Тайная ферма: как обнаружить и удалить скрытый майнер на ПК

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.285
Репутация
11.800
Реакции
61.987
RUB
50
Майнинг требует много ресурсов: мощного оборудования и больших объемов электроэнергии.

Чтобы не тратить на добычу криптовалюты свои средства, злоумышленники создают и распространяют вирусы-майнеры. Эти вредоносы скрытно майнят криптовалюту на устройствах жертв. В статье рассмотрим, какой урон наносят майнеры, как обнаружить и удалить вирус и как избежать повторного заражения.

6dq5wgpb101nqkhra4rfkg8icjddl5wx.jpg


Чем опасны скрытые майнеры и признаки заражения ПК

Скрытые майнеры представляют серьезную угрозу для компьютеров. После незаметного попадания на устройство, вредоносное ПО начинает использовать его ресурсы для добычи криптовалюты. Это может приводить к ряду негативных последствий: от преждевременного выхода из строя вашего ПК до финансовых потерь.

Зараженный компьютер начинает работать значительно медленнее из-за высокой нагрузки на процессор или видеокарту, вызванной майнингом. Снижение производительности затрудняет выполнение обычных задач. Кроме этого, вирус заставляет оборудование работать на пределе возможностей, что приводит к его перегреву и сокращению срока службы устройства вплоть до преждевременного выхода из строя. Особенно опасны постоянная высокая нагрузка для ноутбуков со слабой системой охлаждения.

В первую очередь снижение производительности смартфона или ПК может указывать на наличие в системе скрытого майнера. Необходимо следить за температурой некоторых компонентов: GPU и CPU – графического и центрального процессоров.

Для того, чтобы проверить ПК на наличие майнера, можно завершить все ресурсоемкие задачи – закрыть браузер, игры, фото/видео редакторы и т.д. – и проверить уровень загрузки CPU и GPU с помощью мониторингового ПО – AIDA64 или альтернативы. Если «в простое» загруженность высокая, необходимо найти процессы, которые их нагружают с помощью диспетчера задач. Однако стоит учитывать, что некоторые хитрые майнеры отключаются при запуске Task Manager, чтобы не быть обнаруженными.

Обычно майнер-боты не воруют личные данные, но могут собирать и передавать конфиденциальную информацию, пароли, а также загрузить другой вирус на устройство, например, банковский троян или стилер. Это увеличивает риск кибератак, утечки данных и финансовых потерь.

Распространенные способы доставки майнера на компьютер

Для распространения майнеров используются распространенные алгоритмы доставки вирусов на устройства. Например, при помощи фишинга, спам-рассылок, рекламных баннеров или при зараженных сайтов. Кроме того, пользователь сам может скачать зараженное ПО на свой компьютер, устанавливая игры и приложения с пиратских сайтов.

Так, исследователи из «Лаборатории Касперского» в августе 2024 о скрытом майнере silent-XMRig, который распространялся под видом приложения YouTube для Windows.

Майнер попадает в систему ровно так же, как и все другое программное обеспечение с небольшим нюансом – вы не всегда напрямую санкционируете установку. Из самых очевидных способов – это, конечно, почта и всевозможные облачные сервисы, откуда вы скачиваете файлы по присланным ссылкам. Тут все очевидно, сюда же можно отнести соцсети и фишинговые страницы – механизм тот же. Чуть более экзотический способ – это официальные магазины приложений Google Play или AppStore, или репозитории разработчиков. Тут ситуация сложнее в том сначала злоумышленникам нужно как-то доставить этот вирусное ПО в места, где, вообще-то, есть способы противодействия таким угрозам. Отдельно стоит упомянуть программное обеспечение, загружаемое с пиратских сайтов. Это, как и многие десятилетия раньше, рассадник всевозможных вредоносов и вирусов, в том числе и майнеров.

Иногда киберпреступники используют и необычные способы доставки майнера на устройство. Например, специалисты Центра кибербезопасности компании F.A.C.C.T. о рассылке майнера Xmrig с помощью настроенных автоматических ответов почтового адреса. Письма содержали скан реального счета на оплату оборудования — для маскировки и ссылку на облако вредоносным файлом.

Преступники вели рассылку на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании со скомпрометированных почтовых адресов.

Злоумышленники находят способы обходить средства защиты при доставке майнеров. Эксперты «Лаборатории Касперского» майнер SilentCryptoMiner, который распространялся при помощи сложной многоступенчатой цепочки заражения. При этом киберпреступники использовали агент SIEM Wazuh, что позволяло обходить обнаружение майнера защитными решениями и получить удаленный контроль над устройством.

Как удалить майнер с компьютера

Скрытый майнер потребляет огромное количество ресурсов устройства и влияет на его работу. Заподозрить наличие вируса можно по следующим признакам:
  • компьютер стал медленнее работать, оперативной памяти не хватает, а загрузка процессора достигает 100%;
  • видеокарта перегревается. Пользователи отмечают, что устройства начинают сильнее шуметь — кулеры, чтобы охладить видеокарту, работают быстрее и громче;
  • интернет-трафик тратится активнее.
Чтобы избавиться от майнера, необходимо установить обновления ОС, антивирус и полностью просканировать систему.

В большинстве случаев разработчики майнеров сосредотачиваются на скрытности своего ПО, а не на устойчивости к его удалению.

Майнеры часто маскируются под системные процессы, поэтому при обнаружении такого подозрительного процесса необходимо проверить его подпись в свойствах — у вирусов ее нет, либо она отличается.

Удалить можно, просто указав антивирусу на процесс или файл, назвав его вредоносным. Или попробовать удалить вручную, предварительно завершив процесс, но стоит быть аккуратным – вирусы часто скрываются в системных папках, и неопытный пользователь может случайно навредить системе.

Существует множество видов майнеров, и каждый работает по своему алгоритму, поэтому я не могу говорить о каком-то общем решении этой проблемы. Единственное универсальное решение — переустановить систему. Майнить на мобильных устройствах крайне неэффективно – меньшая производительность при большем расходе ресурса устройства. И это учитывая, что телефон заразить труднее.

Если антивирус не обнаруживает скрытый майнер, то можно попробовать удалить ВПО вручную. Для этого необходимо открыть «Диспетчер задач» и выполнить следующие действия:
  1. Откройте вкладку с процессами.
  2. Найдите процесс, который тратит больше всего ресурсов и подозрительно выглядит.
  3. Перейдите в реестр, для этого нажмите Win+R и введите «regedit» в появившейся строке.
  4. Откройте поиск, нажав для этого CTRL+F. В открывшемся окне введите название вызвавшего подозрение процесса, который вы обнаружили вначале.
  5. Очистите все записи с командами для активации вируса и перезагрузите компьютер.
Помните, что при ручном удалении существует риск повредить важные системные файлы или удалить вирус не полностью.

В трудных случаях может потребоваться помощь экспертов. После обнаружения факта заражения ПК майнером необходимо найти точки закрепления вредоноса в системе и исполняемые файлы. Затем выгрузить экземпляры ПО из памяти, завершить процессы, а потом удалить их и ссылки закрепления из автозагрузки. Обратите внимание, что при выполнении этих процедур вручную есть риск повредить системные файлы, реестр ОС и конфигурации работы служб, что может негативно сказаться на производительности и работоспособности ПК.

В трудных случаях может потребоваться полная переустановка ОС, поэтому угрозу легче предотвратить, чем устранять ее последствия. Для защиты от скрытых майнеров рекомендуется регулярно обновлять антивирусное ПО, следить за тем, что вы скачиваете и устанавливаете, использовать специализированный софт для блокировки майнинга на сайтах и делать резервные копии данных.

Итоги

Скрытые майнеры могут нанести серьезный ущерб вашему устройству, снижая его производительность, ускоряя износ оборудования и увеличивая риск кибератак. Поэтому важно своевременно обнаружить и удалить вирус.

Подобное ВПО зачастую довольно «шумное» (запускает много процессов), и его легко обнаружить средствами защиты. Тем не менее, если по той или иной причине ВПО не было выявлено, стоит обратить внимание на процессы, потребляющие наибольшее количество ресурсов. Также стоит помнить, что современное ВПО с подобными функциями может использовать сразу несколько методов закрепления в скомпрометированной системе и загружать новые экземпляры, попутно распространяясь по IT-инфраструктуре, что может полностью парализовать работу организации. Поэтому, если вы столкнулись с развитой угрозой, — обратитесь к профессионалам.

Ваш компьютер может быть заражен майнером, если устройство стало медленнее работать, видеокарта перегревается, а расход интернет-трафика заметно увеличился.

При подозрении на вирус полностью просканируйте систему антивирусом, очистите реестр и временные файлы, а также удалите подозрительные программы. Чтобы снизить риск повторного заражения, регулярно обновляйте ОС, установите антивирус и соблюдайте правила кибергигиены.



 
  • Теги
    майнер майнинговая ферма удалить скрытый майнер
  • Сверху Снизу