Как найти и удалить майнер

Процесс майнинга криптовалют привел к появлению нового вредоносного программного обеспечения. В нашей статье узнаете, как найти и удалить майнер, что это за вирус и как он может навредить компьютеру.

Майнинг, или майн криптовалюты, сильно поднял мир компьютерной индустрии. Магазины видеокарт и процессоров выросли в цене, а значит распространились майнеры на ваших компьютерах. Самые целеустремленные добытчики криптовалюты разработали специальное программное обеспечение, чтобы скрытно зарабатывать на мощностях других пользователей ПК.

Что такое скрытый майнер и как работает вирус

Майнеры или вирус-майнеры — вид программного обеспечения, с помощью которого злоумышленники используют для добычи криптовалюты ресурсы чужих компьютеров без ведома их владельца, сделав их частью заработка.

Обычный способ заражения выглядит следующим образом:

• Майнер внедряется на компьютер жертвы через поддельные программы, ссылки, зараженные файлы, фишинговые атаки и образы операционных систем.
• Вирус активируется и использует вычислительные мощности компьютера, снижая его производительность и увеличивая затраты на электроэнергию.
• Злоумышленник удаленно получает прибыль от добытой криптовалюты, а компьютер пользователя быстрее изнашивается, и владелец тратит больше денег на оплату счетов за электроэнергию.

Ваш компьютер гудит, перегревается и даже выходит из строя.

Чем опасен майнер на компьютере

В настоящее время разработано множество различных майнеров. Ниже перечислим связанные с ними угрозы:

• Кража личных данных. Некоторые майнеры не только скрытно используют ресурсы системы, но и анализируют ее на предмет наличия важных персональных данных. Например, программа Ragor. Она ищет информацию о логинах и паролях владельца и передает их злоумышленникам.
• Перегрузка системы. Так как майнеры используют максимум мощности железа для добычи криптовалюты, это негативно сказывается на комплектующих. Из-за постоянных высоких нагрузок деградируют кристаллы чипов процессоров и видеокарт, быстро изнашиваются системы охлаждения. Простой пример — XMrig. Он прекрасно чувствует себя во всех операционных системах.
• Замедление работы. Из-за высоких нагрузок повышается температура чипов и других «горячих» элементов комплектующих. Системы охлаждения со временем перестают справляться с подобной нагрузкой. В результате при достижении пиковых температур система компьютера пытается понизить производительность, чтобы привести температуры в норму, и возникает троттлинг. Это приводит к понижению производительности, что может в дальнейшем вылиться в краши и ошибки.

Как можно заразиться вирусом-майнером

Способов заражения множество. Перечислим некоторые из них:

1. Распространение через пиратский контент: бесплатные фильмы и музыка.
2. Взломанный софт: операционные системы, текстовые и графические редакторы.
3. Кряки — они же утилиты для бесплатной активации софта.
4. Читы для игр.
5. Дропперы или троянские программы — они скрытно от пользователя устанавливают майнеры и другое вредное ПО.

Криптоджекинг

Существует еще один способ использования майнеров — криптоджекинг:

1. Пользователь заходит на страницу сайта со скриптом.
2. Скрипт активируется, и начинается добыча криптовалюты.

Стоит отметить, что многие сайты используют этот способ добычи вместо рекламы, в открытую предупреждают об этом пользователя запрашивают у него разрешение на запуск скрипта.

Как узнать, что устройство заражено майнером: признаки

Разберем несколько типовых признаков заражения машины майнером.

1. Снижение производительности

Приложения начнут виснуть, медленно открываться или вылетать. Такой эффект будет наблюдаться, даже если компьютер только что включили.

2. Сильный нагрев комплектующих

Постоянные высокие температуры комплектующих могут свидетельствовать о заражении компьютера майнером. Проанализировать температурные показатели можно с помощью Диспетчера задач или дополнительных программ.

Температурные показатели в AIDA64Источник: Hi-Tech Mail

Для анализа температурных показателей я рекомендую использовать AIDA64 Extreme. Эта утилита имеет бесплатный пробный период и точно показывает температуру разных комплектующих. Есть также ее аналоги: HWMonitor или GPU-Z.

3. Постоянная высокая нагрузка на комплектующие

При заражении комплектующие будут постоянно загружены на максимум. В отличие от температурных показателей, данные о нагрузке можно посмотреть сразу в Диспетчере задач, нажав сочетание клавиш Ctrl+Shift+Esc.

Уровень нагрузки видеокарты и процессораИсточник: Hi-Tech Mail

Как найти майнер на ПК

Теперь поговорим о способах поиска майнеров. Сразу хотим отметить, что вредоносное ПО постоянно совершенствуется. Злоумышленники модифицируют его таким образом, чтобы пользователь не только не смог найти майнер в компьютере, но и не имел доступа к инструментам мониторинга. В зависимости от типа и версии майнера может подойти один или несколько способов поиска.

1. Диспетчер задач

Начнем с самого простого способа: анализа Диспетчера задач.

1. Нажмите сочетание клавиш Ctrl+Shift+Esc или кликните правой кнопкой мыши по панели задач и пункту Диспетчер задач.
2. Проверьте активные приложения и фоновые процессы. Процесс майнера будет оказывать высокую нагрузку на компоненты ПК и выделяться высоким энергопотреблением.

Показатели, на которые стоит обратить вниманиеИсточник: Hi-Tech Mail

Если Диспетчер задач и Монитор ресурсов сразу закрываются после открытия, вероятно, это делает майнер. Он блокирует встроенные инструменты ОС, чтобы пользователь не смог его найти.

2. Монитор ресурсов

Если в Диспетчере задач ничего подозрительного не обнаружено, можно перейти на экран монитора ресурсов:

1. Откройте вкладку Производительность и нажмите на Открыть монитор ресурсов.

Открытие монитора ресурсов через диспетчер задачИсточник: Hi-Tech Mail

1. Если данный способ не работает, нажмите сочетание клавиш Win + R и введите команду resmon в командной строке.

Команда запуска монитора ресурсовИсточник: Hi-Tech Mail

1. Просмотрите список процессов. При обнаружении подозрительного (пусть даже не активного) процесса кликните правой кнопкой мыши по нему и нажмите Поиск в интернете. Поисковик выдаст вам название процесса, зачем он нужен и предупредит в случае, если это вредоносное ПО.

Внешний вид монитора ресурсовИсточник: Hi-Tech Mail

3. Сторонние программы

Мошенники порой настраивают майнеры так, что при включении монитора ресурсов или диспетчера задач майнер перестает нагружать компьютер и маскируется среди обычных процессов. В этом случае можно попробовать воспользоваться сторонним программным обеспечением. В нашем случае это будет Process Explorer.

1. Скачайте и распакуйте утилиту.
2. Запустите procexp64.exe
3. Проанализируйте процессы с помощью списка.

Внешний вид Process ExplorerИсточник: Hi-Tech Mail

4. Физически отключить интернет

Дополнительный способ можно использовать в совокупности со всеми вышеперечисленными. Майнеры не работают без подключения к интернету. Можно отсоединить кабель, параллельно проводя мониторинг активных процессов и посмотреть, какой из них реагирует активнее всего на отключение/подключение интернета.

5. Антивирус

Антивирусы не всегда помогают в поиске майнеров. Однако их можно использовать как вспомогательный инструмент. С этой задачей неплохо справляются Dr.Web и Kaspersky Free.

Как удалить майнер с компьютера

Перейдем к способам удаления майнера с компьютера.

1. Удаление вручную

Если пользователю удалось удалось найти процесс, связанный с майнингом в Диспетчере задач или любом другом обозревателе:

1. В Диспетчере задач выберите подозрительный процесс.
2. Нажмите на него правой кнопкой мыши и затем на раздел «Открыть расположение файла».
3. После открытия расположения файла снова тапните правой кнопкой мыши по процессу и выберите «Снять задачу».
4. Разверните папку расположения файла и удалите ее с накопителя и из Корзины.

2. Удаление с помощью AVZ

AVZ — бесплатная утилита для создания карантина, удаления подозрительных файлов и получения отчетов о результатах исследования системы.

Для ее работы необходимо:

1. Скачать с официального сайта дистрибутив.
2. Распаковать в любое удобное место.
3. Открыть файл avz5rn.exe.
4. Нажать в правой части значок с синими стрелками для обновления баз.

Сканирование системыИсточник: Hi-Tech Mail

1. Выставить галочки напротив всех процессов и запустить проверку.
2. Потенциально опасные файлы будут обозначены красным цветом.

Потенциальная опасность обнаружена утилитойИсточник: Hi-Tech Mail

1. Нажмите на иконку с очками, чтобы запустить инструменты исправления.

Нахождение иконки настроекИсточник: Hi-Tech Mail

1. Поместите файлы в карантин или удалите их.

Помещение в карантин или удаление потенциально опасных процессовИсточник: Hi-Tech Mail

3. Полная переустановка операционной системы

В исключительных случаях майнеры могут полностью блокировать доступ к интерфейсу компьютера. При возникновении подобной проблемы рекомендуется переустановить операционную систему. Инструкцию можно найти здесь.

Как избежать заражения майнером в будущем

Чтобы избежать заражения в будущем:

1. Не скачивайте непроверенные файлы с сомнительных сайтов.
2. Воздержитесь от установки сомнительных сборок операционных систем Windows, MacOS, Linux и т. д.
3. Установите антивирус для дополнительной защиты. Из бесплатных можно обратить внимание на PRO32, Dr.Web и Kaspersky Free.
4. Скачайте AVZ и Process Explorer для мониторинга ресурсов ПК и использования их в качестве резервного ПО, если встроенные инструменты Windows не будут доступны.
5. При скачивании кряков или читов для игр обязательно проверяйте их антивирусом. После установки дополнительно запускайте AVZ и ее аналоги для анализа поведения процессов в операционной системе.

Немного о современных реалиях майнинга

Стоит отметить, что к концу 2024 года рынок майнинга сильно трансформировался. Был принят ряд мер, благодаря которым распространять вирусы-майнеры стало невыгодно:

• В России вышел закон, легализующий данную деятельность. В некоторых регионах майнинг запрещен на законодательном уровне.
• Производители видеокарт выпустили специальные LHR-видеокарты, аппаратно защищенные от майнинга.
• Майнить рационально не на компьютерных комплектующих, а на специальном оборудовании в составе пулов.

Типовой модуль для майнингаИсточник: Intelion Data System

• Имеются существенные проблемы с прогнозами и обеспечением будущего криптовалюты.

Советы эксперта

Приглашенный эксперт Валентин Поляков, владелец продукта PRO32 Антивирус, ответил на популярные вопросы о вирусах-майнерах.

1. Насколько майнеры-вирусы опасны при заражении компьютеров?

Вирусы-майнеры представляют реальную опасность для компьютеров, которые они заразили. После заражения вирус-майнер запускает процесс добычи (майнинга) криптовалюты на электронный кошелек злоумышленника, задействуя для этого ресурсы устройства. Как правило, этот процесс запускается в фоновом режиме и нагружает видеокарту или процессор по максимуму. Компьютер «зависает» без видимой на то причины, вентиляторы охлаждения постоянно вращаются на повышенных оборотах и шумят. Пользователь не понимает в чём дело, ведь он не запускал никаких ресурсоёмких приложений или программ. При постоянной работе в таком режиме ресурс устройства сокращается, возникает риск перегрева его компонентов, выхода из строя системы охлаждения и последующего дорогостоящего ремонта.

2. Как часто к вам обращаются клиенты с просьбой приобрести ПО для защиты от вирусов-майнеров?

Нередко мы получаем запросы от клиентов, которые подозревают, что их устройство заражено вирусом-майнером и желают приобрести лицензию на антивирус, чтобы удалить его и подстраховаться от повторного заражения в будущем. Как правило, симптомы заражения достаточно очевидны, и даже простой пользователь быстро понимает, что что-то не так, и задумывается о необходимости использования антивируса. Но существует и другая разновидность майнеров, которые запускаются только в момент простоя компьютера. В этом случае пользователю сложнее заметить вирус. Но описанные выше симптомы всё равно будут проявляться.

3. Какое самое эффективное средство для защиты от майнеров-вирусов?

Для защиты от вирусов-майнеров используются те же средства, что для борьбы с любыми другими вирусами. Используйте надежный антивирус, регулярно обновляйте операционную систему и другое ПО, устанавливайте приложения только из проверенных источников.

4. Можете ли вы сказать, как майнеры-вирусы чаще всего попадают на компьютеры пользователей? Какие излюбленные трюки применяют мошенники?

В последнее время мы чаще всего сталкиваемся со случаями заражения вирусами-майнерами при попытке пользователей выполнить активацию Windows при помощи нелегального ПО, в которое вшит вредоносный код майнера. Как правило, в инструкции к подобной «активации» указано, что необходимо временно отключить антивирус, чтобы процедура прошла успешно. Таким образом, если активатор содержит в себе вредоносный код вируса-майнера, он беспрепятственно проникает на компьютер жертвы. Лечение уже зараженной системы оказывается сложнее, чем если бы вирус был обнаружен до его запуска.

5. Как обычному пользователю защитить себя от майнеров-вирусов?

Если вы подозреваете, что устройство уже заражено, а антивирус не установлен, первое, что нужно сделать — это установить антивирус и выполнить полное сканирование системы.

Главное о майнерах

Подытожим все вышеперечисленное:

1. Будьте внимательны при скачивании файлов из интернета.
2. Имейте на компьютере установленный антивирус и утилиту для диагностики работы ОС.
3. Обнаружив резкое увеличение нагрузки на систему, автоматическое закрытие браузера, Диспетчера задач и Диспетчера процессов сразу запускайте антивирус и программу анализа процессов для мониторинга и выявления вредоносного ПО.
4. Избегайте непроверенных сайтов, на которых могут быть скриптовые майнеры.
5. Майнинг подвержен ряду неопределенностей и повышению сложности добычи криптовалюты. В связи с этим эффект использования майнеров падает и их распространение становится бессмысленным.