Как да откриете и премахнете скрит миньор - инструкции стъпка по стъпка в снимки. Подробности за скрития майнинг, неговото откриване и премахване Как да създадете скрит биткойн майнер

Здравейте всички. Днес ще говоря за миньорите на вируси. Какво е това? Къде можете да ги хванете? Какво ще се случи с компютъра, ако е заразен с миньор? Как да се отървем от миньорския вирус?

Какво е миньорски вирус?

Това е вирус, който използва изчислителните ресурси на вашия компютър, за да печели криптовалути. Тоест измамникът, използвайки ресурсите на вашия компютър и вашата електроенергия, печели истински пари! Много компютри сега са заразени с този вирус, повечето от компютрите, които се предоставят на нашата услуга, сега също са заразени с вируса миньор и потребителите дори не знаят, че са заразени. Има стотици хиляди или дори милиони такива компютри, представете си колко печели собственикът на такъв вирус. Между другото, в едно от моите видеоклипове показах как можете сами да правите пари - копайте криптовалути на вашия компютър.

Копаене на домашен компютър

Сега е много лесно да хванете миньорски вирус и ето къде можете да го хванете:

Изтегляне на програми от съмнителни източници

Преди това така нареченият допълнителен софтуер беше вграден в програмите, така че всякакви глупости да не се инсталират на компютъра, трябваше внимателно да извършите инсталацията и да премахнете отметките от всички квадратчета, които без ваше разрешение можеха да инсталират допълнителни, често злонамерени софтуер на компютъра, мисля, че всеки помни това. В наши дни софтуерът за копаене също е вграден в инсталатора на програмата. Понякога, когато инсталирате миньорски вирус, дори няма да видите съобщение за инсталирането му. Майнерът ще се инсталира сам без ваше знание или изискване. За да предотвратите това да се случи, не забравяйте да използвате антивирусна програма, да изтегляте програми само от надеждни източници и внимателно следвайте всички квадратчета за отметка, когато инсталирате допълнителен софтуер или използвайте програмата Uncheky. И както съм казвал много пъти, всички файлове трябва да се проверяват през уебсайта virustotal.

Изтегляне на пиратски игри

Точно онзи ден ни донесоха компютър, компютърът беше сервизиран от нас, собственикът се оплака, че играта, която преди това произвеждаше 100 FPS, започна да произвежда 20-30 FPS, въпреки че компютърният хардуер не се промени, нито драйверите или Windows. Човек е инсталирал по-нова версия на играта, като я е изтеглил от торент, т. нар. repack. Започнахме проверка и установихме, че при достатъчно мощен компютър играта го зарежда на 100%. Целият процесор и видео карта бяха заредени. Започнахме да търсим причината за тази активност и се оказа, че заедно с играта човекът е инсталирал и миньорски вирус. Работеше изключително хитро, само по време на игра и беше много трудно да се разбере, че миньорът зарежда компютъра, защото играта също натоварва. Най-вероятно измамниците са били просто алчни и са задали настройките на миньора на твърде висок процент от натоварването на картата и процента. Ако този процент беше по-нисък, собственикът нямаше да забележи, че компютърът му е заразен с миньорски вирус. Вашите игри започнаха ли да дават проблеми, които преди работеха добре? Може би е миньор! И можете сами да търсите такива случаи в интернет.

Просто като посетите любимия си уебсайт

Историята е забавна и как трогна сайта ми. Моят сайт има няколко модератори, които наблюдават сайта и отговарят на коментари. И така, един от моите модератори инсталира код на сайта, който стартира копаене на криптовалута директно през вашия браузър без ваше знание или разрешение. Трябва само да отворите която и да е страница от сайта. Целият ви процесор работи за собственика на сайта. Разбира се, всичко на моя сайт вече е коригирано и модераторът отиде на добре познато място. Искате ли да видите как работи? Създадох отделен, на който оставих този скрипт. Между другото, ако искате да помогнете на моя проект, можете да отворите тази страница и вашият компютър ще работи за мен). И вече забелязах такъв скрипт за копаене на много сайтове, където можете да гледате филм или сериал, така собствениците на сайтове монетизират сайтовете си. Много хора инсталират рекламни блокове и уебсайтовете стават нерентабилни; това е единственият начин да печелите пари от уебсайт.

Какво ще се случи с компютъра, ако е заразен с миньор?

Просто е, компютърът ви винаги ще работи при максимално натоварване. Това може да доведе до прегряване и повреда на оборудването; ако не следите температурата, препоръчвам да наблюдавате температурата на компютъра чрез програмата. Освен това при постоянна повишена температура компютърните части ще имат намален експлоатационен живот. При постоянно натоварване компютърът ще консумира много електроенергия.

Как да се отървете от миньорския вирус?

Много е просто, имам добро видео за това как да премахнете всички вируси от компютъра си, ще ви подхожда:

Премахнете всички вируси от вашия компютър

Просто почистете компютъра си и бъдете нащрек в бъдеще!

Е, какво да правим със сайтове, които имат скрипт за миньор? Трябва да инсталирате плъгин във вашия браузър, който деактивира JS на уебсайтове. За базирани на Chrome браузъри този плъгин е Tampermonkey, а за Firefox е NoScript. Инсталирайте добавката и деактивирайте изпълнението на скрипт на нежелани сайтове.

Представям на вашето внимание моето видео

Ако вашият компютър постоянно се забавя и работи на максимален капацитет, тогава това е причина да го проверите за миньорски вируси. Нека да разгледаме как да открием скрит миньор на компютър и да го премахнем.

Какво е това и защо е опасно?

Скритият копач е вирусна програма, която използва производителността на вашия компютър за копаене на криптовалути. Заразяването става чрез:

• злонамерени съобщения;
• изтеглени файлове;
• спам поща.

Видеото обяснява по-подробно какво е майнинг и как работи.

Първите споменавания за скрито копаене се появиха през 2011 г., но тогава това бяха изолирани случаи. В началото на 2018 г. този проблем заема едно от челните места в новинарските емисии.

Троянският миньор представлява голяма опасност за компютъра:

1. Намалява експлоатационния живот на хардуера.
   Компютърът работи при максимално натоварване за дълго време, което се отразява негативно на максималния експлоатационен живот:
   • процесор;
   • видео карти;
   • охладителни системи.
2. Ограничава производителността.
   Когато използва заразен компютър за своите задачи, потребителят получава оскъдна производителност, тъй като по-голямата част от нея отива за скрито копаене.
3. Осигурява достъп до лични данни.
   Тъй като миньорът е троянски кон, той получава достъп до личната информация на потребителя. Напоследък зачестиха случаите на кражба на електронни портфейли и пароли. Нападателят не само използва производителността на вашия компютър, но и краде поверителни данни.

Забележка! Последната актуализация на Windows получи защита срещу копаене. Можете да се запознаете с информацията, като кликнете върху връзката „Windows 10 защитава вашия компютър от скрито копаене“.

Как да откриете и премахнете

съвет! Сканирайте системата си с антивирус, може да попаднете на обикновен миньор, който не крие присъствието си. В този случай той ще бъде открит и автоматично премахнат от антивирусен софтуер.

Обикновено е доста трудно за потребителя да открие троянски кон, тъй като разработчиците на вирусния софтуер са се опитали да скрият работата му колкото е възможно повече. Новите миньори са в състояние да прикрият своите дейности:

• Деактивирайте, докато потребителят работи с взискателни приложения.
• Маскиране като други приложения в диспечера на задачите.
• Работете само когато компютърът е неактивен.

Вашият компютър може да бъде заразен, без дори да го забележите. Всичко зависи от изобретателността на хакерите. Ще се опитаме да обясним възможно най-подробно как да идентифицираме зловреден софтуер.

важно! Бъдете внимателни, когато изтривате всеки файл, особено ако не сте сигурни за предназначението му. Вие извършвате всички действия на свой собствен риск!

Чрез диспечера на задачите

Нека се докоснем малко до Интернет копаенето. Има сайтове, които с помощта на специален скрипт получават достъп до производителността на вашия компютър. Хакерът, заобикаляйки защитата на интернет ресурса, качва своя злонамерен код там, който копае криптовалути, докато сте на сайта.

Много е лесно да разберете, че сте се сблъскали с такъв, защото когато го посетите, компютърът ви ще започне да се забавя, а диспечерът на задачите ще покаже голямо натоварване на хардуера. Достатъчно е просто да напуснете сайта, за да спрете процеса на добив.

За да откриете зловреден софтуер в системата:

1. Отидете до диспечера на задачите, като задържите едновременно „Ctrl + Shift + Esc“.
   
2. Наблюдавайте процесите за 10 минути пълно бездействие (включително движения на мишката и натискане на клавиши).
   

   важно! Някои вируси затварят или блокират диспечера на задачите, за да скрият дейността си.
   Ако диспечерът се затвори сам или някаква програма започна да зарежда системата, това означава, че компютърът е заразен с миньора.

3. Ако вирусът не бъде открит, отидете в раздела „Подробности“.
   
4. Намерете процес, който се различава от стандартния (например странни символи) и запишете името.
5. 
   
6. „Редактиране“ → „Намиране“.
   
7. 
   

   важно! Ако не сте сигурни, че файлът може да бъде изтрит, пишете ни в коментарите, ние ще се опитаме да помогнем.

   
   
8. Сканирайте системата с антивирусна програма (например използвахме стандартна антивирусна програма, която се намира в „Старт“ → „Настройки“ → „Актуализация и защита“ → „Windows Defender“).
9. Рестартирайте вашия компютър.

Чрез диспечера на задачите AnVir

Многофункционалният мениджър на процеси AnVir ще ви помогне да откриете скрит вирус.

1. Изтеглете и инсталирайте помощната програма.
2. Стартирайте го и вижте изпълняваните процеси.
   
3. Ако сте подозрителни, задръжте курсора на мишката върху приложение, за да се покаже информация за него.
   
   

   Забележка! Някои троянски коне се маскират като системно приложение, но не могат да фалшифицират подробности.

4. След това RMB → „Подробна информация“ → „Ефективност“.
   
   
5. Като изберете „1 ден“, вижте натоварването на вашия компютър през това време.
   
   
6. Ако даден процес е натоварил силно системата, задръжте курсора върху него → запишете името и пътя.
   
   
7. Щракнете с десния бутон върху процеса → „Край на процеса“.
   
8. В търсенето на Windows въведете „regedit“ → отидете в системния регистър.
   
9. „Редактиране“ → „Намиране“.
   
10. Въведете име на файл → премахнете всички съвпадения.
    
11. Ако бъдат открити заплахи, потвърдете премахването им.
12. Рестартирайте вашия компютър.

Скритите копачи на криптовалути не са нова тема, въпреки че почти няма прилични технически инструкции за тяхното откриване и елиминиране. Има само маса от разпръсната информация и статии със съмнително съдържание. Защо? Защото всички печелят от копаене на криптовалути в глобален мащаб, с изключение, разбира се, на онези, които не получават нито стотинка от това и дори не подозират, че са станали част от него. И наистина, принципът на скрито копаене може да се превърне в нещо повече от просто получаване на монети в джоба на някой друг.

Концепцията за скрито копаене

Тук не говорим за копаене, което за момента е скрито от жилищните и комуналните услуги, а за скритото копаене на монети на обикновен компютър, въпреки факта, че самият собственик на компютъра не е в неведение за това . С други думи, за копаене на криптовалута е възможно не само да използвате собствения си компютър, но и машини на много други хора.

И не е необходимо натоварването на видеокартата или процесора да се увеличи до 100% - тези умници са внимателни и няма да натоварят машината на член на тяхната мрежа до неразумни граници. По принцип може да не забележите голяма разлика, ако имате доста мощна техника. Това е важно условие за поддържане на скритата работа на миньора.

За първи път официални доклади за феномена скрито копаене започнаха да се появяват през 2011 г., а през 2013 г. вече имаше масово заразяване на компютри в различни страни чрез Skype. Освен това троянските коне не само добиват, но и получават достъп до биткойн портфейли.

Най-известният случай е опит на разработчиците на μTorrent да спечелят допълнителни пари от потребителите чрез въвеждане на скрития копач EpicScale в софтуера.

Вирус миньор (миньор, биткойн миньор) е злонамерен софтуер, чиято основна цел е копаене - печелене на криптовалута, използвайки ресурсите на компютъра на жертвата. В идеалния случай такъв софтуер трябва да работи възможно най-тайно, да има висока устойчивост и ниска вероятност за откриване от антивирусни програми. „Висококачественият“ копач на вируси е едва забележим, почти не пречи на работата на потребителя и е трудно да се открие от антивирусен софтуер. Основната външна проява на вирусна инфекция е повишеното потребление на компютърни ресурси и в резултат на това допълнително нагряване и повишен шум от вентилаторите на охладителната система. В случай на „нискокачествен“ миньорски вирус, в допълнение към изброените симптоми, има намаляване на цялостната производителност на компютъра, краткотрайни замръзвания или дори неспособност на някои програми.

Какво е майнинг?

Думата „минодобив“ идва от английското „mining“, което означава „разработване на полезни изкопаеми“. Майнингът не е нищо повече от процес на създаване на нови единици криптовалута (криптовалути) с помощта на специален алгоритъм. Днес има около хиляда разновидности на криптовалути, въпреки че всички те използват алгоритмите и протоколите на най-известния начинаещ - Биткойн .

Процесът на копаене е решение на сложни проблеми с интензивно използване на ресурси за получаване на уникален набор от данни, потвърждаващи автентичността на платежните транзакции. Скоростта на намиране и броят на криптовалутните единици, получени като награди, са различни в различните валутни системи, но във всеки случай изискват значителни изчислителни ресурси. Хардуерната мощност за копаене обикновено се измерва в мегахешове (MHash) и гигахешове (GHash). Тъй като сложността на копаене на най-скъпите криптовалути отдавна е недостижима на един компютър, специални ферми, които са мощни изчислителни системи на индустриално ниво и басейникопаене - компютърни мрежи, в които процесът на копаене се разпределя между всички участници в мрежата. Копаенето в общ пул е единственият начин обикновеният потребител да участва в получаването на поне малка печалба от процеса на създаване на крипто монети. Пуловете предлагат различни модели за разпределение на печалбата, включително мощността на клиентското оборудване. Е, съвсем ясно е, че като карат десетки, стотици и дори хиляди компютри, заразени с миньора, в пул, нападателите получават определена печалба от експлоатацията на компютърно оборудване на други хора.

Вирусите за копаене са насочени към дългосрочно използване на компютъра на жертвата и, когато са заразени, обикновено инсталират допълнителен софтуер, който възстановява основната програма за копаене, ако е повредена, изтрита от антивирусна програма или се срине по някаква причина. Естествено, основната програма е конфигурирана по такъв начин, че резултатите от копаене да са обвързани с акаунтите на нападателите в използвания пул. Основната програма използва легален софтуер за копаене, който се изтегля от официални уебсайтове за криптовалута или специални пулове ресурси и всъщност не е злонамерен софтуер (вирус, вирусен софтуер - софтуер). Можете сами да изтеглите и инсталирате същия софтуер на вашия собствен компютър, без да предизвиквате специални подозрения към антивирусната програма, използвана във вашата система. И това не показва ниското качество на антивирусния софтуер, а по-скоро обратното - липсата на фалшиви алармени събития, защото цялата разлика между копаене, полезно за потребителя, и копаене, полезно за нападателя, се крие в това кой ще притежава своите резултати, т.е. от акаунт в пула.

Както вече споменахме, основният признак на заразяване на системата от миньор е интензивното използване на ресурси от някаква програма, придружено от повишаване на нивото на шума на системния блок, както и температурата на компонентите. Освен това, в многозадачна среда, като правило, вирусът работи с най-нисък приоритет, използвайки системни ресурси само когато компютърът е неактивен. Картината изглежда така: компютърът не е зает с нищо, той не работи, а температурата на компонентите му и шумът, издаван от вентилацията, напомнят за режим на игра в някой много взискателен компютърен шутър. Но на практика е имало случаи, когато приоритетът на минните програми е бил зададен на стандартната стойност, което е довело до рязък спад на полезната производителност. Компютърът започна да се „бави“ ужасно и беше почти невъзможно да се използва.

Премахване на миньор чрез връщане към точка за възстановяване

Най-лесният начин да се отървете от нежелан софтуер е да върнете Windows в предишно състояние с помощта на точки за възстановяване, често наричани връщане назад на системата. Това изисква да има точка за възстановяване, създадена в момент, когато инфекцията все още не е настъпила. За да стартирате инструмента за възстановяване, можете да използвате клавишната комбинация Win+r и да въведете командата rstrui.exeв полето за въвеждане, което се отваря. Или използвайте главното меню – „Програми – Аксесоари – Системни инструменти – Възстановяване на системата“. След това изберете желаната точка за възстановяване и се върнете към нея. При успешно връщане назад в повечето случаи е възможно да се отървете от вируса без много усилия. Ако няма подходяща точка за възстановяване или връщането не е неутрализирало вируса, ще трябва да потърсите по-сложни начини за разрешаване на този проблем. В този случай можете да използвате стандартни инструменти на операционната система или специализирани програми, които ви позволяват да търсите и прекратявате процеси, да получавате информация за техните свойства, да преглеждате и променяте точките за стартиране на програмата, да проверявате цифровите подписи на издателите и т.н. Такава работа изисква определени потребителски квалификации и умения за използване на командния ред, редактора на системния регистър и други помощни програми. Използването на няколко антивирусни скенера от различни производители, програмите за почистване на системата и премахване на нежелан софтуер може да не дадат положителен резултат, а в случай на миньор обикновено не.

Намиране и премахване на копач с помощта на помощни програми от Sysinternals Suite

Трудността при идентифицирането на програмите, използвани за копаене, е, че те не се откриват от повечето антивирусни програми, тъй като всъщност не са вируси. Има вероятност антивирусът да попречи на процеса на инсталиране на миньора, тъй като използва необичайни софтуерни инструменти, но ако това не се случи, най-вероятно ще трябва да потърсите и премахнете злонамерения (от гледна точка на собственик на заразения компютър) програма ръчно. За ваше сведение през юни 2017г средно ниво на откриване на злонамереност на такъв софтуер, например използване на добре познат ресурс Virustotalвъзлиза на 15-20/62 – т.е. от 62 антивирусни програми само 15-20 я смятат за злонамерена програма. Освен това най-популярните и висококачествени антивирусни програми не са включени в тази група. За добре познати вируси или такива, открити сравнително наскоро, нивото на откриване на зловреден софтуер може да е по-високо поради сигнатури в антивирусни бази данни и някои допълнителни мерки, предприети от разработчиците на антивирусни програми. Но всичко това не винаги ви позволява да се отървете от миньорския вирус без допълнителни усилия, които ще трябва да положите, за да разрешите проблема.

По-долу е даден практически случай на система, която е заразена със зловреден софтуер за копаене. Заразяването е станало чрез използване на модифицирани програми за игри, изтеглени от един от ненадеждните торент тракери. Въпреки че методът на заразяване може да бъде различен, както при всеки друг злонамерен софтуер - преминаване на връзки към непроверени ресурси, отваряне на прикачени файлове към имейли и т.н.

Набор от зловреден софтуер за копаене в полза на нападателите изпълнява следните функции:

Осигуряване на вашето автоматично стартиране. Една или повече програми променят ключовете на системния регистър, за да стартират автоматично в случай на неочаквано изключване, рестартиране или прекъсване на захранването. Ключовете на регистъра се преглеждат периодично (приблизително веднъж на минута) и ако са нарушени (изтрити, променени), се възстановяват.

Автоматично стартиране на програмата за копаене. Програмата също така стартира автоматично и нейните параметри за автоматично стартиране се наблюдават и възстановяват от една или повече помощни програми.

Докато процесите, които осигуряват автоматично стартиране, се изпълняват в паметта на компютъра, няма смисъл да изтривате изпълними файлове и записи в системния регистър - те пак ще бъдат възстановени. Следователно на първия етап е необходимо да се идентифицират и принудително прекратят всички процеси, които осигуряват автоматично рестартиране на злонамерени програми.

За да намерите и премахнете миньорски вирус в съвременните операционни системи, можете да използвате стандартни инструменти или, например, по-функционален софтуер от пакета Sysinternals Suiteот Microsoft

- Process Explorer– позволява ви да видите подробна информация за процеси, нишки, използване на ресурси и др. Можете да промените приоритетите, да спрете (възобновите) работата на необходимите процеси, да убиете процеси или дървета на процеси. Помощната програма е удобна за използване за анализиране на свойствата на процесите и търсене на зловреден софтуер.

- Автозапускания– удобно средство за контролиране на автоматичното стартиране на програми. Контролира почти всички точки за автоматично стартиране, от папки за стартиране до задачи на планировчика. Позволява ви бързо да откриете и изолирате програми, които не искате да стартирате.

Можете също да използвате помощната програма като спомагателен софтуер Монитор на процеса, което в трудни случаи ви позволява да наблюдавате дейността на конкретни програми с помощта на филтри (достъп до системния регистър, файлова система, мрежа и т.н.) Както и помощната програма SearhMyfiles от Nirsoft, която е удобна за търсене на файлове и папки, основните характеристика на която е възможността за търсене на файлове и папки с помощта на NTFS файлова система времеви печати (Time stamp). Като критерии за търсене можете да зададете времеви диапазони за създаване, модифициране и достъп за файлове и папки (Създадени, Променени, Достъпени). Ако знаете приблизителното време на заразяване или компрометиране, можете да съберете пълен списък с файлове, които са били създадени или модифицирани през даден период.

Но повтарям, за да намерите и премахнете миньорите, като правило е достатъчно да използвате стандартни инструменти на Windows - диспечера на задачите и редактора на системния регистър. Просто софтуерът, изброен по-горе, е по-лесен за използване и по-удобен за намиране на зловреден софтуер.

Информация за използването на системни ресурси, показвана от Process Explorer:

Колона процесорПоказва степента на използване на процесора на различни процеси. Процес на неактивност на системата- това не е процес, а индикация от програмата за режим на празен ход (бездействие). В резултат на това виждаме, че процесорът е в режим на неактивност 49,23% от времето, някои процеси използват стотни от неговите ресурси, а основният потребител на процесора е процесът system.exe- 49,90%. Дори при повърхностен анализ на свойствата на процеса system.exe, има забележими факти, които пораждат основателни подозрения:

Странно описание (Описание) – Център на Microsoft

Странно име на фирма – www.microsoft.comДруги процеси, които всъщност са свързани с Microsoft, имат реда като описание Корпорация Майкрософт

По-подробен анализ се извършва чрез контекстното меню, извикано с десния бутон на мишката - елементът Свойства:

Изпълним път ProgramData\System32\system.exeсъщо е очевидно подозрително и отиването в папката с изпълнимия файл, когато щракнете върху съответния бутон Разгледайтепоказа, че както самата папка, така и изпълнимият файл имат атрибутите „Скрити“. Е, и параметрите на командния ред:

-o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [имейл защитен]*-p x -t 2 –kясно показват, че процесът system.exe е програма за копаене (за използване на пулове pool.minergate.com).

Поле Местоположение за автоматично стартиранесъдържа стойността няма, което означава, че този процес няма автоматични начални точки. Родителски процес за system.exeима PID=4928 и в момента не съществува ( Несъществуващ процес), което най-вероятно показва, че процесът е стартиран с помощта на пакетен файл или програма, която е завършила работата си след стартирането. Бутон Проверетее предназначен да принуди проверка за наличието на родителски процес.

Бутон Процес на унищожаваневи позволява да прекратите текущия процес. Същото действие може да се извърши с помощта на контекстното меню с десен бутон за избрания процес.

Раздел TCP/IPви позволява да получите списък с мрежови връзки на процеса system.exe:

Както можете да видите, процесът system.exe има установена връзка между локалния компютър и отдалечения сървър static.194.9.130.94.clients.your-server.de:45560.

В този реален случай процесът system.exe имаше минимален приоритет и нямаше почти никакъв ефект върху работата на други процеси, които не изискваха повишена консумация на ресурси. Но за да оцените въздействието върху поведението на заразената система, можете да зададете приоритета на миньора, равен на приоритета на легалните програми и да оцените степента на влошаване на полезната производителност на компютъра.

Когато принудително прекратите системния exe процес, той започва отново след няколко секунди. Следователно рестартирането се осигурява от друга програма или услуга. Когато продължите да разглеждате списъка с процеси, процесът Security.exe е подозрителен преди всичко.

Както можете да видите, за да стартирате програмата Security.exeизползва се точката за автоматично стартиране от стандартното меню на потребителските програми и изпълнимият файл Security.exeнамиращи се в същата скрита папка C:\ProgramData\System32

Следващата стъпка е принудителното отказване Security.exe, и тогава - system.exe. Ако след този процес system.exeвече няма да стартира, можете да започнете да изтривате злонамерени файлове и системни настройки, свързани с функционирането на зловреден софтуер. Ако процесът system.exeще се стартира отново, тогава търсенето на помощни програми, които осигуряват стартирането му, трябва да продължи. В краен случай можете последователно да прекратите всички процеси един по един, като всеки път прекратявате system.exe, докато спре да се рестартира.

За да намерите и деактивирате точки за автоматично стартиране, е удобно да използвате помощната програма Autoruns от Sysinternals Suite:

За разлика от стандартния инструмент msconfig.exe, помощната програма Autoruns показва почти всички възможни опции за автоматично стартиране на програми, които съществуват в дадена система. По подразбиране се показва всичко (раздел Всичко), но ако е необходимо, можете да филтрирате отделни записи по тип, като превключите към разделите в горната част на прозореца (Известни DLL файлове, Winlogon, ... Appinit).

Когато търсите записи, които позволяват автоматично стартиране на злонамерени програми, първото нещо, на което трябва да обърнете внимание, е липсата на цифров подпис на разработчика в колоната Издател. Почти всички съвременни легални програми са цифрово подписани, с редки изключения, които като правило включват софтуерни продукти или драйвери/услуги на трети страни от Microsoft. Вторият тревожен принцип е липсата на описание в колоната Описание. В този конкретен случай записът, който отваря прекия път Security.lnk в папката за стартиране на потребителя, е съмнителен:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Прекият път се отнася до файл c:\programdata\system32\security.exe

Time Stamp дава датата и часа на заразяване на системата - 23.06.2017 19:04

Всеки от записите, показани от помощната програма Autoruns, може да бъде изтрит или деактивиран с възможност за по-нататъшно възстановяване. За да изтриете, използвайте контекстното меню или клавиша Дел. За деактивиране премахнете отметката от избрания запис.

Скритата папка c:\programdata\system32\ може да бъде изтрита заедно с цялото й съдържание. След това рестартирайте и проверете за липса на злонамерени процеси.

Фактът, че антивирусната компания ESET отбеляза увеличаване на разпространението на базирани на браузър миньори, които копаят криптовалута без знанието на потребителя. Освен това, според данни за декември миналата година, той оглави класацията на беларуските киберзаплахи. В нашия материал ще ви кажем как да разпознаете, че някой използва вашия компютър за лична изгода и да се отървете от скритото копаене.

Браузър или компютър

Нека ви напомним, че майнингът е процес на извличане на криптовалута с помощта на сложни изчисления, които се извършват на компютър. В момента има два основни метода за „злонамерено копаене“.

В първия случай миньорската програма е скрито инсталирана на вашия компютър и започва постоянно да използва мощността си - процесора и видеокартата. Във втория случай и това е, за което ESET предупреждава, копаене се извършва само когато отидете на заразен сайт („копаене в браузър“).

Разбира се, първият метод е много по-предпочитан за нападателите, макар и по-сложен - в крайна сметка компютърът първо трябва да бъде заразен по някакъв начин. Вторият е по-прост и нападателите „получават“ необходимата мощност поради големия брой потребители, посещаващи сайта.

Основен симптом

Първият (и основен) симптом, по който можете да подозирате копаене, е, че компютърът започва постоянно да се „забавя“ в безобидни ситуации. Например, когато охладителят ви е шумен през цялото време, лаптопът ви загрява или замръзва, докато работи само браузър с три раздела.

Ясно е, че подобни симптоми са характерни не само за копаене - в този момент може просто да имате „тежък“ фонов процес (например актуализиране на софтуер). Но ако компютърът постоянно работи в такъв натоварен режим, това е сериозна причина за подозрение.

За съжаление тук не трябва да разчитате само на антивирусен софтуер. Ето какво например пише Kaspersky Lab за такива програми:

Миньорите не са злонамерени програми. Следователно те са включени в категорията Riskware, която идентифицирахме – софтуер, който сам по себе си е легален, но може да се използва за злонамерени цели. По подразбиране Kaspersky Internet Security не блокира или премахва такива програми, тъй като потребителят може да ги е инсталирал съзнателно.

Антивирусната програма може да не работи в случай на скрито копаене в браузъра.

Как да открием миньор?

Най-лесният начин да се опитате да идентифицирате злонамерен процес, който „изяжда“ всички ресурси на вашия компютър, е да стартирате вградения в системата диспечер на задачите (в Windows се извиква чрез клавишната комбинация Ctrl+Shift+Esc) .

Диспечер на задачите в Windows

Ако видите, че някакъв неразбираем процес натоварва процесора много силно - с десетки процента - (колоната CPU на снимката по-горе) и не сте стартирали „тежка“ игра или не редактирате видео, това може да се обърне да бъде копаене.

Между другото, Chrome, който е популярен сред беларусите, също има свой собствен диспечер на задачите - за да го стартирате, трябва да щракнете с десния бутон върху зона без раздели над адресната лента и да изберете съответния елемент. След това ще видите кой раздел кара компютъра да се зарежда.

За съжаление диспечерът на задачите не винаги е полезен. Съвременните миньори знаят как, например, да поставят на пауза работата, когато започне или да се „скрият“ в стандартни процеси, като svchost. exe, хром. exe или steam.exe.

В този случай можете да използвате допълнителен, по-усъвършенстван софтуер - например програмата AnVir Task Manager.

С негова помощ е много по-лесно да се идентифицират подозрителни процеси. Всички недефинирани редове са маркирани в червено и можете да получите максимална информация за всеки процес (включително скритите!), но най-важното е, че всеки процес, който изпълнявате, може да бъде проверен на уебсайта на VirusTotal.

И какво да правя с него?

Най-лесният начин е, ако копаенето се случи при отваряне на заразен сайт. В този случай просто трябва да затворите този раздел на браузъра.

По-лошо е, ако програма за копаене попадне на вашия компютър. В този случай можете първо да опитате да затворите злонамерения процес в диспечера на задачите и да го премахнете от стартиране, но като правило не всичко е толкова просто.

Миньорите може да имат нестандартни методи за стартиране, nНаличието на два процеса, които се рестартират един друг, ако се опитат да ги прекратят. Освен това може да се инициира.

Тук на помощ трябва да дойдат антивирусни програми. Ако по някаква причина антивирусът не „хване“ миньора в стандартен режим, можете да опитате да запишете преносим безплатен скенер на флаш устройство, например Web CureIt! или Kaspersky Virus Removal Tool и стартирайте компютъра си в безопасен режим.

За да го стартирате (в Windows, с изключение на „десет“), трябва да натиснете клавиша F8 няколко пъти по време на зареждане и да изберете желаната опция. В Windows 10 това не може да се направи при рестартиране. Затова трябва да отворите прозореца „Изпълнение“ (клавишна комбинация Win + R), да въведете там командата msconfig, след това да изберете секцията „Конфигурация на системата“, „Зареждане“ и да зададете безопасен режим, след което рестартирайте компютъра.

След зареждане в безопасен режим трябва да стартирате антивирусен скенер от флаш устройство.

Както писахме по-горе, антивирусите не винаги смятат миньорските програми за злонамерен софтуер - в края на краищата можете да копаете сами.

Но, например, Kaspersky Anti-Virus ги класифицира в категорията Riskware (софтуер с риск). За да откриете и премахнете обект от тази категория, трябва да отидете в настройките на решението за сигурност, да намерите там секцията „Заплахи и откриване“ и да поставите отметка в квадратчето до „Други програми“. ESET предлага подобно решение - за да идентифицирате миньорите (включително на сайтовете, които посещавате), трябва да активирате откриването на потенциално нежелани приложения в настройките.

Ако добивът продължи след тези манипулации, можете да опитате по-радикален метод - преинсталиране на операционната система.

Как да се предпазите?

Ако говорим за копаене, базирано на браузър, тогава в допълнение към антивирусните решения, които откриват злонамерен javascript на сайтове, вече се появиха разширения на браузъра, които ви позволяват да откривате миньори - например No Coin или Mining Blocker.

Ако не искате програмата за копаене да влезе във вашия компютър, тогава редовно инсталирайте актуализации, предлагани от операционната система, и не забравяйте да използвате антивирусни програми с активиран мониторинг.

Тук трябва да запомните, че антивирусите може да не открият програма за копаене, но почти сигурно ще открият програма за капка, чиято основна цел е тайно да инсталира миньора. В допълнение към антивирусната програма можете да добавите няколко стари, но все още ефективни съвета - не кликвайте върху подозрителни връзки в интернет и не отваряйте спам съобщения, получени във вашата поща.

Също така не забравяйте, че с инсталирането на легален софтуер, вероятността да получите в допълнение миньор е незначителна. Докато при изтегляне на хакнати програми или „кракове“ този риск се увеличава значително.

Ами смартфоните?

Смартфонът също е компютър, така че схемите на нападателите са подобни. Например в края на миналата година експерти по сигурността откриха злонамерен софтуер в Google Play, който използва мобилни джаджи за копаене на криптовалути без знанието на собственика.