Скрытый майнинг: как его обнаружить и способы блокировки

Что такое скрытый майнингСкрытый майнинг — процесс подключения компьютера к распределенной сети и использование мощности ПК без ведома владельца. Производится злоумышленниками с целью получения прибыли. Косвенный признак заражения — замедление работы компьютера, загрузка процессора неопознанными программами.

Что это такое

За понятием секретного майнинга скрывается вирусная программа, которая задействует в собственных целях ресурсы компьютера. Визуально это не отображается. «Черных майнеров» в сети очень много — так, в 2017 году сотрудники лаборатории Касперского обнаружили две крупных сети невидимого майнинга, суммарно почти на 10 тысяч устройств. Хозяева оборудования не подозревали о таком использовании их ПК.

Самые распространенные монеты для незаконной добычи — Monero и Litecoin, поскольку их сложность вполне позволяет использовать для майнинга процессоры обычных домашних компьютеров. Заражение чаще всего происходит через вредоносные сообщения электронной почты или скачивание файлов из непроверенных источников.

Опасности, с которыми можно столкнуться:

  1. Снижение конфиденциальности данных. Троян имеет доступ к персональным данным пользователя (пароли, платежные реквизиты, кредитная история).
  2. Ухудшение производительности. Компьютер работает медленнее, часто зависает или перезагружается.
  3. Ускорение износа железа. Увеличенная нагрузка приводит к выходу из строя процессора, оперативной памяти, видеокарты, охладительных элементов (кулеров).

От заражения вирусом надо избавляться как можно скорее.

Как обнаружить

Невидимый майнинг на процессоре или видеокарте часто дает о себе знать замедлением работы устройства. Особенно это заметно при повышенных нагрузках, например, играх. Если возникли подозрения, в первую очередь нужно проверить систему антивирусом с самыми свежими базами — часть слабеньких вирусов это отсеет, но оставшиеся скрываются намного лучше.

Обнаружить скрытый майнер на компе поможет регулярная проверка «Диспетчера задач Windows» (Ctrl+Alt+Del). Необходимо открыть приложение и, не запуская программы и не двигая мышью, понаблюдать за изменениями процессов на протяжении 15 минут. Тайный майнинг рано или поздно проявится — его процесс начнет активно нагружать компьютер. Узнать информацию о подозрительной программе можно, поискав ее название в Интернете или перейдя в раздел «Подробности» Диспетчера задач.

Такой способ подходит для обнаружения скрытого майнинга на процессоре. Если вирус обосновался на видеокарте, «Диспетчер» в старых версиях ОС его не покажет: вкладка, отображающая нагрузку на видеопроцессор, появилась лишь в Windows 10. Не всегда стандартные инструменты работают на полную мощность, поэтому рекомендуется воспользоваться сторонним софтом:

  • AnVir Task Manager;
  • Process Explorer;
  • Process Lasso.

Ряд скрытых майнеров заставляет «Диспетчер задач» самопроизвольно закрываться. Это еще один верный признак трояна. Если нагрузка исходит от открытого браузера, есть вероятность активности веб-майнера, встроенного в интернет-сайт.

Виды черного майнинга

Секретный майнинг на процессоре или видеокарте бывает двух основных разновидностей: вирусный и браузерный. Первый более опасен, поскольку проникает непосредственно на компьютер через зараженный файл. Второй работает только в Интернете — пока пользователь просматривает сайт, ресурсы ПК незаметно используются для добычи криптовалюты.

Все браузеры научены распознавать вредоносный код, поэтому не стоит игнорировать предупреждения о сомнительных сайтах — так браузер пытается защитить пользователя от скрипта, получающего доступ к компьютеру.

Подобные сценарии возможны не только на сайтах-однодневках, но и на крупных ресурсах. Так, в сентябре 2017 года серьезный украинский портал Гидрометцентра подвергся обвинению: посетители на протяжении 4 часов невольно майнили криптовалюту Monero. Никогда не будет лишним проверить компьютер на тайный майнинг.

Как можно скрыть майнинг

Алгоритм работы тайного майнера:

  1. При открытии зараженного файла на ПК инсталлируется программный клиент.
  2. Клиент подключается к майнинг-пулу и копает. Обычно не Биткоин, поскольку на простых устройствах выгоднее майнить альткоины. Майнинг-пулы самостоятельно подбирают самую выгодную конфигурацию в зависимости от мощности оборудования.
  3. В «Личном кабинете» на сайте пула указаны реквизиты злоумышленника, куда и поступают заработанные средства. К одному аккаунту допускается подключение неограниченного количества устройств.

Как скрыть майнинг

Пулы сейчас популярны среди «черных майнеров». Такой путь избирают самые разные люди, от школьников до профессионалов. На форумах в Даркнете размещаются десятки схем, причем их продают за деньги. Покупатель схемы обязан делиться прибылью с разработчиком.

Почему трудно распознать замаскированные программы для майнинга:

  • вирусный процесс не загружает все ядра процессора, забирая лишь определенную часть мощности;
  • процесс не отображается в «Диспетчере задач» или выглядит как стандартная служба;
  • инсталляция производится тихо, без выведения на экран каких-либо сообщений;
  • распространение происходит совместно с торрентами, патчами, Crack для игр или программ.

Последний вариант выбран хакерами неспроста: антивирусы часто «ругаются» на кряки и патчи, видя в них скрипты для внедрения в другие программы. Пользователь, уверенный, что кряк нужен, может временно отключить антивирус или добавить файл в исключения.

Как проверить тайный майнинг

Чтобы убедиться в отсутствии трояна на компьютере, следует скачать удобную утилиту AnVir Task Manager, отображающую все запущенные в системе процессы с большими подробностями, чем «Диспетчер задач». Достаточно навести мышкой на интересующий процесс, чтобы получить подробные сведения:

  • название;
  • путь запуска;
  • путь в командной строке;
  • разработчик;
  • время запуска процесса;
  • занимаемые ресурсы;
  • пользователь, от чьего имени открыто приложение;
  • ограничение прав доступа;
  • приоритет;
  • файл-«родитель».

Если дважды щелкнуть по строке, откроется еще более детальная информация, в том числе график влияния процесса на загруженность ПК (за день, неделю или 2 часа). Если данные выглядят подозрительно, пора переходить к уничтожению найденных программ для невидимого майнинга.

Вирусные программы тайного майнинга

Чаще всего встречаются три вредоносных программы.

Miner Bitcoin

Пользователи, не занимающиеся криптовалютами и не играющие в требовательные игры, обычно загружают процессор максимум на 20 %. Попавший в систему Miner Bitcoin повышает этот показатель до 80 или даже 100 %.

Программа открывает доступ к скрытым конфиденциальным данным и способствует взлому электронных кошельков. Распространяется угроза нередко через Skype или при скачивании из сомнительных источников документов или изображений.

EpicScale

«Зараза», обнаруженная пользователями uTorrent. Владельцы системы даже не стали отпираться, только заявили, что заработанные путем спрятанного майнинга финансы переводятся на благотворительные цели.

Людей возмутило, что их не уведомили о незаконном использовании ресурсов. Немного позже в аналогичный скандал оказался втянут другой популярный трекер, PirateBay. Самое неприятное, что EpicScale чрезвычайно трудно удалить с компьютера — его скрытые файлы все равно остаются в системе.

JS/Coin Miner

Майнер, внедряющий собственные скрипты в браузер клиента. В группе риска находятся сайты, на которых человек гарантированно проведет много времени: ресурсы с фильмами, флеш-игрушками или книгами. Нагрузка идет на процессор, а обнаружить троян можно в списке скриптов, запущенных на странице.

Способы блокировки

Найти и уничтожить майнинг в браузере помогут следующие меры:

  1. Редактирование файла Hosts.
  2. Установка утилиты удаления майнеров Anti-Web Miner и дополнения для браузера NoCoin.
  3. Путем использования определенных расширений (NoScript) запретить браузеру активировать JavaScript.
  4. Использования дополнений AdBlock или uBlock.

Первый пункт требует дополнительного рассмотрения.

Файл Hosts находится по адресу: C:/WINDOWS/System 32/Drivers/etc. Открывается Блокнотом. В самом конце нужно добавить строчку: 0.0.0.0 coin-hive.com и записать файл. Потом зайти в опции AdBlock и найти кнопку, отвечающую за добавление пользовательских фильтров. В uBlock этот раздел называется «Мои фильтры».

В пустое поле внести: || coin-hive.com/lib/coinhive.min.js и щелкнуть «Добавить». Далее вставить следующее:

||coin-hive.com $third-party

||jsecoin.com $third-party

||miner.pr0gramm.com

||gus.host/coins.js$script

||cnhv.co

Эти действия помогут успешно защититься от невидимого майнинга через браузер.

Защита и меры предосторожности

Современный и часто обновляемый антивирус поможет проверить компьютер и вычислить некоторую часть вредоносных программ для спрятанного майнинга.

Защита от скрытого вирусного майнинга

Для инсталляции сторонних программ нужно обладать правами администратора, хорошим решением будет создать вторую учетную запись, помимо основной, и работать там. Если речь идет о технике от Apple, можно активировать опцию, запрещающую скачивать программное обеспечение откуда-либо, кроме AppStore.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: