Поиск и уничтожение программ для скрытого майнинга криптовалют

Поиск и уничтожение программ для скрытого майнинга криптовалют
Скрытый майнинг. Найти и уничтожить!

Скрытый майнинг криптовалюты — тема уже не новая, хотя толковые технические инструкции по его обнаружению и обезвреживанию в интернете найти непросто. Присутствует масса публикаций разного плана по тематике майнинга крипты, но без конкретики по поводу программ для скрытого майнинга. Причиной этому стало то, что в тайной добыче цифровых валют не заинтересован лишь владелец компьютерной техники, которую используют без его согласия, не компенсируя за эксплуатацию ни копейки.

Понятие скрытой добычи криптовалюты

Понятие завуалированного майнинга криптовалюты подразумевает подсаживание специальных программ-майнеров на чужой локальный компьютер с Виндовсом либо телефон под управлением системы андроид без уведомления об этом владельца техники. Эти программы, используя часть мощности процессора или видеокарты, добывают коины для другого пользователя, установившего их. Владелец же техники об этом процессе, естественно, ни сном ни духом.

Как правило, нагрузка на комп (процессор или видеокарту) не будет максимальной, чтобы не вызывать подозрений. И если человек обладает достаточно мощной современной техникой, то и разницы работы со скрытыми майнерами и без них он не заметит. Это условие обычно учитывается при создании программных продуктов для тайной добычи криптовалюты.

Первая информация о попытках такого вида добычи криптовалют злоумышленниками начала появляться в далёком 2011. Спустя два года, уже в 2013 году, фиксировалось массовое поражение персональных компов программами-добытчиками посредством подсадки через Skype. Фиксация отмечалась во многих странах, троянские и различные другие виды вирусов  запускали процесс майнинга, а также в некоторых случаях получали доступ к криптовалютным кошелькам жертв атаки.

Но самым громким прецедентом массового заражения скриптами подпольного майнинга считается попытка дополнительного заработка разработчиками μTorrent. Это было осуществлено путём внедрения в софт замаскированного майнера EpicScale.

Принцип работы

Заражение пользовательского компьютера происходит по очень простой схеме. При открытии какого-нибудь загруженного из сети файла провоцируется установка специальной программы-клиента, которая и выполняет коннекцию машины с одним из майнинг-пулов, и начинается добыча цифровых монет. Это необязательно самая дорогая и популярная валюта — Биткоин. Скорее, даже наоборот, чаще всего стараются таким образом добывать другие монеты, так как на простых пользовательских компьютерах выгоднее майнить менее раскрученную крипту. Довольно часто майнинг-пулы самостоятельно проводят анализ и подбирают наиболее подходящую валюту для конкретной техники.

Выплаты добытой валюты производятся на реквизиты так называемого «предпринимателя», которые он указывает в аккаунте. Подключать же к личной учётной записи он может неограниченное число единиц компьютеров. Никто не будет требовать доказательств права на собственность либо подтверждения согласия других владельцев. Децентрализация сети позволяет действовать таким образом.

Понятие скрытый майнинг

Исходя из этого, можно сделать вывод, что пулы являются идеальным вариантом для создания личного ботнета — сети для майнинга. Занимаются подобным «бизнесом» очень многие: от профессионалов до продвинутых пользователей, которые посещают «дарк-форумы», где сливаются различные схемы такого вида заработка и можно скрытый майнинг купить от 500 рублей, а подчас и даром скачать.

Причиной символической оплаты является выстраиваемая схема, по которой пользователь, распространяющий программу для майнинга, получает на свой счёт процент от каждого нового адепта. Жертвами такого подхода обычно становятся игроманы с мощной техникой, играющие в онлайн-игры типа «World tanks». Хотя практически любой пользователь может быть «осчастливлен» таким подарком от желающих заработать на майнерах.

Подсадка тайного добытчика криптовалюты осуществляется в основном тремя способами:

  • Через удалённый доступ без ведома хозяина техники.
  • Непосредственное размещение программы-майнера в системе (крайне редко).
  • Через открытые и запущенные файлы.

Как найти программу для скрития майнингаМайнеры распространяют вредоносное ПО таким образом, что пользователь может скрытый майнинг скачать через кряки, торренты, а также обычные файлы в виде картинок или текстовых документов, к которым привязаны файлы майнеров, размещённые в одном почтовом сообщении. После запуска пользователем кряка или же открытия заражённого письма майнер устанавливается в систему жертвы в тихом режиме и может начать работать, маскируясь под процесс какой-нибудь службы Виндовс или же вообще никак не отображаясь.

А во время работы при большой нагрузке скрипт скрытого майнинга производит приостановку работы внедрённой программы, чтобы не вызвать подозрений у владельца заражённой техники. Поэтому выявить его деятельность и обнаружить местоположение в системе довольно сложно. В случае же обнаружения и удаления программы майнинга защитой (антивирусом) либо вручную, исходный файл, сидящий в глубине системы, будет восстанавливать майнер и снова запускать процесс добычи.

Такая схема позволяет функционировать подобным троянам очень долго и на большом количестве компов, принося стабильный доход распространителям софта для майнинга криптовалюты, популярной в 2018 году, например, биткоина, эфириума, лайткоина и других.

Обнаружение и удаление.Стандартный подход

Большинство инструкций о том, как найти и уничтожить скрытый майнинг, говорят практически одно и то же. Если отмечается торможение в работе компьютера, то есть большая вероятность заражения майнером, грузящим либо центральный процессор (CPU), либо видеокарту. Рекомендация о том, что делать, сводится к двум пунктам:

  • Обратить внимание на Диспетчер задач системы.
  • Просканировать антивирусами с целью обнаружения троянов.

Это, конечно, всё верно, но подобные меры являются поверхностными и не всегда могут дать нужный результат против майнеров. Такими способами можно было избавиться от простеньких программок образца 2010 года, но современные скрытые проги для добычи цифровой валюты обладают способностями, усложняющими как их обнаружение с удалением, так и подборку средств для того, чтобы защититься против несанкционированной подсадки. К таким аспектам относятся:

  • Понятие скрытой добычи криптовалютыСпособность запускаться нестандартными методами.
  • Обладание двумя процессами, способными при их принудительной остановке перезапускать друг друга.
  • Вызов перезагрузки системы при попытке удаления из автозагрузки или получения доступа к файлам майнера.
  • Наличие процессов, дестабилизирующих работу установленных антивирусов, предназначенных защитить технику от внешних угроз.

Набор подобных свойств у современных майнеров делает крайне затруднительным процесс избавления от непрошенных гостей простым сканированием и стандартной обработкой антивирусными программами. Здесь нужен комплексный подход.

Обнаружение и удаление.Комплексный подход

Прежде всего нужно учесть, что данный вариант можно использовать не только для того, что бы найти и удалить майнера, но и для борьбы с любыми троянами и всевозможным шпионским программным обеспечением, попавшем на комп с системой Виндовс.

Первый шаг — фиксация показателей

Первым шагом проверки на скрытый майнинг является необходимость взятия под контроль всего, что происходит в операционке компьютера. Для того чтобы проверить систему, скачивается мониторинговое приложение AIDA64. После того как программа запущена нужно открыть настройки и перейти в пункт OSD-меню, в котором отмечаются:

  • температура ядер процессора;
  • показатели температурного режима видеокарты;
  • их уровни загрузки;
  • размер занятой оперативки (RAM).

После нажатия кнопки «Применить» на рабочем столе перед глазами появляется гаджет с отображёнными выбранными показателями диагностируемого компьютера. После этого отключают всё, что можно, из работающих программ и процессов системы. И если показатели, зафиксированные изначально, не изменились, появляется повод задуматься о скрытых процессах и программах, их запустивших.

Второй этап

Как удалить скрытый майнингЭто скачивание AnVir Task Manager, он станет альтернативой стандартного Диспетчера задач. Мощная диагностическая утилита сможет помочь в выявлении подозрительных процессов. Любая неопределённая строка в интерфейсе программы подсвечивается красным, а о каждом процессе можно получить информацию по максимуму, что в принципе отсутствует в стандартном диспетчере файлов. Кроме этого AnVir Task Manager занимается поиском скрытых процессов.

Майнеры могут маскироваться под другие процессы, а некоторые из них даже отключаться при открытии Диспетчера задач. Но вероятность поймать его при помощи софта AnVir Task Manager всё же достаточно высока. Для этой цели необходимо:

  • Включить отображение скрытых папок и процессов.
  • Отключать по очереди все процессы, которые не повлияют на стабильность работы системы.
  • По оставшимся запущенным процессам выяснить всю возможную информацию (в утилите есть функция, позволяющая находить такую инфу с помощью глобальной сети и проверки на ресурсе VirusTotal).
  • По каждому процессу обращают особое внимание на то, сколько он использует мощности центрального процессора, нагружает видеокарту и съедает оперативной памяти.

Для поиска процессов, осуществляющих нагрузку видеокарты, дополнительно можно использовать диспетчер ProcessExplorer. Он не требует дополнительных настроек для отображения данного показателя.

Если найдена подозрительная активность, то не стоит немедленно убивать процесс и чистить папки, так как есть вероятность его восстановления исходным кодом, спрятанным в другой месте памяти компьютера. Стоит только приостановить потенциально опасный процесс и запомнить место расположения файлов, связанных с ним.

Обнаружение скрытого майнинга

Найденные файлы проверяются на VirusTotal и только после положительной реакции на сайте об угрозе начинают работу по ликвидации нежелательного софта.

Очистка системы

Для надёжности лечения работы желательно проводить в безопасном режиме. Многие вирусы не дают себя обезвредить в обычном системном режиме, но в безопасном это удаётся сделать в большинстве случаев. Для изменения режима работы системы при запуске несколько раз нажимают F8 и производят выбор подходящего варианта.

После этого запускаются по очереди лечащие антивирусные утилиты, которые предварительно качаются в портативном виде:

  • Web CureIt!;
  • Kaspersky Virus Removal Tool;
  • COMODO Cleaning Essentials;
  • Junkware Removal Tool;
  • AdwCleaner.

Специальные программы для майнингаБольшинство софтовых сборок для скрытого майнинга применяют так называемые руткины — программки для зачистки следов работы процессов. Поэтому для уничтожения таких утилит вредоносного обеспечения стоит ещё применить и TDSSKiller.

Если после выполненных операций нет полной уверенности в том, что в системе работал скрытый майнер и он обезврежен, можно воспользоваться программой AVZ и помощью профи на специализированных форумах.

После того как программа запущена в режиме «Исследование системы» получают файл avz_sysinfo.htm, который нужно залить на спецфорум и обратиться с просьбой о помощи. В ответе можно получить скрипт для лечения, который запускается в AVZ функцией «Выполнить скрипт».

При успешном исходе остаётся только почистить реестр вручную, но быстрее и проще — при помощи утилит CCleaner или AuslogicBootSpeed. Эти программы удалят последние следы пребывания чужаков, замедляющих работу компьютера.

Впрочем, считать замаскированный майнинг особо опасной угрозой не совсем правильно. Но всё равно это является нечестной игрой, так как кто-то без разрешения использует частную собственность для личного заработка, при этом не заплатив ни копейки владельцу. Поэтому при малейшем подозрении на то, что техника стала работать медленнее, а также появлении сбоев в системе, стоит провести комплекс мероприятий по диагностике и чистке с целью избавления от непрошенных гостей.

Ссылка на основную публикацию