Антивирусная компания ESET отметила рост распространенности браузерного майнера JS/CoinMiner, который добывает криптовалюту без ведома пользователя. Обычно скрипты для майнинга встраиваются во вредоносные сайты или скомпрометированные легитимные площадки, пишет TUT.by.

Браузерный майнер возглавил рейтинг белорусских киберугроз, составленный с помощью облачной системы ESET LiveGrid по данным за декабрь 2017 года. Уровень распространенности JS/CoinMiner составил 12,45%. При этом в рейтинге за ноябрь майнер не фигурировал.

Впервые о скрытом майнинге на компьютерах белорусов эксперты сообщили в сентябре 2017 года, после проблема добралась и до смартфонов. Скрипт для майнинга замечали на нескольких белорусских сайтах например, на сайте завода Луч.

Основной способ распространения майнинговых скриптов вредоносная реклама. В его основе покупка трафика у рекламной сети и распространение вредоносного скрипта вместо обычной рекламы. Чаще всего заражены оказываются сайты с потоковым видео или браузерными играми.

Обычно авторы веб-майнера выбирают криптовалюты, не требующие наличия специального оборудования так проще обеспечить достаточное число компьютеров, заражая сайты, а не сами машины.

Понять, что кто-то майнит через ваше устройство, можно по снижению его производительности. На Windows для этого стоит проверить загрузку ЦП в Диспетчере задач, а на Mac в разделе Мониторинг системы .

100%-ная загрузка процессора из-за вкладки браузера со скрытым майнером

Как узнать, что ваш компьютер скрыто майнит криптовалюту, и как избежать этого

Браузер или компьютер

Напомним, майнинг это процесс добычи криптовалюты с помощью сложных вычислений, которые проходят на компьютере. На данный момент есть два основных способа зловредного майнинга.

В первом случае программа-майнер скрыто устанавливается на ваш компьютер и начинает постоянно использовать его мощности процессор и видеокарту. Во втором случае, и именно об этом предупреждает ESET, майнинг происходит только тогда, когда вы заходите на зараженный сайт (браузерный майнинг).

Разумеется, первый способ для злоумышленников гораздо предпочтительнее, пусть и более сложный ведь компьютер для начала нужно как-то заразить. Второй проще, а нужную мощность злоумышленники добирают за счет большого числа пользователей, заходящих на сайт.

Главный симптом

Самый первый (и главный) симптом, по которому вы можете заподозрить майнинг компьютер начинает постоянно подтормаживать в безобидных ситуациях. Например, когда у вас всё время шумит кулер, нагревается или зависает ноутбук в то время, как на нем запущен лишь браузер с тремя вкладками.

Понятно, что такие симптомы характерны не только для майнинга у вас в этот момент просто может быть запущен тяжелый фоновый процесс (например, обновляться ПО). Но если компьютер работает в подобном нагруженном режиме постоянно это серьезный повод для подозрений.

К сожалению, только на антивирусы здесь полагаться не стоит. Вот, что, например, пишет по поводу таких программ Лаборатория Касперского:

Майнеры программы не зловредные. Потому они входят в выделенную нами категорию Riskware ПО, которое само по себе легально, но при этом может быть использовано в зловредных целях. По умолчанию Kaspersky Internet Security не блокирует и не удаляет такие программы, поскольку пользователь мог установить их осознанно.

Антивирус может не сработать и в случае скрытого браузерного майнинга.

Как обнаружить майнера?

Самый простой способ, который можно попробовать для выявления зловредного процесса, съедающего все ресурсы вашего компьютера, запуск встроенного в систему диспетчера задач (В Windows он вызывается сочетанием клавиш Ctrl+Shift+Esc).

Если вы увидите, что какой-то непонятный процесс очень сильно на десятки процентов загружает процессор (колонка ЦП на картинке выше), а вы при этом не запустили тяжелую игру и не монтируете видео, это вполне может оказаться майнингом.

Кстати, свой диспетчер задач есть и в популярном у белорусов Chrome для его запуска нужно щелкнуть правой кнопкой мыши на свободной от вкладок области над адресной строкой и выбрать соответствующий пункт. Тогда вы и увидите, какая вкладка виновник загрузки компьютера.

К сожалению, далеко не всегда диспетчер задач может оказаться полезным. Современные майнеры умеют, например, приостанавливать работу при его запуске или прятаться в стандартные процессы, вроде svchost. exe, chrome. exe или steam.exe.

В таком случае можно использовать дополнительный, более продвинутый софт например, программу AnVir Task Manager.

С ее помощью гораздо проще выявлять подозрительные процессы. Все неопределенные строки подсвечиваются красным и о каждом процессе (в том числе скрытом!) можно получить максимальную информацию, но самое главное любой запущенный у вас процесс можно проверить на сайте VirusTotal.

И что с ним делать?

Проще всего, если майнинг происходит при открытии зараженного сайта. В этом случае вам просто нужно закрыть эту вкладку в браузере.

Хуже, если программа-майнер попала на ваш компьютер. В этом случае можно для начала попробовать закрыть вредоносный процесс в диспетчере задач и удалить его из автозагрузки, однако, как правило, не всё так просто.

У майнеров могут быть нестандартные способы запуска, наличие двух процессов, которые перезапускают друг друга в случае попыток их завершить. Кроме того, может быть инициирована перезагрузка компьютера при попытке получить доступ к файлам майнера или попытке удалить их из автозагрузки.

На помощь здесь должны прийти антивирусные программы. Если по каким-то причинам антивирус не отлавливает майнера в стандартном режиме, можно попробовать записать на флешку портативный бесплатный сканер, например, Web CureIt! или Kaspersky Virus Removal Tool и загрузить компьютер в безопасном режиме.

Для его запуска (на Windows, кроме десятки) нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант. В Windows 10 при перезагрузке этого сделать нельзя. Поэтому нужно открыть окно Выполнить (сочетание клавиш Win+R), ввести там команду msconfig, затем выбрать раздел Конфигурация системы, Загрузка и выставить безопасный режим, после чего перезагрузить компьютер.

Загрузившись в безопасном режиме, нужно запустить антивирусный сканер с флешки.

Как мы писали выше, не всегда антивирусы считают программы-майнеры вредоносным софтом ведь вы можете майнить и для себя.

Но, например, Антивирус Касперского выделяет их в категорию Riskware (ПО с риском). Чтобы обнаружить и удалить объект из этой категории, необходимо зайти в настройки защитного решения, найти там раздел Угрозы и обнаружение и поставить галочку напротив пункта Другие программы. Схожее решение предлагает и ESET для выявления майнеров (в том числе и на посещаемых сайтах) нужно включить в настройках обнаружение потенциально нежелательных приложений.

Если майнинг продолжается и после этих манипуляций, можно попробовать и более радикальный метод переустановку операционной системы.

Как предохраниться?

Если речь идет о браузерном майнинге, то помимо антивирусных решений, определяющих зловредные Java-скрипты на сайтах, уже появились расширения браузера, позволяющие засечь майнеров например, No Coin или Mining Blocker.

Если вы не хотите, чтобы программа-майнер попала на ваш компьютер, то регулярно устанавливайте обновления, предлагаемые операционной системой, и обязательно используйте антивирусные программы с включенным мониторингом.

Здесь нужно помнить, что антивирусы могут не обнаружить программу-майнер, но почти наверняка зафиксируют программу-дроппер, главная цель которой скрыто установить майнер. В дополнение к антивирусу можно добавить пару старых, но по-прежнему эффективных советов не кликайте на подозрительные ссылки в Сети и не открывайте приходящий в почту спам.

Также помните, что с установкой легального софта вероятность получить в довесок майнер ничтожно мала. Тогда как при скачивании взломанных программ или краков этот риск сильно увеличивается.

Вступай в сообщества ITmentor Вконтакте, Facebook и Telegram

Помогла статья? Оцените её!
0 из 5. Общее количество голосов - 0
 

You have no rights to post comments

Дмитрий Крикунов

Публикую статьи, обучающие курсы и новости по программированию: алгоритмам, языкам (С++, Java), параллельному программированию, паттернам и библиотекам (Qt, boost).