Ваш гаджет захватили майнеры. Что делать?

|
FavoriteLoading В закладки
Ваш гаджет захватили майнеры. Что делать?

Майнеры атакуют! В последнее время они стали самым активным типом вирусов. Даже красть данные с серверов крупных корпораций сегодня не так выгодно, как скрыто майнить на этих мощностях.

Впрочем, компьютерам и смартфонам рядовых пользователей тоже достаётся. Рассказываем, как не стать жертвой скрытого майнера.

Майнер в браузере

Бывает, заходишь на сайт, а он «вешает» весь компьютер. Что происходит? Есть вероятность, что на сайте запущен особый скрипт, который жрёт ресурсы вашего компьютера ради пары монет для «дяди».

Майнят чаще всего Monero (XMR), реже – Zcash и другие анонимные криптовалюты.

Майнеры могут внедрить хакеры или же сами владельцы сайта. Таким не побрезговала даже The Pirate Bay. Правда, вскоре майнер «бухта» всё же убрала.

Вирусы для майнинга на компьютерах

Цель вредоносов такого рода – сделать ваш компьютер частью ботнета, который объединяет мощности сравнительно слабых устройств для майнинга и решения других задач. Это вдвойне выгодно: во-первых, злоумышленникам не нужно покупать дорогие майнеры или видеокарты, во-вторых – платить за электричество тоже не придётся.

Часто злоумышленники используют легальные майнеры. Но устанавливают их без ведома владельца устройства, скрывают работу майнера и указывают свой кошелёк для добытых монет.

Обычно майнер попадает на компьютер с помощью дроппера. Этот вредонос нередко кладут в состав пиратских версий популярных программ или генераторов ключей активации. После запуска файла на компьютер жертвы ставится установщик, который непосредственно скачивает майнер и утилиту для его маскировки в системе.

Часто в комплект кладут инструменты для автозапуска вредоноса и настройки его работы. Эти сервисы могут приостанавливать работу майнера, когда пользователь запускает игру или другое ресурсоёмкое приложение. Так майнер не выдаст себя и проведёт на компьютере жертвы максимум времени.

Современные майнеры способны самовосстанавливаться, останавливать работу антивируса, мониторить активность системы и майнить только в периоды низкой нагрузки.

Устранение конкурентов

Майнеры обычно запускают в оперативной памяти процессы с именами вроде как Silence, Carbon, xmrig32, nscpucnminer64, mrservicehost, service, svchosts3, svhosts, system64 и др. Но найти незащищенный компьютер, который ещё не заражен, всё сложнее. Так что майнерам приходится эволюционировать.

Одна из недавних находок – майнер с функцией kill list. Когда он попадает в компьютер, то анализирует список процессов. Если майнер находит процессы, которые запущены другими майнерами, то принудительно останавливает их. И сам захватывает все доступные ресурсы.

Майнеры в официальных магазинах приложений

И такое бывает! Например, с сентября 2017 года в Google Play можно было скачать Monero Miner (XMR) разработчика My Portable Software.

Формально приложение было предназначено для майнинга и ничего не нарушало. Но вот незадача: какой бы адрес кошелька вы ни вводили, намайненное на вашем смартфоне всё равно отправлялось бы на кошелек разработчиков вредоноса.

Владельцам техники Apple «повезло» не меньше. В Mac App Store появилось приложение Calendar 2, которое скрыто майнило Monero. Правда, приложение достаточно быстро удалили. Но осадочек остался.

Сколько зарабатывают на майнерах

Ботнет с майнером Minergate, обнаруженный экспертами, приносил владельцам 30 тыс. долларов в месяц. Через кошелёк, в который отправлялись добытые монеты, прошло свыше 200 тыс. долларов.

Компания Qbix, разработчик Calendar 2, за три дня заработала 2 тыс. долларов на скрытом майнинге Monero.

А разработчик из Камбоджи Макс Корнет рассказал, что получил всего 0,89 доллара за 60 часов от установки скрытого майнера на сайте с посещаемостью около 1 тыс. пользователей в сутки. То есть он зарабатывал 36 центов в день или около 10 долларов в месяц. Конечно, больше посещаемость – выше заработки. Но платные статьи или другую рекламу владельцам сайтов и в этом случае размещать выгоднее.

Как бороться с майнерами

В браузере

  1. Перейти на сайт https://cryptojackingtest.com/, который проверит, защищен ли ваш браузер. Проверка бесплатная, но результаты не всегда верны.
  • Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен.
  • Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.
  1. Скачать браузеры со вшитой защитой от майнинга. Opera и «Яндекс.Браузер» поддерживают такие возможности.
  2. Отключить JavaScript в браузере. Решение радикальное, ведь многим сайтам для нормальной работы требуется JavaScript.
    • Chrome: «Настройки» – «Дополнительные» – «Настройки контента» – «JavaScript» – Передвинуть переключатель в положение «Заблокировано».
    • Firefox: «Настройки» – «Содержимое» – снять флажок «Использовать JavaScript».
    • Opera: «Настройки» – «Общие настройки» – «Дополнительно» («Расширенные») – «Содержимое» – снять флажок «Включить JavaScript».
  3. Приложение Anti-Web Miner. Скачиваете с GitHub, устанавливаете, пользуетесь.
  4. Расширения для браузеров. NoCoin, AntiMiner, MineControl, MineBlock и т. д.
  5. Расширение для браузеров AdBlock. В фильтры нужно добавить:
  • ||coin-hive.com^$third-party
  • ||jsecoin.com^$third-party
  • ||miner.pr0gramm.com^
  • ||gus.host/coins.js$script
  • ||cnhv.co^.
  1. Приложение Malwarebytes. Премиум-версия защищает от новых майнеров в режиме реального времени. Бесплатная находит всё, что вы подхватили ранее, и переносит в карантин.
  2. В Windows – отредактировать файл C:\Windows\System32\drivers\etc\ В macOS введите в терминале команду sudo nano /etc/hosts/.

В конец файла hosts нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:

  • 0.0.0 azvjudwr.info
  • 0.0.0 cnhv.co
  • 0.0.0 gus.host
  • 0.0.0 jroqvbvw.info
  • 0.0.0 jsecoin.com
  • 0.0.0 jyhfuqoh.info
  • 0.0.0 kdowqlpt.info
  • 0.0.0 listat.biz
  • 0.0.0 lmodr.biz
  • 0.0.0 mataharirama.xyz
  • 0.0.0 minecrunch.co
  • 0.0.0 minemytraffic.com
  • 0.0.0 miner.pr0gramm.com
  • 0.0.0 reasedoper.pw
  • 0.0.0 xbasfbno.info

На ПК (вне браузера)

  1. Уже упомянутое приложение Malwarebytes.
  2. Антивирус со свежей базой. Для пользователей Windows: стандартный Windows Defender чаще всего не блокирует популярный Coinhive, так что стоит установить что-то понадёжнее.
  3. Нелишним будет запустить диспетчер задач в Windows или другое приложение для слежения за расходом ресурсов компьютера (AIDA64, AnVir Task Manager или аналоги). Для macOS зайдите в «Программы» – «Утилиты» – «Мониторинг системы». Если активность резко растёт и стабильно держится, даже если у вас открыты «Заметки» и «Калькулятор», диспетчере задач или его аналоге удаляйте процессы, которые отнимают слишком много ресурсов. Затем вычищаете всё антивирусом и Malwarebytes.
  4. TDSSKiller поможет убить руткиты, которые маскируют следы пребывания майнера в системе.
  5. Утилита AVZ. Скачиваете, обновляете базы, нажимаете «Исследовать систему». Получаете avz_sysinfo.htm. Его можно разместить на форуме «Лаборатории Касперского» и попросить помощи. В случае удачи вам помогут составить скрипт, который обезвредит майнер. Но до этого рекомендуется выполнить всё, о чём мы писали выше.

На смартфоне

  1. Прежде всего, не скачивать приложения, которые обещают бешенные тыщщи денег от майнинга на смартфоне. И другие подозрительные приложения. Тем более с левых сайтов. Замена батареи / услуги специалиста стоят больше, чем вы сможете намайнить.
  2. Для борьбы с майнингом в браузере используйте браузерные расширения или браузеры с защитой от майнинга.
  3. Установите надёжный антивирус и регулярно обновляйте базы.
  4. Следите за загрузкой ресурсов смартфона.
    • iOS: «Настройки» – «Аккумулятор».
    • Android: «Настройки» – «Аккумулятор» / «Батарея».

Если видите процессы и приложения, которые потребляют больше, чем им положено, смело удаляйте их.

Выводы

Мир помешался на майнинге. А хакеры не замедлили извлечь из этого пользу. Если вы не хотите, чтобы кто-то получал деньги за ваш счёт, не зевайте и защитите свои гаджеты уже сегодня.

Поставьте оценку:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
Оставайся в теме. Подпишись на наш Telegram 👏
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Девайс тормозит? Могут быть виноваты майнеры!
Прокомментировать

🙈 Комментарии 12

  1. Phonerz avatar
    Phonerz19 марта в 13:41
    3

    Ну и кто-бы сомневался, что эти криптофантики от лукавого.
    А большинство заинтересованное в них, вредители и мошенники.

    GPSvvv avatar
    GPSvvv19 марта в 13:56
    2

    @Phonerz,
    Человек – вредитель и мошенник по природе своей.
    Но если “я” думаю, что “я” не вредитель и не мошенник, то либо “я” – ещё не разумный человек, либо – высокомерный человек, что хуже первого

  2. GPSvvv avatar
    GPSvvv19 марта в 13:46
    0

    Прежде, чем описывать “проблему”, нужны конкретные цифры – % этой “проблемы”; чтобы обывателю понять – бить/бежать или насра

    Phonerz avatar
    Phonerz19 марта в 19:13
    0

    @GPSvvv, у проблемы есть конкретное описание – вредоносные программы, устанавливаемые без спроса и ведома пользователя, совершающие свои действия на пользовательском оборудовании.

    GPSvvv avatar
    GPSvvv19 марта в 19:40
    0

    @Phonerz,
    % проблемы – это показатель количества устройств, зараженных этим вирусом сегодня. Если этот показатель менее 0,1%, то этой “проблемой” можно пренебречь. А для весёлых и адекватных, менее 1% достаточно, чтобы “спать спокойно”

    Иногда пишут посты чисто гипотетические или полупридуманные, с добавлением ужасов..

    Phonerz avatar
    Phonerz19 марта в 20:02
    0

    @GPSvvv, то есть Вас не смутит, когда Ваш браузер будет висеть, потому что разработчик сайта решил на вашем оборудовании “помайнить” п**ркоин. Это проблема может казаться абстрактной, но придерживаюсь мнения, что лучше сейчас разработают и распространят защиту от “майнинга”, чем когда это будет наносить вред использованию интернетом и каждый 20 сайт будет этой гадостью промышлять.

  3. virtualinsanity avatar
    virtualinsanity19 марта в 13:57
    0

    Calendar 2 открыто майнил. Это был один из вариантов оплаты за подписку. Так что это не вредонос. Но удалили именно из-за этой фичи. Типа правила нарушает

  4. SergL avatar
    SergL19 марта в 14:16
    3

    Очередная статья из цикла “мир глазами дилетанта” :-(

    papoy avatar
    papoy19 марта в 16:26
    1

    @SergL, смотрю, вы, как и я, “любите” статьи от Ксении ;)))

    SergL avatar
    SergL19 марта в 23:27
    0

    @papoy, Ну да, Ксения пишет в жанре научной фантастики, выдавая ее за ее реальность. Ей кажется, что ее понимание коррелируется с существующими технологиями, но реально, только на уровне терминов, найденных Ксенией в интернет.
    Вообще ее слоган «Живу в будущем. Разбираю сложные технологии на простые составляющие», после написанных ей стаей воспринимается стебно по отношению к ней :-), типа я понимаю, что это работает так – попытаюсь развить это и приукрасить.… Очень напоминает объяснение одного моего знакомого, с заднего сиденья, по дороге из Рели в Вашингтон, лет 10 назад. Ехали по GPS навигатору на Нокии, и он пытался нам объяснить, как работает GPS позиционирование. Типа, спутники видят приемник и сообщают ему позицию… Как мы ржали, пытались ему объяснять, что это приемник – но безрезультатно… Сейчас в компании ржем так-же, после выхода статей от Ксении. Вот писала бы она про телефоны, чехольчики – все бы воспринимали нормально – мнения разные бывают.

    GPSvvv avatar
    GPSvvv20 марта в 10:19
    0

    @SergL,
    ))) Хвастунишка

    И других принизил без весомых аргументов, и себя возвысил (точнее – хотел).. Но, для кого это?!)

    Возможно – это пишет не девочка, если чо)

    По делу надо и с уважением. Чтоб для пользы читающим

  5. wrongguy avatar
    wrongguy19 марта в 19:13
    0

    Яндекс.Браузер также имеет встроенную нотификацию силовых органов в случае оскорблений вами чувств верующих и нарушения установленного порядка организации и проведения массовых мероприятий – двойной профит!!!

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь