Скрытый майнинг

С появлением и активным развитием майнинга на протяжении 2013-2017 годов, свое распространение получил такой феномен, как скрытый майнинг. Злоумышленники, используя доступ к общественной Wi-Fi - сети или уязвимости сайта, помещают майнинг - программы в сеть, после чего они в фоновом режиме устанавливаются на ваши устройства (ПК или мобильные телефоны) и начинают добывать криптовалюту.

По сути, ваш компьютер становится частью распределенной сети, вычислительные мощности которой используются для добычи какой-нибудь криптовалюты на благо владельца ботнета. Несколько тысяч компьютеров в ботнете добывают криптовалюту значительно эффективнее, чем один, да и за недешевое электричество в этом случае платят жертвы, так что скрытно ставить программы-майнеры на компьютеры пользователей для злоумышленников очень даже выгодно.

Вообще, программу-майнер рядовой пользователь может установить самостоятельно — если он осознанно собрался добывать таким образом криптовалюту. В этом и заключается сложность: как отличить легальный майнинг от нелегального? Программы-то одни и те же. Разница в том, что злоумышленники сначала пытаются тайком установить программу на компьютер без ведома пользователя, а затем скрыть ее работу.

Как майнер попадает на ваше устройство?

В большинстве случаев майнер попадает на компьютер при помощи специально созданной зловредной программы, так называемого дроппера, главная функция которого — скрытно ставить другое ПО. Такие программы обычно маскируются под пиратские версии лицензионных продуктов или под генераторы ключей активации к ним — что-нибудь в таком духе пользователи ищут, например, на файлообменниках и сознательно скачивают. Вот только иногда то, что они скачали, оказывается не совсем тем, что они хотели скачать.

После запуска скачанного файла на компьютер жертвы ставится собственно установщик, а он уже закачивает на диск майнер и специальную утилиту, маскирующую его в системе. Также в комплекте с программой могут поставляться cервисы, которые обеспечивают его автозапуск и настраивают его работу.

Например, такие сервисы могут приостанавливать работу майнера, если пользователь запускает какую-нибудь популярную игру: поскольку майнер использует мощности видеокарты, игра может начать тормозить, а пользователь — о чем-то подозревать.

Также подобные сервисы могут пытаться выключить антивирус, приостанавливать работу майнера, если запущена программа для мониторинга активности системы или запущенных процессов, и восстанавливать майнер в случае, если пользователь его удалит.

Масштабы деятельности злоумышленников

Солнечным воскресным утром 2 декабря посетитель Starbucks в Буэнос-Айресе обратил внимание, что его ноутбук неожиданно начал тормозить и греться. Владельцем устройства оказался не обычный любитель кофе, а интернет-предприниматель Ноа Динкин. Заглянув в исходный код страницы, бизнесмен обнаружил чужеродный скрипт.

Как выяснилось, провайдер Wi-Fi для кофейни тайно использовал компьютеры посетителей для добычи Monero — восьмой по капитализации криптовалюты мира. О происшествии информировали штаб-квартиру Starbucks, и проблема была устранена, однако троянский майнинг становится все более популярным.

Пользователи YouTube обнаружили в рекламных баннерах на сервисе JavaScript-код, с помощью которого неизвестные майнеры добывают криптовалюту Monero. Он загружает процессор компьютера на 80 процентов, пока пользователь смотрит видео. Об этом рассказывает Ars Technica.

Вредоносный скрипт заметили с помощью антивируса Avast. Разработчик Диего Бетто (Diego Betto) обнаружил в коде рекламы майнер криптовалюты — он был в 9 из 10 баннеров. Злоумышленники распространили их в Японии, Франции, Италии и Испании. Сколько на этом они заработали, неизвестно.

Представитель Google сообщил, что им о проблеме уже известно. По его словам, вредоносная реклама заблокирована, а злоумышленникам закрыли доступ к продуктам компании.

Вечером 16 сентября 2017 года пользователи крупнейшего торрент-трекера The Pirate Bay столкнулись с тем, что при посещении сайта у них резко увеличивалась нагрузка на процессор. Как оказалось, создатели трекера тестировали вшитый в сайт скрипт для майнинга криптовалюты Monero.

Несколько строк кода на Javascript были размещены в нижнем колонтитуле сайта. Придуманный компанией Coinhive код позволяет владельцам сайтов использовать мощность центральных процессоров для добычи криптовалюты Monero.

Таким образом, как только пользователь The Pirate Bay переходил на страницу поиска или в раздел «категории», скрипт-майнер начинал использовать ресурсы процессора для майнинга криптовалюты Monero.

Такое положение вещей не понравилось многим пользователям (среди которых был и супермодератор The Pirate Bay), в социальных сетях разгорелись жаркие дискуссии. Чуть позже пользователи трекера выяснили, что майнер можно отключить, просто заблокировав исполнение Javascript на сайте в настройках браузера.

Способы противодействия скрытому майнингу

Если у вас есть подозрения, что на компьютере может быть установлен скрытый майнер или же вы просто хотите провести проверку системы, то рекомендуем использовать следующие рекомендации. Инструкция написана для операционной системы Windows:

• Итак, для начала берём контроль над всем, что творится на ПК, и скачиваем приложение для мониторинга всего, что есть на машине – AIDA64. Сразу замечу, что сам последнее время стараюсь пользоваться исключительно портативным софтом. Почему и зачем опишу ниже. Скачиваю в основном с сайта rsload – там чистый и рабочий софт, бери и пользуйся.
• Запускаем приложение, открываем Настройки и находим пункт OSD окно – там отмечаем показатели температуры ядер процессора и видеокарты, а также уровень их загрузки и занятую оперативную память. Нажимаем применить и получаем гаджет на рабочий стол, где отображаются выбранные показатели. Выключаем всё, что только можно – если нагрузка остаётся (точные показатели сложно назвать) – есть смысл задуматься над тем, что создаёт напряг.
• Продолжаем – стандартный диспетчер задач нам определённо не подходит. Скачиваем просто замечательную утилиту AnVir Task Manager. Это реально мощная вещь – с её помощью гораздо проще выявлять подозрительные процессы. Все неопределённые строки подсвечиваются красным и о каждом процессе можно получить максимальную информацию, чего нет в функционале похожих программ и тем более в стандартном диспетчере. Также софт ищет скрытые процессы.
• Как уже сказано – майнер может маскироваться под любую службу или даже отключаться при открытии диспетчера. Но шанс выловить его – достаточно высок. Уберите оттуда всё лишнее – все, что можно отключить на данный момент, без ущерба для работы операционной системы. Теперь идите по всем процессам подряд и выясните, что они собой представляют. В этой утилите есть функция поиска информации о процессе в Сети, а самое главное его проверка на сайте VirusTotal. Обратите внимание, сколько он съедает памяти, насколько нагружает центральный процессор и GPU (видеокарту) и откуда он работает. Скрытые майнеры часто прописываются именно в пользовательской папке, хотя не факт, конечно. Кстати, сразу включите отображение скрытых файлов и папок и не выключайте его никогда.
• Часто майнеры маскируются под процессы svchost.exe, chrome.exe и steam.exe. Ну, или вообще под нечто непонятное.
• Для обнаружения процессов, нагружающих именно GPU можно воспользоваться дополнительным диспетчером – ProcessExplorer. Он без предварительных настроек отображает этот показатель. Если вы что-то нашли – не спешите убивать процесс и вычищать папки, ведь, вероятно, через некоторое время исходным вирусом, который сидит где-то в другом месте всё будет восстановлено. А часто отключение одного процесса запускает аналогичный и наоборот. В общем, просто приостановите процесс, запомните его и файлы с ним связанные, а также проверьте их на VirusTotal. Если сервис маякнул об угрозах – начинаем процесс ликвидации.
• Кстати, а вы знаете, что и сколько занимает места на вашем жёстком диске? Особенно в разделе C:? Если нет, то рекомендую утилиту FolderSizes. Это отличная вещь. Если с помощью неё вы обнаружили на диске C: папки весом в несколько гигабайт – обязательно проверьте что там лежит! Часто авторами подобных статей упоминается о папке Ethash, который некоторые скрытые майнеры используют для хранения рабочих файлов. Но таким хранилищем может оказаться любая тяжёлая папка с любым названием.

Что делать, если майнер найти так и не удалось?

Конечно можно переустановить операционную систему, но при сохранении и переносе определенных файлов есть риск переноса майнера. Также существует еще один способ устранить данную проблему через безопасный режим. Для его запуска нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант.

В Windows 10 при перезагрузке этого сделать нельзя, поэтому открываем окно «Выполнить» (Win+R), вбиваем команду Msconfig, выбираем раздел «Конфигурация системы», где в разделе «Загрузка» выставляем необходимый режим, после чего перезагружаем машину.

Если хотите «воевать по-чёрному» – создайте загрузочную флэшку с антивирусом Dr. Web или Касперским и дополнительно просканируйте систему с неё.

Теперь в безопасном режиме начинаем запускать следующие антивирусные утилиты, предварительно скачанные в портативном варианте (хотя многие и так изначально сделаны в портэйбле):

1. Web CureIt! (качаем исключительно свежую версию с оф.сайта). Если смущает необходимость отправлять сведения о своём программном обеспечении – не используйте её, впрочем, как и остальные;
2. Kaspersky Virus Removal Tool;
3. COMODO Cleaning Essentials;
4. Junkware Removal Tool;
5. AdwCleaner (на всякий случай).

Многие сборки для скрытого майнинга используют руткиты – утилиты для сокрытия следов работы определённых процессов. Поэтому дополнительно стоит использовать TDSSKiller, который призван их убить.

Если вы уже уверены, что в системе работает скрытый майнер, и данные утилиты не помогли – воспользуйтесь программой AVZ и помощью профессионалов со специализированных форумов.

Для этого открываем AVZ и производим обновление баз через одноимённый пункт. Теперь запускаем «Исследование системы» и получаем файл avz_sysinfo.htm. Далее, заливаем его куда-нибудь и идём, например, на форум Касперского. Там находим нужную тему (она там есть) и обращаемся с просьбой помочь, обязательно приложив ссылку на полученный в AVZ файл. При хорошем раскладе, получаем скрипт, который необходимо выполнить в том же AVZ через функцию «Выполнить скрипт».

Если что-то из этих инструментов по каким-либо причинам не захочет работать в безопасном режиме – можно провести процедуры поиска и очистки в обычном режиме, но предварительно запустив утилиту RKill, которая по идее должна убить процессы, мешающие работе антивирусов.

Итак, после проверки и зачистки вирусами (если было что) – проверяем, продолжают ли работать те процессы, которые мы приметили в самом начале. Стоит учитывать, что они могут появиться несколько позже. Если антивирусы не удалили заражённые файлы – нужно сделать это вручную, предварительно использовав RKill.

Если всё прошло успешно – осталось почистить реестр от следов пребывания чужаков. Вручную – долго, и не все знают, что и как искать. Поэтому можно воспользоваться одним из чистильщиков реестра, например, CCleaner или AuslogicBootSpeed.

В случае если никакие меры не помогают (даже запуск скрипта в AVZ) – придётся либо обратиться за помощью, либо переустановить систему. А лучше сделать переустановку в любом случае.

Безопасность превыше всего

Чтобы минимизировать риски, не храните всю важную информацию на одном жестком диске. Купите флешку или второй жесткий диск, перенесите на него все необходимые данные и отключите от ПК.

Использование антивируса вряд ли даст вам надежный уровень защиты, но некоторые скрытые майнеры он сможет распознать.

Проводите периодически проверку всей системы. Тогда вы будете уверены в безопасности своего ПК и в сохранности всех данных.

Больше информации на t.me/ibsecurity