Скрытый майнинг - Ваш компьютер в опасности

3 February 2018

Привет, дорогой читатель.

На твоем компьютере установлен антивирус? Или ты считаешь, что время вирусов прошло?

К сожалению, вирусы живы и продолжают выполнять свою гадкую функцию - хищение данных, паролей или извлечение прибыли из мощностей чужих компьютеров. О последнем сегодня и пойдет речь.

Откуда?

При открытии файла, установке непроверенной программы, обманным путем подсунутой утилитой или иным способом, приобретенный механизм устанавливается на компьютер-жертву и подключается к специальному майнинг-пулу для добычи криптовалюты .

  • Майнер распространяют скрыто, вшитым в обновления, фиксы, не лецензионный софт, торрентамы и так далее;
  • Установка незаметна для пользователя;
  • Майнер маскируется под службу Windows, а иногда вовсе не отображается;

Как удалить?

Это новый вид вируса, поэтому защищены они очень хорошо.

Вот базовые поверхностные методы:

1. Используйте разные антивирусы, можно использовать пробные периоды.

2. Воспользуйтесь мгновенным сканером.

3. Сканирование в безопасном режиме .

4. Запись Live CD и запуск на вашем компьютере Live CD. Антивирусные программы на диске помогают вылечить компьютер, а в особо сложных случаях с их помощью можно скопировать данные в безопасное место.

5. Перенос жесткого диска. Метод глубокого сканирования жесткого диска вашего компьютера на другой машине. Причем подключать такой диск желательно по USB, предварительно отключив на второй машине автозагрузку. Это позволит более глубоко изучить диск и избежать применение системы защиты вируса.

Встречай мошенников нового поколения!
Встречай мошенников нового поколения!

Чаще всего, этого недостаточно и для удаления придется выполнить целый ряд действий, которые, однако, бывают просто необходимы для нормальной работы вашего устройства Windows.

Для начала, нам нужна портативная версия приложения AIDA64. В настройках приложения находим пункт OSD - там отмечаем все показатели, связанные с нагрузкой на компьютер: теипературу видеокарты и процессора, уровень нагрузки и оперативную память. Теперь у нас есть гаджет, позволяющий отслеживать эти показатели. Теперь завершаем все процессы, выключаем программы и смотрим. Тут нужно отметить, что сама работа операционной системы отнимает немного ресурсов и точные данные по этому очень индивидуальны. Тем не менее, при "холостой" нагрузке 30 и более процентов, можно продолжать.

Утилита AnVir Task Manager позволит нам искать скрытые процессы. Майнер может маскироваться под любую службу или даже отключаться. Далее отключаем все процессы выключенных программ (они продолжают свою фоновую деятельность иногда) и смотрим, что осталось. Особенно интересны самые "прожорливые". Для каждого пункта есть справка в интернете, можно поискать. Это мало чем поможет, но всё же.

Майнеры маскируют под такие процессы, как svchost.exe, chrome.exe и steam.exe. Иногда они выглядят как беспорядочный набор символов.

Отдельно можно воспользоваться диспетчером ProcessExplorer для отображения загрузки GPU. Будьте бдительны: процессы имеют свойство произвольно возобновляться. Это не обязательно делают вирусы, базовые программы также имеют защиту.

Будет лучше, если все эти действия будут производиться в безопасном режиме. Часто подобные вирусы не дают себя обнаружить или удалить, но в безопасном режиме это становится возможным. Для его запуска в настройках в разделе кофигурация системы выберите "загрузка биоса"

Теперь в безопасном режиме начинаем запускать следующие антивирусные утилиты, предварительно скачанные в портативном варианте с официальных сайтов(!)

  • Web CureIt!
  • Kaspersky Virus Removal Tool;
  • COMODO Cleaning Essentials;
  • Junkware Removal Tool;

Многие сборки для скрытого майнинга используют руткиты – утилиты для сокрытия следов работы определённых процессов. TDSSKiller поможет с ними справиться.

Отдельно стоит отметить программу AVZ. Это на крайний случай - вам могут помочь постоянные участники специализированных форумов.

Для этого открываем AVZ и производим обновление баз через одноимённый пункт. Теперь запускаем «Исследование системы» и получаем файл avz_sysinfo.htm. Идем с ним на форумы антивирусов и просим разобраться профессионалов)

После этой "битвы" нам нужно опять проверить систему и очистить реестр от следов заражения. В этом нам поможет простая программа CCleaner.

В крайнем случае можно обратиться к профессионалам или полностью отформатировать диск. Это крайние меры, но иногда только так можно избавиться от вируса.

Всем удачи в этом нелегком деле!