Майнеры атакуют! В последнее время они стали самым активным типом вирусов. Даже красть данные с серверов крупных корпораций сегодня не так выгодно, как скрыто майнить на этих мощностях.
Впрочем, компьютерам и смартфонам рядовых пользователей тоже достаётся. Рассказываем, как не стать жертвой скрытого майнера.
Майнер в браузере
Бывает, заходишь на сайт, а он «вешает» весь компьютер. Что происходит? Есть вероятность, что на сайте запущен особый скрипт, который жрёт ресурсы вашего компьютера ради пары монет для «дяди».
Майнят чаще всего Monero (XMR), реже – Zcash и другие анонимные криптовалюты.
Майнеры могут внедрить хакеры или же сами владельцы сайта. Таким не побрезговала даже The Pirate Bay. Правда, вскоре майнер «бухта» всё же убрала.
Вирусы для майнинга на компьютерах
Цель вредоносов такого рода – сделать ваш компьютер частью ботнета, который объединяет мощности сравнительно слабых устройств для майнинга и решения других задач. Это вдвойне выгодно: во-первых, злоумышленникам не нужно покупать дорогие майнеры или видеокарты, во-вторых – платить за электричество тоже не придётся.
Часто злоумышленники используют легальные майнеры. Но устанавливают их без ведома владельца устройства, скрывают работу майнера и указывают свой кошелёк для добытых монет.
Обычно майнер попадает на компьютер с помощью дроппера. Этот вредонос нередко кладут в состав пиратских версий популярных программ или генераторов ключей активации. После запуска файла на компьютер жертвы ставится установщик, который непосредственно скачивает майнер и утилиту для его маскировки в системе.
Часто в комплект кладут инструменты для автозапуска вредоноса и настройки его работы. Эти сервисы могут приостанавливать работу майнера, когда пользователь запускает игру или другое ресурсоёмкое приложение. Так майнер не выдаст себя и проведёт на компьютере жертвы максимум времени.
Современные майнеры способны самовосстанавливаться, останавливать работу антивируса, мониторить активность системы и майнить только в периоды низкой нагрузки.
Устранение конкурентов
Майнеры обычно запускают в оперативной памяти процессы с именами вроде как Silence, Carbon, xmrig32, nscpucnminer64, mrservicehost, service, svchosts3, svhosts, system64 и др. Но найти незащищенный компьютер, который ещё не заражен, всё сложнее. Так что майнерам приходится эволюционировать.
Одна из недавних находок – майнер с функцией kill list. Когда он попадает в компьютер, то анализирует список процессов. Если майнер находит процессы, которые запущены другими майнерами, то принудительно останавливает их. И сам захватывает все доступные ресурсы.
Майнеры в официальных магазинах приложений
И такое бывает! Например, с сентября 2017 года в Google Play можно было скачать Monero Miner (XMR) разработчика My Portable Software.
Формально приложение было предназначено для майнинга и ничего не нарушало. Но вот незадача: какой бы адрес кошелька вы ни вводили, намайненное на вашем смартфоне всё равно отправлялось бы на кошелек разработчиков вредоноса.
Владельцам техники Apple «повезло» не меньше. В Mac App Store появилось приложение Calendar 2, которое скрыто майнило Monero. Правда, приложение достаточно быстро удалили. Но осадочек остался.
Сколько зарабатывают на майнерах
Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.
Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.
А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.
Как бороться с майнерами
В браузере
- Перейти на сайт https://cryptojackingtest.com/, который проверит, защищен ли ваш браузер. Проверка бесплатная, но результаты не всегда верны.
- Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен.
- Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.
- Скачать браузеры со вшитой защитой от майнинга. Opera и «Яндекс.Браузер» поддерживают такие возможности.
- Отключить JavaScript в браузере. Решение радикальное, ведь многим сайтам для нормальной работы требуется JavaScript.
- Chrome: «Настройки» – «Дополнительные» – «Настройки контента» – «JavaScript» – Передвинуть переключатель в положение «Заблокировано».
- Firefox: «Настройки» – «Содержимое» – снять флажок «Использовать JavaScript».
- Opera: «Настройки» – «Общие настройки» – «Дополнительно» («Расширенные») – «Содержимое» – снять флажок «Включить JavaScript».
- Приложение Anti-Web Miner. Скачиваете с GitHub, устанавливаете, пользуетесь.
- Расширения для браузеров. NoCoin, AntiMiner, MineControl, MineBlock и т. д.
- Расширение для браузеров AdBlock. В фильтры нужно добавить:
- ||coin-hive.com^$third-party
- ||jsecoin.com^$third-party
- ||miner.pr0gramm.com^
- ||gus.host/coins.js$script
- ||cnhv.co^.
- Приложение Malwarebytes. Премиум-версия защищает от новых майнеров в режиме реального времени. Бесплатная находит всё, что вы подхватили ранее, и переносит в карантин.
- В Windows – отредактировать файл C:WindowsSystem32driversetc В macOS введите в терминале команду sudo nano /etc/hosts/.
В конец файла hosts нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:
- 0.0.0 azvjudwr.info
- 0.0.0 cnhv.co
- 0.0.0 gus.host
- 0.0.0 jroqvbvw.info
- 0.0.0 jsecoin.com
- 0.0.0 jyhfuqoh.info
- 0.0.0 kdowqlpt.info
- 0.0.0 listat.biz
- 0.0.0 lmodr.biz
- 0.0.0 mataharirama.xyz
- 0.0.0 minecrunch.co
- 0.0.0 minemytraffic.com
- 0.0.0 miner.pr0gramm.com
- 0.0.0 reasedoper.pw
- 0.0.0 xbasfbno.info
На ПК (вне браузера)
- Уже упомянутое приложение Malwarebytes.
- Антивирус со свежей базой. Для пользователей Windows: стандартный Windows Defender чаще всего не блокирует популярный Coinhive, так что стоит установить что-то понадёжнее.
- Нелишним будет запустить диспетчер задач в Windows или другое приложение для слежения за расходом ресурсов компьютера (AIDA64, AnVir Task Manager или аналоги). Для macOS зайдите в «Программы» – «Утилиты» – «Мониторинг системы». Если активность резко растёт и стабильно держится, даже если у вас открыты «Заметки» и «Калькулятор», диспетчере задач или его аналоге удаляйте процессы, которые отнимают слишком много ресурсов. Затем вычищаете всё антивирусом и Malwarebytes.
- TDSSKiller поможет убить руткиты, которые маскируют следы пребывания майнера в системе.
- Утилита AVZ. Скачиваете, обновляете базы, нажимаете «Исследовать систему». Получаете avz_sysinfo.htm. Его можно разместить на форуме «Лаборатории Касперского» и попросить помощи. В случае удачи вам помогут составить скрипт, который обезвредит майнер. Но до этого рекомендуется выполнить всё, о чём мы писали выше.
На смартфоне
- Прежде всего, не скачивать приложения, которые обещают бешенные тыщщи денег от майнинга на смартфоне. И другие подозрительные приложения. Тем более с левых сайтов. Замена батареи / услуги специалиста стоят больше, чем вы сможете намайнить.
- Для борьбы с майнингом в браузере используйте браузерные расширения или браузеры с защитой от майнинга.
- Установите надёжный антивирус и регулярно обновляйте базы.
- Следите за загрузкой ресурсов смартфона.
- iOS: «Настройки» – «Аккумулятор».
- Android: «Настройки» – «Аккумулятор» / «Батарея».
Если видите процессы и приложения, которые потребляют больше, чем им положено, смело удаляйте их.
Выводы
Мир помешался на майнинге. А хакеры не замедлили извлечь из этого пользу. Если вы не хотите, чтобы кто-то получал деньги за ваш счёт, не зевайте и защитите свои гаджеты уже сегодня.
Источник: