Скрытый майнер для криптовалют – уже не новая тема, хотя достойных технических инструкций по его обнаружению и ликвидации почти нет. Есть лишь масса разрозненной информации и статьи сомнительного содержания. Почему? Потому что всем выгоден майнинг криптовалют в мировых масштабах, кроме, конечно, того, кто копейки с этого не получает и даже не подозревает, что стал частью глобальной вычислительной сети. И действительно – ведь принцип скрытого майнинга может стать чем-то большим, чем просто добычей монеток в чужой карман.
Понятие скрытого майнинга
Речь здесь пойдёт не о майнинге, до поры скрытом от ЖКХ, но о скрытой добыче койнов на обычном компьютере, при том, что сам владелец компьютера об этом ни сном ни духом. Иными словами, для добычи криптовалюты возможно не только использование собственного компьютера, но и множества чужих машин.
И необязательно, что нагрузка на видеокарту или процессор должна возрасти до 100% – эти умники осторожны и не станут нагружать машину участника своей сети в неразумных пределах. Вы можете, в принципе, и не заметить большой разницы, если у вас достаточно мощная техника. Это важное условие для сохранения скрытой работы майнера.
Впервые официальные сообщения о явлении скрытого майнинга начали появляться в 2011 году, а в 2013 году уже произошло массовое заражение ПК в различных странах, посредством Скайпа. Причём трояны не только майнили, но и получали доступ к биткойн-кошелькам.
Самый известный случай – попытка разработчиков μTorrent таким образом дополнительно заработать на пользователях внедрив в софт скрытый майнер EpicScale.
Дополнительные сведения о ботнетах – эта информация даст общее представление о явлении.
Принципы работы
И всё же – как это конкретно работает? Всё просто – втайне от пользователя, например, при открытии любого файла, ему устанавливается программа-клиент, которая подключается к одному из майнинг-пулов и начинает добывать криптовалюту. Говорить что это именно Биткойн не стану – сейчас на простых машинах выгоднее добывать другие монеты. Майнинг-пулы часто сами подбирают для конкретной конфигурации оборудования наиболее подходящий вариант.
Поэтому пулы – идеальный вариант для создания собственной майнинг-сети (ботнета). И занимаются этим сейчас (или пытаются) все кому не лень – от профи до школьников, завсегдатаев всевозможных «дарк-форумов» со сливами «безотказных и проверенных» схем всего за 500 руб, а то и задаром. Оплата символическая – по той причине, что выстраивается схема, где распространитель такого майнера имеет определённый процент со своих «адептов». Их жертвами становятся, как правило, игроманы, у которых, естественно, установлены мощные видеокарты и процессоры. Но это не факт – кто угодно может получить в подарок такую «игрушку».
Заражение происходит различными способами:
- Через любые запущенные файлы;
- Прямой подсадкой на ПК (редкость);
- Посредством несанкционированного удалённого доступа.
Почему работа майнера возможна в скрытом режиме?
- Майнер распространется в связке с кряками, патчами, варезным софтом, торрентами или даже в виде простых файлов, таких как картинки или вордовские файлы, приложенные к сообщениям;
- Установка производится в тихом режиме;
- Процесс маскируется под одну из служб Windows или не отображается вовсе;
- Во время повышенной нагрузки на машину – майнер отключается, чтобы не вызывать заметное торможение.
Всё это позволяет существовать подобным троянам на тысячах машин и приносить стабильный доход владельцам. Для осуществления этого делаются специальные сборки, в которых есть всё необходимое.
В общих чертах, это устроено приблизительно так, но, по факту, это делают ещё сложнее, чтобы майнер было не так просто удалить. К примеру, в глубине системы сидит исходный файл, который постоянно восстанавливает майнер в случае его удаления вручную или антивирусом.
Методы обнаружения и удаления
Во всех инструкциях говорят об одном и том же – если ваш ПК стал тормозить, то, вероятно, это вирус-майнер, который загрузил центральный процессор и видеокарту. В этом случае нужно проверить диспетчер задач и просканировать систему антивирусами на трояны. Отчасти это верный подход, но если подумать – то это крайне поверхностные меры.
Полноценной инструкции от специалиста, например, из Касперского, к слову сказать, я не обнаружил – хотя найденные инструкции преимущественно были довольно старые и, судя по всему, созданные для древних майнеров 2010 года, сделанных на «коленке» неким Василием. Поэтому тогда этих мер было вполне достаточно.
Но для людей, которые, вероятно, имеют обо всём этом лишь слабое представление, вовсе не упоминается о подобных аспектах:
- Нестандартные способы запуска;
- Наличие двух процессов, которые перезапускают друг друга в случае попыток их завершить;
- Перезагрузка ПК при попытке получить доступ к файлам майнера или попытке удалить их из автозагрузки;
- Процессы, которые не дают нормально работать антивирусам.
Круто, правда? Это порой и не даёт избавиться от майнера детскими мерами, которые, не задумываясь, переписываются писателями инструкций в ключе «… и он больше не будет добывать какие-то там так называемые биткойны». Хотя подобную идею можно было бы пустить в положительное русло.
Алгоритм работы
Сразу отмечу – здесь нужен комплексный подход, и придётся немного потрудится. Алгоритм подходит не только для обнаружения и удаления скрытых майнеров, но и для любых троянских программ, в частности, шпионского ПО, которое скрытно сидит в процессах и делает своё дело.
Также упомяну, что эти действия могут не дать эффекта, но в состоянии всё же помочь. На крайний случай можно переустановить систему или обратиться к спецу, но это не лучший вариант. Хотя в итоге обновить операционку и организовать рабочий процесс несколько по-иному имеет смысл, но об этом позже.
Итак, с чего начать и нужно ли? Даже если вас всё устраивает в работе машины – лучше проделайте эти нехитрые манипуляции. Поверьте – вы можете обнаружить много чего любопытного и избавить себя от проблем в будущем. Я не специалист по кибербезопасности, но это логически оправданные действия. Возможно, все эти советы для некоторых покажутся банальными, но по собственному опыту знаю, что многие пренебрегают элементарными вещами и аудитория этого ресурса не состоит сплошь из прожжённых кул хацкеров.
У меня на данный момент установлена Windows, поэтому инструкция создана именно на её примере. Общепринятый совет перед подобной работой сохранить все данные с ПК на отдельный носитель/облако всерьёз не воспринимайте – это бред. Если вирусы есть – они попадут в бэкап. Выхода только два – переустановить винду или лечить её.
Итак, для начала берём контроль над всем, что творится на ПК, и скачиваем приложение для мониторинга всего, что есть на машине – AIDA64. Сразу замечу, что сам последнее время стараюсь пользоваться исключительно портативным софтом. Почему и зачем опишу ниже. Скачиваю в основном с сайта rsload – там чистый и рабочий софт, бери и пользуйся.
Запускаем приложение, открываем Настройки и находим пункт OSD окно – там отмечаем показатели температуры ядер процессора и видеокарты, а также уровень их загрузки и занятую оперативную память. Нажимаем применить и получаем гаджет на рабочий стол, где отображаются выбранные показатели. Выключаем всё, что только можно – если нагрузка остаётся (точные показатели сложно назвать) – есть смысл задуматься над тем, что создаёт напряг.
Продолжаем – стандартный диспетчер задач нам определённо не подходит. Скачиваем просто замечательную утилиту AnVir Task Manager. Это реально мощная вещь – с её помощью гораздо проще выявлять подозрительные процессы. Все неопределённые строки подсвечиваются красным и о каждом процессе можно получить максимальную информацию, чего нет в функционале похожих программ и тем более в стандартном диспетчере. Также софт ищет скрытые процессы.
Как уже сказано – майнер может маскироваться под любую службу или даже отключаться при открытии диспетчера. Но шанс выловить его – достаточно высок. Уберите оттуда всё лишнее – все, что можно отключить на данный момент, без ущерба для работы операционной системы. Теперь идите по всем процессам подряд и выясните, что они собой представляют. В этой утилите есть функция поиска информации о процессе в Сети, а самое главное его проверка на сайте VirusTotal. Обратите внимание, сколько он съедает памяти, насколько нагружает центральный процессор и GPU (видеокарту) и откуда он работает. Скрытые майнеры часто прописываются именно в пользовательской папке, хотя не факт, конечно. Кстати, сразу включите отображение скрытых файлов и папок и не выключайте его никогда.
Часто майнеры маскируются под процессы svchost.exe, chrome.exe и steam.exe. Ну, или вообще под нечто непонятное.
Для обнаружения процессов, нагружающих именно GPU можно воспользоваться дополнительным диспетчером – ProcessExplorer. Он без предварительных настроек отображает этот показатель. Если вы что-то нашли – не спешите убивать процесс и вычищать папки, ведь, вероятно, через некоторое время исходным вирусом, который сидит где-то в другом месте всё будет восстановлено. А часто отключение одного процесса запускает аналогичный и наоборот. В общем, просто приостановите процесс, запомните его и файлы с ним связанные, а также проверьте их на VirusTotal. Если сервис маякнул об угрозах – начинаем процесс ликвидации.
Кстати, а вы знаете, что и сколько занимает места на вашем жёстком диске? Особенно в разделе C:? Если нет, то рекомендую утилиту FolderSizes. Это отличная вещь. Если с помощью неё вы обнаружили на диске C: папки весом в несколько гигабайт – обязательно проверьте что там лежит! Часто авторами подобных статей упоминается о папке Ethash, который некоторые скрытые майнеры используют для хранения рабочих файлов. Но таким хранилищем может оказаться любая тяжёлая папка с любым названием.
Теперь, даже в случае, если до этого ничего не было найдено – приступайте к следующей фазе. Здесь вам потребуется полный комплект «боевого софта».
Для надёжности лучше проводить сканирование и удаление вероятных угроз в безопасном режиме. Часто подобные вирусы не дают себя обнаружить или удалить, но в безопасном режиме это становится возможным. Для его запуска нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант.
В Windows 10 при перезагрузке этого сделать нельзя, поэтому открываем окно «Выполнить» (Win+R), вбиваем команду Msconfig, выбираем раздел «Конфигурация системы», где в разделе «Загрузка» выставляем необходимый режим, после чего перезагружаем машину.
Если хотите «воевать по-чёрному» – создайте загрузочную флэшку с антивирусом Dr. Web или Касперским и дополнительно просканируйте систему с неё.
Теперь в безопасном режиме начинаем запускать следующие антивирусные утилиты, предварительно скачанные в портативном варианте (хотя многие и так изначально сделаны в портэйбле):
- Web CureIt! (качаем исключительно свежую версию с оф.сайта). Если смущает необходимость отправлять сведения о своём программном обеспечении – не используйте её, впрочем, как и остальные;
- Kaspersky Virus Removal Tool;
- COMODO Cleaning Essentials;
- Junkware Removal Tool;
- AdwCleaner (на всякий случай).
Многие сборки для скрытого майнинга используют руткиты – утилиты для сокрытия следов работы определённых процессов. Поэтому дополнительно стоит использовать TDSSKiller, который призван их убить.
Если вы уже уверены, что в системе работает скрытый майнер, и данные утилиты не помогли – воспользуйтесь программой AVZ и помощью профессионалов со специализированных форумов.
Для этого открываем AVZ и производим обновление баз через одноимённый пункт. Теперь запускаем «Исследование системы» и получаем файл avz_sysinfo.htm. Далее, заливаем его куда-нибудь и идём, например, на форум Касперского. Там находим нужную тему (она там есть) и обращаемся с просьбой помочь, обязательно приложив ссылку на полученный в AVZ файл. При хорошем раскладе, получаем скрипт, который необходимо выполнить в том же AVZ через функцию «Выполнить скрипт».
Если что-то из этих инструментов по каким-либо причинам не захочет работать в безопасном режиме – можно провести процедуры поиска и очистки в обычном режиме, но предварительно запустив утилиту RKill, которая по идее должна убить процессы, мешающие работе антивирусов.
Итак, после проверки и зачистки вирусами (если было что) – проверяем, продолжают ли работать те процессы, которые мы приметили в самом начале. Стоит учитывать, что они могут появиться несколько позже. Если антивирусы не удалили заражённые файлы – нужно сделать это вручную, предварительно использовав RKill.
Если всё прошло успешно – осталось почистить реестр от следов пребывания чужаков. Вручную – долго, и не все знают, что и как искать. Поэтому можно воспользоваться одним из чистильщиков реестра, например, CCleaner или AuslogicBootSpeed.
В случае если никакие меры не помогают (даже запуск скрипта в AVZ) – придётся либо обратиться за помощью, либо переустановить систему. А лучше сделать переустановку в любом случае.
Кстати, вот здесь находится «боевой» набор из мелких портативных утилит, которые я использовал. Но, Dr. Web CureIt, Kaspersky Virus Removal Tool и COMODO Cleaning Essentials скачайте с оф. сайтов в свежем виде. Все утилиты абсолютно бесплатны.
Между прочим, бизнес на вирусах и антивирусах – это очень прибыльная тема, точно такая же, как и торговля оружием. Иными словами, сначала нужно продать одному вирус для «тёмных дел», а потом продать жертве антивирус для защиты. И получается, что две стороны сражаются, а третья сторона греет на этом руки. Поэтому пытаясь выбить очередной вирус из системы – не приобретайте платный софт, рубите порочный круг.
