Обнаружить майнер троян на windows 10

Признаки майнинга

Для начала рекомендуется проверить, есть ли на компьютере вредоносное ПО. Существует несколько признаков, которые указывают на то, что происходит майнинг криптовалюты без согласия пользователя. Причем эти процессы губительно влияют на работу аппаратных компонентов устройства, а также замедляет производительность системы.

В первую очередь закройте все приложения и браузер, затем проверьте загруженность компонентов через «Диспетчер задач». Посмотрите данные на вкладке «Процессы», чтобы понять, насколько активно работает видеокарта, центральный процессор, жесткий диск и оперативная память.

Читайте также: Методы запуска «Диспетчера задач» в Windows 10

В течение нескольких минут понаблюдайте за активностью процессов в режиме полного бездействия. Если даже в этом случае «железо» сильно нагружается, то, скорее всего, работает майнер.

При этом обратите внимание на то, что нагрузку на видеокарту отображают только новые версии «Диспетчера задач», доступные в Windows 10 и Windows 11. Многие майнеры как раз задействуют это комплектующее для проведения транзакций или создания новых блоков, значит, в старых ОС через штатное средство можно пропустить активность вредоносной программы и подумать, что она отсутствует. К тому же злоумышленники не стоят на месте и не зря скрытые майнеры называются «скрытыми». Они могут завершать свое действие при открытии «Диспетчера задач». Мы бы рекомендовали осуществлять проверку нагрузки на комплектующие при помощи сторонних мониторов, лучшим из которых является Process Explorer.

Скачать Process Explorer с официального сайта

1. Можете не беспокоиться о безопасности Process Explorer, поскольку данная программа была разработана одним из сотрудников Microsoft и сейчас распространяется бесплатно на официальном сайте с документацией. Собственно, туда и нужно перейти, чтобы найти кнопку «Download Process Explorer» и скачать ПО на свой компьютер.



2. Установка софта не требуется, поскольку вы получите архив со всеми необходимыми файлами. Просто распакуйте его в любое удобное место и запустите исполняемый файл «procexp64».



3. Теперь давайте ознакомимся с нагрузкой на оперативную память и процессор. Колонки с необходимыми данными монитора отображаются по умолчанию, а нажатие по одной из них включает сортировку. Соответственно, нужно искать те процессы, которые максимально грузят CPU или ОЗУ, если нас интересует определенный тип майнеров, которые не задействуют видеокарту.



4. Посмотрите внимательно на все значения и сравните их с названиями процессов. Если заметите подозрительное название, стоит задуматься, откуда был запущен этот процесс, является ли он системным или, как минимум, дружелюбным.



5. Рассмотрим самое интересное — обнаружение скрытого майнера по нагрузке на видеокарту. Для этого нужно немного изменить стандартный вид Process Explorer, чтобы добавить колонку с данными. Вызовите меню «View» и нажмите по пункту «Select Columns».



6. В новом окне переключитесь на вкладку «Process GPU» и активируйте галочку возле пункта «GPU Usage». Это добавит колонку с информацией о нагрузке на видеокарту.



7. Теперь вы можете запустить игру или программы, которые обычно находятся в активном состоянии, чтобы проверить, какие еще процессы запустятся вместе с ними. Чаще всего обычный исполняемый файл игры или ПО можно игнорировать, а обращать внимание нужно на появление дополнительных задач, которые тоже оказывают нагрузку на GPU.



8. Если вас интересует более длительная проверка нагрузки определенных процессов на видеокарту, понадобится открыть окно мониторинга и приступить к стандартному использованию компьютера.



9. В нем переключитесь на вкладку «GPU» и следите за тем, как будет изменяться нагрузка на GPU. Если сама игра или программа не потребляет много мощности видеокарты, но при этом она все равно загружена на 100% или задействована вся память, стоит подозревать именно эти приложения или софт, а также связанные с ними процессы.

Дополнительно обратим внимание тех пользователей, кто думает, что какая-то игра, скачанная из неофициальных источников, может запускать скрытый майнер на вашем компьютере. Проверка такого типа заражения производится еще одним методом. Сначала понадобится найти системные требования игры и сравнить их со своими комплектующими, оценив, какая производительность должна быть при ее запуске. Сделать это можно как в официальных магазинах игр, так и на сторонних сайтах.

Подробнее: Проверка игр на совместимость с компьютером

Следующий этап — определение нагрузки на железо во время самой игры. Осуществляется это при помощи любой программы для мониторинга системы в играх. Если видеокарта или процессор необоснованно нагружены на 100%, например в слабых играх, которые должны «летать» на вашей сборке, стоит задуматься о том, не используется ли вместе с игрой скрытый майнер. О его обнаружении мы и поговорим далее.

Читайте также: Программы для мониторинга системы в играх

Способ 1: Антивирусные программы

Один из наиболее эффективных методов избавиться от майнера – это использование специальных программ для удаления вирусов с компьютера. Как правило, антивирусы принимают майнинговый софт за вредоносный и избавляются от него таким же образом, как и от обычных вирусов. В нашем отдельном материале описаны все способы проверки и удаления вредоносного ПО с помощью сторонних и встроенных средств, а также для профилактики.

Подробнее: Борьба с компьютерными вирусами

После того как проверка на вирусы с помощью специализированного софта завершена, рекомендуется очистить реестр системы, поскольку деятельность майнера могла вызвать различные системные ошибки, которые необходимо исправить для стабильной работы Windows 10. Обычно для этих целей используются отдельные приложения, о которых более подробно написано в нашей отдельной статье.

Подробнее: Как очистить реестр Windows от ошибок

В некоторых случаях и стандартный Защитник Windows тоже может оказаться полезным. Относится это как раз к тем играм, которые были скачаны их сторонних источников. Если они нелицензионные, антивирус и так в большинстве найдет какие-то угрозы, воспринимая их за трояны или другие типы вирусов. Однако нас интересует не это, а какие именно файлы он посчитает вирусами. Возможно, какой-то из них и является скрытым майнером, а не модифицированной библиотекой, которая нужна для запуска игры. Осуществляется такая проверка следующим образом:

1. Найдите корневой каталог с этой нелицензионной игрой и щелкните по нему правой кнопкой мыши. Из контекстного меню выберите пункт «Проверка с использованием Microsoft Defender».



2. Проверка начинается сразу же, поэтому вам остается только ожидать ее завершения.



3. Если угрозы были найдены, вы будете уведомлены об этом и сможете перейти в раздел «Все недавние элементы». Посмотрите детальную информацию о файле, тип угрозы и действие, которое Защитник выполнил автоматически (если потом окажется, что это не скрытый майнер, можно задать параметр игнорирования угрозы).



4. Самая важная информация — название зараженного файла. Скопируйте или запомните его, после чего осуществите поиск в интернете или запустите игру и посмотрите, будет ли создан процесс, связанный именно с этой библиотекой, и нагрузит ли он видеокарту либо процессор.

Способ 2: «Диспетчер задач»

Еще один способ избавиться от майнера в Windows 10 – это самостоятельно определить подозрительный процесс, затем очистить все данные, связанные с ним, в «Редакторе реестра». Однако это непростая задача, требующая от пользователя внимательности и уверенности в том, что он делает. В противном случае из реестра можно удалить что-то важное, нарушив работу Windows. Рекомендуется выполнять все точно по инструкции, чтобы избежать нестабильной работы операционной системы, а также обратиться к данному варианту, если другие способы из статьи не оказали должного эффекта и проблема не была устранена:

1. Запустите «Диспетчер задач». На вкладке «Подробности» найдите процесс, который больше всех остальных нагружает систему. Для упорядочивания по степени загрузки нажмите на вкладку «ЦП», чтобы узнать нагрузку на процессор, или «Память» для определения загруженности ОЗУ. Важно проверять в интернете предназначение каждого процесса (ищите по его названию), чтобы случайно не избавиться от важного системного процесса. Обычно в названиях майнеров присутствует множество различных непонятных символов.



2. Когда подозрительный процесс оказался найден, скопируйте его название, затем создайте точку восстановления системы, чтобы можно было вернуть исходное состояние, если допустите ошибку при выполнении следующих шагов.

   Подробнее: Инструкция по созданию точки восстановления Windows 10



3. Запустите «Редактор реестра». Это стандартное приложение, поэтому его можно найти через поиск в «Пуске».



4. Выделите в левой части слово «Компьютер», чтобы осуществить поиск по всей операционной системе. Нажмите на вкладку «Правка», откуда вызовите функцию «Найти».



5. Введите в специальную строку название подозрительного процесса и нажмите на кнопку «Найти далее».



6. Если были найдены совпадения в записях, то их нужно удалить. Как правило, там располагаются те процессы, которые автоматически запускают майнер. Нажмите по нему правой кнопкой мыши и выберите пункт удаления. Перед удалением еще раз убедитесь в том, что удаляете действительно вредоносный файл. Для этого можно, например, через левую панель посмотреть название папки, в которой расположен потенциально опасный объект, и загуглить ее название.

После процедуры потребуется перезагрузить систему. Если теперь с нагрузкой ПК все в порядке, что можно проверить через «Диспетчер задач», значит, действия выполнены верно. В противном случае откатите систему до исходного состояния, используя созданную в Шаге 3 точку восстановления.

Допустим, через «Диспетчер задач» не удалось найти подозрительный процесс и отследить его активность. В таком случае снова поможет Process Explorer, о взаимодействии с которым уже было сказано выше. Если вы обнаружили подозрительные задачи, которые нагружают процессор или видеокарту, можно оперативно перейти к их поиску через интернет. Для этого в самом мониторе щелкните по процессу правой кнопкой мыши и из контекстного меню выберите пункт «Search Online».

Ознакомьтесь с выдачей в браузере, чтобы понять предназначение этого процесса и уровень его безопасности. Если окажется, что это действительно скрытый майнер, понадобится выполнить действия для его удаления. Скорее всего, сайт, на котором вы найдете информацию о данном вредоносном ПО, предоставит сведения о пути его нахождения или записи в реестре, которая отвечает за запуск майнера. Все это придется найти и удалить, а затем еще раз запустить CCleaner или используемый антивирус. Соответственно, программу или игру, которая была связана с этим скрытым майнером, тоже лучше удалить, иначе процесс вместе с файлом может создаться заново.

Способ 3: Защита от браузерного майнинга

Важно уметь защитить свой компьютер, в том числе и браузер, от майнеров, и для этого существует несколько способов, о которых мы расскажем далее. А по ссылке ниже вы сможете прочитать инструкцию в ситуации, когда подозреваете, что майнер уже есть в веб-обозревателе. Если при его использовании компьютер начинает виснуть и тормозить, есть вероятность того, что кто-то неправомерно добывает криптовалюту через браузер.

Читайте также: Проверка браузера на вирусы

Вариант 1: Отключение JavaScript

Отключение JavaScript — очень спорный момент. С одной стороны, это рекомендуется делать в целях безопасности, но с другой – появится проблема с открытием некоторых сайтов или запуском различных сценариев. Однако если вы периодически посещаете сомнительные в плане безопасности сайты, можете на время выключать данную функцию, активируя ее обратно для привычного интернет-серфинга. На примере Яндекс.Браузера разберем, как отключить JavaScript:

1. Нажмите на три горизонтальные полоски на верхней панели и из меню выберите пункт «Настройки».



2. На вкладке «Сайты» найдите строку «Расширенные настройки сайтов» и нажмите на нее.



3. В блоке «JavaScript» задайте значение «Запрещен».

Принцип действия в различных браузерах может отличаться, но в большинстве обозревателей реализована поисковая строка в настройках, что позволит быстро отыскать параметр.

Вариант 2: Расширение для браузера

Для безопасности пребывания в сети рекомендуется устанавливать специальные расширения, которые блокируют подозрительные ссылки и назойливую рекламу. Например, такие популярные дополнения, как AdBlock Plus или uBlock Origin предусматривают в списке фильтров сервера, к которым обращаются криптомайнеры. Кроме того, если вы не против смотреть рекламу и поддерживать используемые сайты, всегда можете настроить белый список — в результате этого действие расширения будет отключаться каждый раз, когда вы заходите на доверенный интернет-ресурс.

Существуют специальные расширения, которые предназначены для блокировки майнеров в браузере, причем разработчики регулярно и оперативно обновляют базу запрещенных скриптов, использующих ресурсы ПК для добычи криптовалюты. К таким дополнениям относится MinerBlock, который доступен для бесплатного скачивания в интернет-магазине Google Store.

Скачать MinerBlock из интернет-магазина chrome

1. Достаточно нажать на кнопку установки и подтвердить действие во всплывающем окне. После инсталляции он автоматически начинает работу, защищая браузер от майнера. Доступны настройки расширения, а также возможность добавлять сайты в исключения.



2. Чтобы отключить работу расширения, нажмите на его иконку на верхней панели, затем воспользуйтесь кнопкой «Disable Blocker».

Вариант 3: Специализированный софт

Специальное приложение Anti-WebMiner работает с файлами hosts, блокируя различные сценарии веб-майнинга. Если к домену обращаются такие скрипты, оно перенаправляет их. Когда программа закрывается, изменения удаляются, возвращая состояние файлов к изначальному.

Скачать Anti-WebMiner с официального сайта

1. Скачайте и установите программу. В главном окне нажмите на кнопку «Protect», которая запускает работу блокировщика. После этого можно посещать любые сайты в интернете. Если ресурс окажется подозрительным, то утилита заблокирует доступ к нему.



2. Для завершения работы программы достаточно кликнуть по кнопку «UnProtect» внизу или закрыть окно.

Во время онлайн-серфинга есть риск заразить компьютер скрытым вирусом-майнером. Он может самостоятельно использовать ПК или ноутбук для майнинга криптовалюты. Причем антивирус не всегда эффективен против такой программы, и от неё бывает сложно избавиться. 

Что такое скрытый майнинг-вирус?

Вредоносные программы-майнеры относятся к троянской группе вирусов. Они незаметно проникают в систему Windows и начинают использовать аппаратные ресурсы компьютера или ноутбука для добычи криптовалюты. 

Как только пользователь обнаружил, что такой майнинг выполняется с его ПК, необходимо сразу избавиться от вредоносной программы. 

Чем опасен вирус-майнер для ПК?

Если троян находится в системе Windows, то использование компьютера или ноутбука становится небезопасным. Любые пароли могут быть вычислены, а данные — удалены или украдены. 

Если это троянская программа для майнинга, то она еще и негативно влияет на видеокарту и процессор. Работать на перегруженном ПК становится некомфортно. К тому же скрытый майнинг приводит к ускоренному износу оборудования. 

Особенно чувствительны к таким нагрузкам ноутбуки. Они могут выходить из строя уже через несколько часов фонового майнинга. Вот почему нужно как можно скорее избавляться от скрытых программ. 

Виды скрытых вирусов для майнинга

Вирусы для майнинга можно разделить на две основные группы.

Скрытый криптоджекинг

Такой вирус не загружается на ПК или ноутбук, а существует в виде встроенного в сайт онлайн-скрипта. 

Когда пользователь попадает на зараженную страницу, скрипт активируется и ресурсы компьютера или ноутбука начинают использоваться для майнинга криптовалюты. А поскольку майнинг-программа встроена в сайт, антивирус не может ее удалить. 

Обнаружить, что вредоносный скрипт начал работать против компьютера, можно по возросшей загрузке процессора. 

Классический майнинг-вирус

Такой вирус имеет вид архива или файла. Он устанавливается незаметно, против желания пользователя. Если его не удалить, он будет запускаться при каждом включении компьютера.

Как правило, у такой программы только одна функция – использовать ПК для майнинга криптовалюты. Но иногда можно «подхватить» скрытый вирус, который проверяет кошельки пользователя и переводит его средства на счета хакера. 

Как понять, что ПК заражен?

Чтобы удалить вирус-майнер, его необходимо распознать. Проверьте компьютер антивирусом и выполните поиск зараженных файлов, если обнаружены такие симптомы:

• Перегрузка видеокарты. Распознать эту проблему можно по внешним признакам: GPU начинает сильно шуметь (из-за интенсивного вращения кулера) и становится горячей на ощупь. Также определить нагрузку можно при помощи бесплатной программы GPU-Z.
• Медленная работа ПК. Когда компьютер или ноутбук тормозит, нужно через диспетчер задач проверить нагрузку процессора. Если этот показатель на уровне 60% и более, то система Windows может быть заражена вирусом-майнером. 
• Повышенный расход RAM. Скрытый майнер использует все доступные ресурсы компьютера, в том числе оперативную память. 
• Удаление файлов, информации или настроек против желания пользователя и без его одобрения.
• Повышенный расход онлайн-трафика. Скрытый майнер активен постоянно. А иногда трояны могут быть частью ботнета – хакерской сети, которая используется для DDOS-атак против внешних систем. 
• Замедление работы браузера. При поиске и посещении сайтов происходит отключение онлайн-соединения или удаление вкладок. 
• Диспетчер задач находит процессы с незнакомыми названиями, например «asikadl.exe».

Как найти и удалить скрытый вирус-майнер?

Если обнаружен хоть один из описанных симптомов, необходимо проверить систему Windows антивирусом. Он помогает бороться против вредоносного софта и удалять его.

После проверки антивирусом стоит запустить программу Ccleaner или её аналог. Она находит и убирает из системы Windows весь мусор, который работает против неё. Для завершения процесса удаления нужно перезагрузить компьютер.

Иногда появляются вирусы для майнинга, которые могут добавлять себя в список доверенных программ. Тогда антивирус не сможет их найти и удалить. 

Также новые майнеры умеют обнаруживать диспетчер задач и отключаться до того, как он появится на экране. Но в любом случае нужно проверять все процессы. 

Ручной поиск скрытого майнера

Для ручной проверки компьютера откройте реестр:

1. Нажмите сочетание клавиш Win+R.
2. В появившемся окне введите слово regedit.
3. Нажмите «ОК». 

В открывшемся реестре можно обнаружить подозрительный процесс. 

Для проверки необходимо:

1. нажать Ctrl+F;
2. в строке поиска ввести название вредоносной задачи;
3. нажать кнопку «Найти». 

Таким образом можно обнаружить процессы, которые расходуют ресурсы. Часто у них названия в виде случайного набора символов.

После этого нужно избавиться от всех найденных подозрительных записей и перезагрузить компьютер. Если скрытый майнинг обнаружится повторно, значит, избавиться от вируса не удалось и нужно проверять компьютер другими способами. 

Поиск скрытого майнера через планировщик задач

Чтобы вычислить скрытый майнинг через планировщик в Windows 10:

1. нажмите Win+R;
2. введите taskschd.msc в поле «Открыть»;
3. нажмите «ОК».

В окне планировщика заданий нужно найти и открыть папку «Библиотека планировщика заданий». В ней будут процессы, которые загружаются автоматически. Если кликнуть по любому из них, то в нижней части окна отобразится информация о задаче. 

Здесь нужно проверить вкладки «Триггеры» и «Действия»:

• В «Триггерах» указано, когда и как часто запускается процесс. Обратите внимание на те, что активируются при каждом включении ПК. 
• В «Условиях» можно найти информацию о том, за что именно отвечает этот процесс: например, за обнаружение и загрузку определённой программы. 

Подозрительные процессы необходимо убрать. Для этого нужно кликнуть правой кнопкой мыши по названию задачи и выбрать пункт «Отключить». При этом удаления майнинг-вируса не происходит, но он не сможет полноценно работать. 

Остановив подозрительные задачи, нужно проверить загрузку процессора. Если он начал работать нормально, то найденные программы нужно убрать из автозагрузки. Удаление выполняется так же, как и отключение, только кликнуть нужно на пункт «Удалить».

Более тщательно проверить автозагрузку можно с помощью бесплатной программы AnVir Task Manager. Она ищет и проверяет задачи, которые запускаются автоматически.

Для обнаружения и удаления более сложного вредоносного софта нужно загрузить антивирус, например программу Dr.Web. Она выполняет глубокую проверку системы Windows. Через ее интерфейс можно избавиться от любых подозрительных файлов и процессов (не только от скрытого майнинга).

Перед тем как удалять вирус, лучше создать бэкап для восстановления системы.

Защита компьютера от майнинг-вирусов

Защитить ПК помогут следующие рекомендации: 

• Установите на ПК образ чистой и проверенной системы Windows. Если обнаружены признаки заражения скрытым майнером, нужно запустить процесс ее восстановления. Это можно делать каждые 2—3 месяца. 
• Установите антивирус. Важно регулярно обновлять антивирусные базы. 
• Не забывайте проверять информацию о программах перед их скачиванием. Так можно обнаружить вирус для майнинга еще до того, как он попадет на ПК. 
• Проверяйте антивирусом все скачанные файлы и при обнаружении вируса удаляйте его. Так можно избавиться от программ скрытого майнинга, которые уже скачаны, но еще не запущены. 
• Работайте онлайн с включенными антивирусом и брандмауэром. Если софт обнаружит опасный сайт, лучше его закрыть. 
• Внесите опасные сайты в файл hosts. Для этого можно использовать списки с портала GitHub. В нём есть раздел с информацией для обнаружения браузерного майнинга. Там же размещена инструкция, как защититься от вирусов. 
• Не выполняйте действия от имени администратора. Если таким образом запустить программу-майнер, то она получит максимальный доступ к ресурсам ПК и избавиться от нее будет очень сложно.
• Разрешите запуск только проверенных программ. Для этого в системе Windows есть утилита secpol.msc. В ней можно создать политику проверки и ограниченного использования ПО. 
• Установите разрешение на использование только определенных портов. Соответствующие настройки находятся в меню антивируса и брандмауэра.
• Установите на роутере надежный пароль, а также уберите его обнаружение и удаленный онлайн-доступ.
• Запретите другим пользователям поиск и установку программ. 
• Поставьте пароль к системе Windows, чтобы исключить возможность несанкционированного использования ПК.
• Не заходите на сомнительные сайты без онлайн-сертификатов. Безопасные ресурсы можно узнать по значку ssl (https).
• Заблокируйте скриптовые коды JavaScript, которые находятся в настройках браузера. Так можно убрать возможность запуска вредоносного кода, подключающегося онлайн через браузер. При этом подвижные элементы сайтов тоже перестанут корректно определяться и отображаться. 
• Включите обнаружение и защиту против майнинга в браузере Chrome. Это можно сделать в настройках в разделе «Конфиденциальность и безопасность».

В качестве дополнительной меры защиты можно установить фильтры поиска и удаления рекламных баннеров – AdBlock, uBlock и прочие.

Где безопасно купить криптовалюту? ТОП-5 бирж

Для безопасной и удобной покупки криптовалют с минимальной комиссией, мы подготовили рейтинг самых надежных и популярных криптовалютных бирж, которые поддерживают ввод и вывод средств в рублях, гривнах, долларах и евро.

Надежность площадки в первую очередь определяется объемом торгов и количеством пользователей. По всем ключевым метрикам, крупнейшей криптобиржей в мире является Binance. Платформа поддерживает банковские карты Visa/MasterCard и платёжные системы Advcash, Payeer, QIWI.

Специально для новичков мы подготовили подробный гайд: Как купить биткоин на криптобирже за рубли?

Рейтинг криптовалютных бирж:

Критерии по которым выставляется оценка в нашем рейтинге криптобирж:

• Надежность работы — стабильность доступа ко всем функциям платформы, включая бесперебойную торговлю, ввод и вывод средств, а также срок работы на рынке и суточный объем торгов.
• Комиссии – размер комиссии за торговые операции внутри площадки и вывод активов.
• Дополнительные возможности и сервисы — фьючерсы, опционы, стейкинг, NFT-маркетплейс.
• Отзывы и поддержка – анализируем отзывы пользователей и качество работы техподдержки.
• Удобство интерфейса – оцениваем функциональность и интуитивность интерфейса, возможные ошибки и сбои при работе с биржей.
• Итоговая оценка – среднее число баллов по всем показателям, определяет место в рейтинге.

Дата публикации 21.11.2022
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.

Майнинг – процесс добычи криптовалюты путём предоставления вычислительных способностей компьютера. Ранее цифровую валюту добывали на ПК, сейчас мощности рядового компьютера для получения достойного дохода недостаточно, и майнерам приходится собирать фермы или арендовать производительное оборудование.

Злоумышленники придумали эффективный способ заполучить криптовалюту – вирус-майнер. Это узкоспециализированная вредоносная программа, которая внедряется в систему пользователя, в фоновом режиме (без его ведома) задействует вычислительные мощности процессора или видеокарты (реже – SSD) для генерирования цифровой валюты.

В публикации разберёмся, по каким признакам можно определить, что на компьютере трудится майнер. Расскажем, как он работает, откуда берётся, какую опасность представляет для компьютера. Покажем, как найти, удалить вирусы-майнеры и предотвратить заражение системы ими.

Что такое скрытый майнинг и его особенности

Криптомайнер или скрытый майнер – вредоносное программное обеспечение для ПК, которое задействует вычислительную мощность компьютеров жертв без их ведома для майнинга цифровой валюты злоумышленнику. Первый криптомайнер Coinhive создан в 2017 году, это был JavaScript, встроенный в код сайта.

Различают два вида майнеров:

• Классический или исполняемый файл – распространяется под видом взломанного приложения, кряка, патча, русификатора для него. Иногда инсталлируется в процессе установки софта. После внедрения запускается и начинает свою деятельность, также прописывает себя в автозагрузку Windows.
• Криптоджекинг – скрипт для выполнения в интернет-обозревателе – более тонкий способ получения цифровой валюты. Майнер выполняется в виде скрипта (сценария), встроенного в код веб-сайта. Загруженный скрипт выполняется в браузере и начинает майнить криптовалюту для владельца сайта. Иногда веб-матер уведомляет о наличии на его ресурсе майнера.

Принцип работы скрытого майнинга

Программы для скрытой добычи цифровой валюты редко воруют конфиденциальную информацию пользователей, не подключают их компьютеры к бот-сети для организации DDoS-атак. Они в фоновом режиме (без графического интерфейса) или посредством социальной инженерии внедряется в операционную систему ПК, получают доступ к аппаратным ресурсам (центральный процессор, видеокарта, накопители, оперативная память) компьютера, задействуют их потенциал для майнинга криптовалюты автору вируса.

Чем опасен скрытый майнер?

Криптомайнер задействует центральный процессор, видеокарту и твердотельный накопитель (одно устройство, несколько или все сразу) для добычи цифровой валюты. Вирусы оборудование обычно не жалеют – нагружают его работой почти под 100%, CPU и GPU начинают работать на пределе физических возможностей, поэтому ПК начинает сильно тормозить. Также компоненты быстро нагреваются, вентиляторы вращаются активнее, сильнее шумят. По этим признакам на компьютере можно обнаружить майнер.

Зачастую приложение для майнинга состоит из нескольких модулей, задача одного из них – маскировка работы вредоносного ПО. Он сканирует активность процессов и приостанавливает майнинг при запуске тяжелых приложений: игры, редакторы. Криптомайнеры могут снабжаться средствами для маскировки в Диспетчере задач, скрытия активности от антивирусов, иногда отключают последние.

Следующая опасность майнеров – не все антивирусы способны обнаруживать и удалять их.

Хакерские способы заражения вирусом

Способов распространения криптомайнеров много. В основном злоумышленники обманывают жертв, пользуются их доверием, отсутствием знаний:

• Рассылка спама по форумам, социальным сетям, мессенджерам. Ссылки на майнеры маскируются под различные приложения, например, читы для игр. Злоумышленники могут завлекать пользователей скачать утилиту под разными предлогами.
• Распространение модифицированного софта, кряков, патчей для программ со встроенными майнерами на раскрученных фейк-сайтах с программным обеспечением.
• Розыгрыши в социальных сетях – рассылка сообщений десяткам «победителей» с предложением заполнить анкету через программу-майнер.
• Распространение вредоносного софта для ПК под видом утилит для помощи майнерам: мониторинг комплектующих, отслеживание температуры, повышение хешрейта.

Вывод – загружайте программное обеспечение исключительно из официальных и проверенных сайтов, откажитесь от взломанного, модифицированного софта, игр. Не переходите по ссылкам от незнакомцев.

Когда необходимо распознать вирус майнер?

Определить майнер на компьютере Windows 10 можно с помощью штатных инструментов и сторонних приложений. Такая необходимость появляется, когда компьютер, работающий без нагрузки, тормозит или долго выполняет обычные задачи, вентилятор (-ы) начинают шуметь. Температура центрального процессора или видеокарты при работе скрытого майнера будет высокой: 60 – 85 °С. Посмотреть можно через AIIDA64, MSI Afterburner, HWMonitor.

Как обнаружить вирус-майнер через Диспетчер задач вручную?

Вирусы имеют разные названия, определяются по нагрузке на центральный процессор ПК, если для получения криптовалюты используется CPU. Для этого:

• Запустите Диспетчер задач, например, посредством Win + R.

• При появлении миниатюрного окна кликните «Подробнее», иначе пропустите шаг.

• Во вкладке «Производительность» понаблюдайте за активностью процессора «ЦП». Цифра покажет текущую нагрузку и динамику её изменения на графике.

• Если на компьютере не запущены ресурсоёмкие приложения, а показатели высокие, идите во вкладку «Процессы».
• Щёлкните по столбику «ЦП» для сортировки задач по уровню нагрузки на ядра ЦП. Если стрелочка будет направленной вниз, выполните второй клик.

В нашем случае подозрение вызывает SPE.exe, которое потребляет почти 70% ресурсов центрального процессора. Проверить, это майнер или нет, можно онлайн сервисом VirusTotal. Посетите сайт, нажмите «Choose file», дважды кликните по подозрительному объекту, нажмите «Открыть».

Для определения пути к файлу вызовите его свойства через правый клик, скопируйте путь, указанный в строке «Расположение».

Дождитесь завершения анализа.

Мы выявили активность приложения с модулем для криптомайнинга, далее покажем, как его удалить.

Для оценки загруженности видеокарты воспользуйтесь одноимённой кнопкой Диспетчера задач (наш вредонос нагружает процессор, графика работает в обычном режиме).

Ещё вариант – утилита GPU-Z, вкладка «Датчики» или «Sensors».

Как удалить скрытый майнер с компьютера: пошаговая инструкция по ручному удалению

После того, как вычислили майнера на компьютере Windows 10, удалите его. Делается это не совсем привычным способом.

Диспетчер задач

Для удаления загруженного в оперативную память ПК файла его необходимо оттуда выгрузить – завершить процесс.

• Кликните по объекту правой клавишей, выберите «Свойства».

• В строке «Расположение» скопируйте путь к папке с объектом в буфер обмена – выделите адрес, нажмите Ctrl + C.

• Щёлкните по объекту, выберите пункт «Снять задачу».

Подтверждать действие не нужно.

• Откройте Проводник, например, комбинацией Win + E, или файловый менеджер, вставьте путь в адресную строку и нажмите Enter.
• Удалять обнаруженный файл с ПК можно со всем содержимым директории, если в папке есть другие объекты.

Если выполнить действие не удаётся, воспользуйтесь программой для удаления заблокированных файлов, например, Unlocker или ThisIsMyFile.

Удалять вирусы можно в безопасном режиме Windows 10.

• Выполните команду «msconfig» в окне Win + R.

• Во вкладке «Загрузка» отметьте флажком опцию «Безопасный режим», кликните «ОК», перезагрузитесь.

Компьютер запустится без сторонних приложений, вы сможете беспрепятственно очистить компьютер от майнеров, удалить заблокированные файлы через Проводник.

Как вариант, загрузитесь с флешки с дистрибутивом WinPE, LiveCD, Hirens BootCD.

Вирус майнер CPU Miner: как найти и удалить

XMRig CPU Miner – кроссплатформенное приложение для добычи цифровой валюты, это не вирус. Оно бесплатно распространяется с исходным кодом.

Как проверить компьютер на скрытый майнинг при помощи программного обеспечения?

Найти майнер криптовалюты на ПК могут антивирусы и утилиты для мониторинга активных процессов.

Как удалить майнер с компьютера через Anvir Task Manager

Аналог Диспетчера задач от компании Anvir поможет обнаружить и убрать майнера с компьютера Windows 7, 8, 10, 11.

• Загрузите и инсталлируйте утилиту с официального сайта.
• Отсортируйте процессы по уровню нагрузки на центральный процессор – кликните по названию одноимённого столбца.

Программа для поиска майнеров на ПК Anvir Task Manager отображает уровень опасности приложений, который позволит выявить другие вирусы.

• При обнаружении программы, которая сильно нагружает ядра, щёлкните по ней ПКМ, выберите «Перейти» – «Показать файл в Проводнике».

• Опять откройте контекстное меню объекта, нажмите «Завершить процесс».

Чтобы избавиться от майнера, удалите открывшуюся директорию со всеми файлами через Проводник или описанными ранее способами: Unlocker, безопасный запуск Windows, загрузка с флешки.

Антивирус против майнера

Не каждый антивирус способен обнаружить и удалить программу-майнер с ПК, ведь добыча криптовалюты – обычная процедура. Антивирусная программа предотвратит установку майнера посредством троянов, но детектировать сами майнеры может по сигнатурам. При обнаружении подозрительных объектов (процессов) их необходимо отправлять в службу поддержки антивируса для вынесения вердикта либо проверять сервисом VirusTotal.

Как защититься от браузерного майнинга?

Обнаружить вредоносный скрипт для получения криптовалюты – криптоджекинг – сложнее. Это небольшое приложение на языке программирования JavaScript, встроенное в код веб-сайта. При посещении страницы скрипт или файл с ним загружается и выполняется браузером. Применяются они преимущественно на сайтах, где пользователь проводит много времени:

• Сайты для просмотра фильмов и сериалов онлайн.
• Чтение книг без скачивания.
• Прослушивание радио и аудиокниг.
• Ресурсы с видеоматериалами для взрослых.
• Браузерные или онлайн-игры.

Предотвратить превращение компьютера в средство для майнинга криптовалюты злоумышленнику можно, придерживаясь ряда рекомендаций.

Отключения JavaScript

Браузеры умеют распознавать криптомайнеры и автоматически блокируют их при стандартном уровне безопасности, но способы маскировки вредоносных программ развиваются.

Для отключения JavaScript в Chrome откройте настройки программы через главное меню, введите ключевое слово в поисковую строку, перенесите переключатель в положение «Запретить сайтам…».

Ниже можете сформировать списки сайтов, которым разрешено и запрещено загружать скрипты.

Расширение для браузера

Для тонкого управления Java-скриптами в браузере воспользуйтесь расширением NoScript. В нём есть функции создания чёрного и белого списка сайтов.

Блокировщики рекламы (AdBlock) работают со списками серверов с криптомайнерами – предотвращают их загрузку при посещении страниц с вредоносными скриптами.

Также появились дополнения-антимайнеры, например, NoCoin – предотвратит майнинг криптовалюты на сайтах.

Редактирование файла hosts

Способ малоэффективный из-за разнообразия майнеров. Предусматривает внесение адреса сервера, где располагается криптомайнер, в файл hosts – при попытке соединиться с ним браузер перенаправит на локальный хост.

Откройте через текстовый редактор (блокнот) файл «%windir%system32driversetchosts», в конце добавьте строку вида: «0.0.0.0 coin-hive.com», сохраните изменения.

Утилита Anti-WebMiner

Бесплатный инструмент для защиты компьютера от браузерных (JavaScript) майнеров вроде Coinhive. Она автоматически модифицирует hosts – внесёт туда перечень опасных сайтов после клика по кнопке «Protected».

Hosts примет следующий вид.

Антивирус

Антивирусные программы не всегда выявляют криптомайнеры из-за разнообразия и сложностей их детектирования, но комплексная защита компьютера лишней не будет.

Заключение

Майнеры – одна из новейших киберугроз, которая за счёт аппаратных мощностей ПК и электроэнергии жертвы принесёт доход злоумышленнику. Дополнительно не позволит нормально работать за ПК, а при худшем сценарии – выведет из строя центральный процессор или видеокарту. Обнаружить и удалить криптомайнера можно средствами Windows или бесплатными утилитами, антивирусные программы помогут не всегда.

Вирусы, которыми заражается компьютер, выполняют разные задачи. Одни воруют личные данные пользователя, а другие – используют его ресурсы. Ко второй категории относятся майнеры, зарабатывающие криптовалюту за счет использования ресурсов ПК. Очевидно, что каждый владелец устройства должен знать, как удалить майнер с компьютера на операционной системе Windows 10, поскольку он таит в себе немало опасностей.

В чем опасность скрытого майнера?

Майнер выполняет роль добытчика криптовалюты для хакера. Добыча крипты – тема отдельного разговора, способного растянуться на несколько страниц, поэтому сейчас важно сосредоточиться на опасности, которую таит в себе вирус.

Майнер заставляет компьютер работать на пределе. Даже при выполнении базовых задач вроде веб-серфинга или просмотра фильма, загруженного на устройство, процессор, видеокарта и другие компоненты работают на максимальных оборотах. Вследствие этого происходит быстрый износ оборудования, а само взаимодействие с ПК вызывает у пользователя негативные эмоции из-за постоянных лагов и тормозов.

Как узнать о наличии майнера?

Подозрение о том, что кто-то использует компьютер для майнинга, возникает довольно часто. Но по косвенным признакам, вроде медлительности устройства, нельзя проверить, установлен ли на ПК скрытый майнер.

Сделать это можно только программными средствами, обратившись к инструкции:

• Запустите «Диспетчер задач» («Ctrl» + «Shift» + «Esc»).
• Откройте вкладку «Процессы».

• Закрыв остальные приложения, проверьте нагрузку на ЦП, память и другие компоненты в течение 10-15 минут. Если будет задействовано много ресурсов, то есть смысл задуматься о наличии майнера.
• Также необходимо проверить софт, отображаемый во вкладке «Процессы». Любая подозрительная программа может быть добытчиком криптовалюты.

Совет. Не стоит видеть в каждой неизвестной программе скрытого майнера. Многие из них выполняют системообразующие задачи ПК, а их отключение способно привести к сбоям в работе.

Также подозрительные приложения стоит отсортировать по проценту загрузки. Так вы сможете понять, используют ли некоторые из них подавляющее большинство ресурсов. К сожалению, даже в таком случае речь идет о косвенном признаке наличия майнера. Понять на 100 %, добывает ли кто-то криптовалюту через ваш компьютер, не позволит даже продвинутый антивирус. Поэтому важно получить дополнительную информацию о вредоносном ПО.

Виды вирусов

Майнеры условно делятся на несколько категорий. По степени открытости их можно разделить на:

• открытые;
• скрытые.

Первые работают открыто, и таких вредителей удается обнаружить через «Диспетчер задач» и другие системные средства. Однако существуют и скрытые майнеры, которые не только не отображаются в списке запущенных процессов, но и прекращают свою работу, когда человек запускает ресурсоемкое приложение или игру. Из-за этого у него создается впечатление, будто компьютер работает в нормальном режиме.

Также приложения для майнинга отличаются по типу задействованного оборудования. Чаще всего криптовалюта добывается через ресурсы видеокарты, но иногда используются внутренние накопители и центральные процессоры. Разумеется, есть и комбинированный вариант, способный задействовать сразу все компоненты ПК.

Как его удалить?

Разобравшись с терминологией, мы плавно подобрались к процессу удаления вредоносного ПО. Выполняется ликвидация майнеров несколькими способами. Рекомендуется рассмотреть все варианты, так как не исключено, что к положительным изменениям приведет только один из них.

«Диспетчер задач»

«Диспетчер задач» можно использовать не только в качестве средства проверки, но и в качестве инструмента для удаления майнера. Действуйте по инструкции:

• Запустите «Диспетчер задач».

• Перейдите во вкладку «Подробности».
• Найдите майнер и файл, который его запускает.

• Откройте редактор реестра, обработав запрос «regedit» в окне «Выполнить» («Win» + «R»).

• Зажмите клавиши «Ctrl» + «F» и введите в поисковую строку название файла.
• Щелкните по нему ПКМ и нажмите на кнопку «Удалить».

Аналогичным образом следует поступить со всеми остальными совпадениями. В противном случае добытчик криптовалюты продолжит работу.

С помощью программы AnVir Task Manager

Этот инструмент является расширенным «Диспетчером задач», но принцип действия будет схож. Через AnVir Task Manager необходимо идентифицировать вредителя и найти корневую папку, где он располагается. Далее нужно произвести удаление средствами редактора реестра.

Другие способы

В качестве альтернативного варианта стоит рассмотреть глубокую проверку компьютера антивирусным ПО, будь то сторонний Avast или встроенный Windows Defender. Но самым действенным вариантом станет откат системы. Правда, в таком случае вы потеряете все сохраненные ранее файлы.



О майнерах, которые «греют руки» на чужих ресурсах

Прочитали: 35035
Комментариев: 14
Рейтинг: 35

30 июня 2021

Сегодняшний выпуск мы посвятим проблеме майнинга — добычи криптовалют, взглянув на неё с точки зрения информационной безопасности. Дело в том, что сам по себе майнинг, охвативший сегодня чуть ли не весь мир — занятие не предосудительное, но вот специфика добычи, полностью построенной на использовании вычислительных мощностей, наталкивает многих «криптодельцов» на мысль о том, что эти ресурсы можно, мягко говоря, позаимствовать без спроса. И используются для этого специализированные программы — майнеры, причём используются скрытно.

Майнеры — вирусы или нет?

В широком обиходе майнеры зачастую называют вирусами. Но в действительности всё несколько сложнее: некоторые такие программы Dr.Web считает просто потенциально опасными, поскольку, даже будучи легитимными, при использовании злоумышленниками они могут нанести вред компьютерной системе. Существуют и откровенно вредоносные майнеры, которые относятся к разновидности троянов — их-то чаще и называют вирусами, хоть и не вполне заслуженно.

Чем опасны майнеры

Эти программы:

• нарушают нормальную работу компьютерных устройств вплоть до их поломки;
• снижают их производительность,
• вызывают перегрев устройств и перерасход электроэнергии.

Первые майнеры появились ещё в 2011 году продолжают представлять серьёзную опасность — в том числе для корпоративных пользователей. Дело в том, что в случае компаний велик соблазн использовать вычислительные мощности работающих «не в полную силу» или простаивающих компьютеров и серверов.

Как распространяются майнеры

«Поймать» майнер можно несколькими способами. В числе методов проникновения этих опасных программ в компьютерные системы, в разное время выявленных специалистами «Доктор Веб»:

• проникновение под видом полезных приложений с подготовленных злоумышленниками сайтов (Trojan.BtcMine.221 для добычи криптовалюты Litecoin);
• при помощи партнерских программ для владельцев легитимных сайтов — когда их владельцы размещают для скачивания различные приложения и получают процент с их продажи (так, например, распространялся Trojan.BtcMine.218);
• в качестве «побочной» вредоносной программы. Например, троян Trojan.Tofsee для рассылки спама мог загружать 17 подключаемых модулей, в том числе трояна Trojan.BtcMine.148 для добычи криптовалюты Bitcoin.

Как понять, что на компьютере работает майнер

Для своей работы скрытые майнеры потребляют огромное количество ресурсов компьютера. Если комп начинает «тормозить» при выполнении простейших задач, если постоянно шумит кулер, а корпус ПК или ноутбука необычно нагревается — это может быть признаком работы майнера.

Чтобы выяснить, какой именно процесс «нагружает» центральный процессор, в Windows можно воспользоваться «Диспетчером задач». Открыв его, следует некоторое время последить за тем, какой из запущенных процессов ведёт себя подозрительно активно, — при условии полного бездействия со стороны пользователя. Если нагрузка наблюдается со стороны браузера, это тоже может говорить о скрытом майнинге: часть этих программ активизируется при посещении опасных сайтов и работает в режиме онлайн.

При этом важно учитывать, что скрытый майнер может пользоваться ресурсами видеокарты, а не процессора. Поэтому дополнительно для мониторинга стоит использовать специализированные утилиты.

Также надо иметь в виду, что майнер может взять под контроль и «Диспетчер задач» — и сделать так, чтобы отображалась штатное использование вычислительных ресурсов.

Другим индикатором miner-активности может стать увеличенный расход трафика, исчезновение важных файлов или регулярное отключение интернета.

Конечно же, при малейших подозрениях всегда необходимо пользоваться антивирусом. Например, применить бесплатную лечащую утилиту Dr.Web CureIt! для выявления вредоносной активности в ОС Windows. Обнаружив майнер, утилита нейтрализует его работу, однако не обеспечит постоянной защиты.

В идеале должен быть установлен полноценный продукт комплексной защиты — такой как Dr.Web Security Space. Он пресекает любые пути попадания майнеров на защищаемое устройство:

• антивирус отслеживает попытки загрузки любых потенциально опасных программ и блокирует их;
• в настройках Родительского/Офисного контроля можно указать категорию «Пулы для добычи криптовалют» — в этом случае Dr.Web не позволит зайти на подобные сайты;
• Превентивная защита Dr.Web выявит новейшие разновидности майнеров с использованием поведенческого анализа.

#биткойн #ботнет #нелегальное_ПО #признаки_заражения #ущерб