruns из пакета Sysinternals Suite:

В отличие от стандартного средства msconfig.exe, утилита Autoruns выводит практически все возможные варианты автоматического запуска программ, существующие в данной системе. По умолчанию, отображаются все (вкладка Everything), но при необходимости, можно отфильтровать отдельные записи по типам переключаясь на вкладки в верхней части окна (Known DLLs, Winlogon, … Appinit).

При поиске записей, обеспечивающих автозапуск вредоносных программ, в первую очередь нужно обращать внимание на отсутствие цифровой подписи разработчика в колонке Publisher. Практически все современные легальные программы имеют цифровую подпись, за редким исключением, к которому, как правило, относятся программные продукты сторонних производителей или драйверы/службы от Microsoft. Вторым настораживающим принципом является отсутствие описания в колонке Description. В данном конкретном случае, под подозрением оказывается запись, обеспечивающая открытие ярлыка Security.lnk в папке автозагрузки пользователя:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Ярлык ссылается на файл c:\programdata\system32\security.exe

Отметка времени (Time Stamp) дает дату и время заражения системы - 23.06.2017 19:04

Любую из записей, отображаемых утилитой Autoruns, можно удалить или отключить, с возможностью дальнейшего восстановления. Для удаления используется контекстное меню или клавиша Del . Для отключения – снимается галочка выбранной записи.

Скрытую папку c:\programdata\system32\ можно удалить вместе со всем ее содержимым. После чего перезагрузиться и проверить отсутствие вредоносных процессов.

Как известно, с появлением любого нового способа заработка обязательно находятся обходные пути получить деньги через него. Так, с распространением майнинга криптовалюты вполне логичным последствием стало появление вирусных программ, позволяющих майнить валюту с чужих устройств без ведома их владельцев. Пусть об этом варианте получения денег и не знают широкие массы, некоторые люди уже давно зарабатывают таким способом. Далее попробуем разобраться, что же такое скрытый майнинг, почему он остаётся популярным и привлекательным для мошенников, а также понять, как не стать жертвой вредоносной программы или избавиться от неё, если таковая была обнаружена на устройстве.

Что такое теневой майнинг

Итак, скрытый майнинг (от англ. stealth mining) – это добыча криптовалюты сторонним лицом через ПК, владелец которого остаётся в счастливом неведении о происходящих за его спиной процессах. Как правило, такой заработок осуществляется с помощью внедрения в компьютер специальной вредоносной программы – вируса для майнинга, или майнер-бота/ ботнета. Однако, на майнинге криптовалюты возможности такого «трояна» не ограничиваются. Как и другие вирусы-шпионы, он может украсть данные кошельков, пароли аккаунтов в социальных сетях и информацию по банковской карте или попросту сделать ваш ПК более уязвимым к другим вредоносным программам.

Интересно заметить, что найти ботнет на своём компьютере иногда довольно сложно, поскольку его наличие бывает не заметно: нагрузка на процессор или видеокарту не обязательно значительно возрастает, особенно если ваша техника обладает высокой мощностью.

Как работает вирус-майнер

Майнер-бот часто попадает в систему ПК одним из следующих путей:

• Через любые скачанные и затем запущенные файлы;
• Прямой подсадкой на устройство (встречается редко);
• Через несанкционированный удалённый доступ.

Он производит подключение к одному из майнинг-пулов, где проводит добычу виртуальных монет, и со временем всё больше загружает процессор. Основная задача такой программы заключается именно в майнинге денег за счёт ресурсов чужого оборудования. Заработанная криптовалюта перечисляется непосредственно на кошелёк мошенника. Пулы можно назвать идеальным вариантом для создания личной майнинг-сети, ведь любитель заработать таким путём имеет право подключить любое количество компьютеров без необходимости доказывать их принадлежность ему.

Как вирус-майнеру удаётся оставаться незамеченным? Всё очень просто: он попадает на ПК вместе с любыми файлами, будь то торрент или даже документ ворд, его установка производится в тихом режиме, процесс скрытого майнинга маскируется под работу системной службы Windows или совсем не отображается. Еще одна интересная особенность современного вирус-майнера кроется в том, что при значительном повышении нагрузки он попросту отключается, чтобы не провоцировать торможение, а значит, не увеличивать риск быть обнаруженным.

Иногда в систему устанавливается исходный файл, который автоматически восстанавливает удалённую вручную или антивирусом программу.

Чем майнер-бот опасен для компьютера

Казалось бы, ну майнит программа себе криптовалюту через чужое устройство, что тут страшного? Обидно, конечно, но не критично. И всё же, как любое вирусное ПО, скрытый майнер несёт в себе опасность для вашего ПК. В первую очередь, наличие такой программы на компьютере неизбежно несёт вред ОС. Всё-таки она относится к категории троянов. К тому же, эта программа «съедает» рабочую мощность процессора и видеокарты, что сказывается на продуктивности ПК. И, пожалуй, самое неприятное: шпион открывает мошеннику доступ к вашим персональным данным, вплоть до финансовой информации и возможности получения паролей к кошелькам и картам.

К другим особенностям майнер-ботов можно отнести:

• Нестандартный способ запуска программы;
• Наличие двух перезапускающих друг друга процессов, если вы попытались завершить один из них;
• Перезагрузка устройства при попытке получения доступа к файлам программы или удаления из автозагрузки;
• Процессы, препятствующие полноценной работе антивируса.

Наиболее распространённые программы по скрытому майнингу

Самой распространённой программой по теневому майнингу криптовалюты является Bitcoin-Miner. Этот вирус был разработан в целях создания единого ресурса, позволяющего добывать монеты с чужих компьютеров и состоящего из неограниченного количества устройств. С попаданием такой «радости» в систему компьютер нагружается по максимуму, что становится заметным по шуму кулера видеокарты. Мошенники не стесняются выжимать все возможное из устройства жертвы, поэтому оно работает на 80, а иногда и на все 100% мощности, вместо привычных 20%. Однако, деятельность такой программы обнаруживается через «Диспетчер задач», ведь он отражает любые колебания в работе компьютера.

Существуют и другие программы, созданные для скрытого майнинга криптовалюты. Например, BadMiner, MinerGate или EpicScale, который даже при удалении основных материалов сохраняет в системе файлы, способные восстановить программу.

Как обнаружить вирус-майнер

Если закрались подозрения о наличии на вашем ПК ботнета, подтвердить или опровергнуть их можно следующим образом:

• Проверить, как устройство работает при обычных нагрузках (простые программы или использование браузера);
• Запустить игру, повышающую нагрузку, и проверить показатели видеокарты и процессора;
• Запустить AID64 и проверить нагрузку видеокарты и процессора до и после закрытия фоновых программ;
• Сравнить показатели и сделать выводы.

Многие stealth miners перестают работать, как только пользователь открывает программу «Диспетчер задач», чтобы привести показатели в норму и не вызывать лишние подозрения. Некоторые из них даже способны отключить «Диспетчер задач» после 5 минут его работы. Следовательно, если вы открыли программу, а через некоторое время не обнаружили окно на рабочем столе, стоит задуматься. Существуют достаточно мощные программы по контролю состояния компьютера, которые помогут найти вирус. К таким относится AnVir Task Manager- она позволяет обнаружить любые подозрительные процессы на устройстве.

Поэтапное удаление вирус-майнера

Избавиться от вредоносной программы может быть сложнее, чем кажется на первый взгляд. С каждым годом появляются всё новые способы обойти защиту компьютера и замаскировать вирус под совершенно безобидный файл, поэтому подходить к удалению вредоносного софта нужно основательно.

Подготовка

В первую очередь, произведите резервное копирование всех важных данных на сторонний носитель, например, внешний жёсткий диск, чтобы избежать потери информации (происходит такое не всегда, но лучше перестраховаться). Однако не стоит копировать все данные с компьютера, ведь в этом случае на внешний носитель попадёт и сам вирус. После этого установите антивирусную программу с последними обновлениями. Нелишними будут вспомогательные софты, такие как CCleaner или SpyHunter. Пусть их наличие и нельзя назвать обязательным условием, они значительно повышают шансы на полное удаление скрытого майнера.

Поскольку майнер-бот относится к троянам, он часто оказывает значительное влияние на ОС компьютера, а значит, после его удаления устройство может работать некорректно. На этот случай стоит иметь диск с установочным файлом оперативной системы.

Непосредственно перед поиском вредоносного ПО закройте все программы, работающие в фоновом режиме. Так как вирус маскируется под часто используемые программы, при их закрытии обнаружить его становится значительно проще.

Удаление

Антивирус может отыскать майнер при проведении глубокой проверки, но рассчитывать на то, что он самостоятельно избавится от обнаруженной инфекции, не стоит. Часто его приходится удалять вручную.

Поскольку наиболее часто заражение происходит через скачивание пиратских игр или других файлов с помощью торрент-трекера, то, если вы помните примерный промежуток времени, когда начались странности на вашем ПК и этот отрезок совпадает со скачиванием какого-либо файла, отыскать вредителя можно вручную. Нужно избавиться от программ, на которые упали подозрения, и только потом разбираться с назойливым вирусом.

К сожалению, зачастую такой простой процедурой удаление назойливой программы не ограничивается. Как уже было сказано, многие современные майнер-боты реагируют на открытие «Диспетчера задач», поэтому избавление от них становится более трудоёмким. Что же делать в этом случае?

• Первым шагом нужно проверить компьютер на наличие вирусов, и, если таковые были обнаружены, перезагрузить его и войти в меню BIOS. Отсюда можно управлять аппаратной частью в обход ОС.
• Чтобы попасть в BIOS, во время перезагрузки нужно нажать F8 или del (информация появится на экране во время загрузки). Далее переходим в Advanced Boot Options.

Windows 10 не позволяет открыть это меню при перезагрузке, поэтому зажимаем Win+R и в появившемся окне вводим Msconfig, выбираем пункт «Конфигурация системы» и в разделе «Загрузка» выбираем нужный режим, далее перезагружаем компьютер.

• Оказавшись в меню Advanced Boot Options, пользователь обнаруживает большой список дополнительных возможностей, но нам нужен пункт Safe Mode with Networking.
• Далее авторизируемся в системе через свою учетную запись.
• Следующим шагом запускаем браузер для входа в сеть.
• После этого скачиваем на свой вкус антишпионский плагин, который и поможет избавиться от любых файлов, связанных со скрытым майнером.

Большая часть антишпионского ПО выполняет удаление троянов автоматически. В качестве бонуса программа удалит нежелательные записи из реестра ОС и исправит настройки браузеров.

Среди известных онлайн-ресурсов, которые пригодятся при удалении шпионских программ, можно выделить Malwarebytes Anti-Malware.

Многие пользователи, сталкивавшиеся с проблемой скрытого майнинга, рекомендуют программу CurelT от Dr. Web. По отзывам, она помогает избавиться от вредоносного софта раз и навсегда.

Как обезопасить себя в будущем

К сожалению, гарантию полной безопасности не может дать никто. В ответ на каждое обновление антивирусов появляются новые вирусы. Но мы можем хотя бы снизить риск заражения ПК, если будем пользоваться проверенными сервисами, прислушиваться к советам антивирусной программы или браузера, когда они (обычно тщетно) пытаются предупредить нас о небезопасности того или иного сайта, и, конечно, периодически проверять компьютер на майнинг.

Выводы

Итак, мы пришли к тому, что:

• Скрытый майнер – это вредоносное ПО, относящееся к троянским программам, которое внедряется в через использование ресурсов ПК.
• Наличие майнер-бота на компьютере жертвы позволяет злоумышленнику не только заниматься майнингом через его устройство, но и может открыть ему доступ ко многим персональным данным.
• Ответ на вопрос «как удалить майнер» с ПК может оказаться и простым, и сложным. Все зависит от вида вируса. Если вы не уверены в собственных силах, лучше обратиться к специалистам.
• Во избежание повторного заражения, при скачивании файлов из сети стоит пользоваться только источниками, которые не вызывают подозрения, и обходить стороной непроверенные ссылки.

Хотите быть в курсе свежайших новостей и получать бесплатные инсайды? Подписывайтесь на наш ,