Otvoren
Zatvoriti

Kako otkriti i ukloniti skriveni rudar - upute korak po korak u slikama. Pojedinosti o skrivenom rudarenju, njegovom otkrivanju i uklanjanju Kako stvoriti skriveni rudar bitcoina

10.03.2024 -
Procesori i memorija

Bok svima. Danas ću govoriti o rudarima virusa. Što je to? Gdje ih možete uhvatiti? Što će se dogoditi s računalom ako je zaraženo rudarom? Kako se riješiti virusa rudara?

Što je virus rudar?

Ovo je virus koji koristi računalne resurse vašeg računala za zaradu kriptovaluta. Odnosno, prevarant, koristeći resurse vašeg računala i vaše električne energije, zarađuje pravi novac! Puno računala je sada zaraženo ovim virusom, većina računala koja se dovedu na naš servis sada su također zaražena virusom miner i korisnici niti ne znaju da su zaraženi. Postoje stotine tisuća ili čak milijuni takvih računala, zamislite koliko zarađuje vlasnik takvog virusa. Usput, u jednom od svojih videa pokazao sam kako možete sami zaraditi - rudarite kriptovalute na svom računalu.

Rudarenje na kućnom računalu


Sada je vrlo lako uhvatiti virus rudara, a evo gdje ga možete uhvatiti:

Preuzimanje programa sa sumnjivih izvora

Prije se u programe ugrađivao tzv. dodatni softver, pa da se svakakve gluposti ne bi instalirale na računalo, morali ste pažljivo izvršiti instalaciju i poništiti sve kvadratiće koji bi bez vašeg dopuštenja mogli instalirati dodatne, često zlonamjerne softver na računalu, mislim da se svi sjećaju ovoga. Danas je softver za rudarenje također ugrađen u program za instalaciju. Ponekad prilikom instaliranja virusa rudara nećete niti vidjeti poruku o njegovoj instalaciji. Rudar će se sam instalirati bez vašeg znanja ili zahtjeva. Kako se to ne bi dogodilo, svakako koristite antivirusni program, preuzimajte programe samo iz pouzdanih izvora i pažljivo pratite sve potvrdne okvire kada instalirate dodatni softver ili koristite program Uncheky. I kao što sam mnogo puta rekao, sve datoteke treba provjeriti putem web stranice virustotal.

Preuzimanje piratskih igara

Baš neki dan su nam donijeli računalo, računalo je bilo kod nas na servisu, vlasnik se žalio da je igra koja je prije davala 100 FPS počela proizvoditi 20-30 FPS, iako se hardver računala nije mijenjao, niti drajveri ili Windows. Osoba je instalirala noviju verziju igrice preuzimanjem s torrenta, tzv. repack. Počeli smo provjeravati i ustanovili da se s dovoljno snažnim računalom igra učitava 100%. Učitani su cijeli procesor i video kartica. Počeli smo tražiti razlog ove aktivnosti i pokazalo se da je osoba zajedno s igrom instalirala virus rudar. Radilo je izuzetno lukavo, samo tijekom igre i bilo je vrlo teško razumjeti da rudar učitava računalo, jer igra također opterećuje. Najvjerojatnije su prevaranti jednostavno bili pohlepni i postavili postavke rudara na previsok postotak opterećenja kartice i postotak. Da je taj postotak manji, vlasnik ne bi primijetio da mu je računalo zaraženo virusom rudarom. Jesu li vaše igre počele kvariti koje su prije dobro radile? Možda je rudar! A takve slučajeve možete i sami potražiti na internetu.

Samo posjetom vašoj omiljenoj web stranici

Priča je smiješna i kako je dirnula moju stranicu. Moja stranica ima nekoliko moderatora koji prate stranicu i odgovaraju na komentare. Dakle, jedan od mojih moderatora instalirao je kod na stranicu koja pokreće rudarenje kriptovalute izravno kroz vaš preglednik bez vašeg znanja ili dopuštenja. Vi samo trebate otvoriti bilo koju stranicu web stranice. Sav vaš procesor radi za vlasnika stranice. Naravno, sve na mojoj stranici je već ispravljeno, a moderator je otišao na dobro poznato mjesto. Želite li vidjeti kako radi? Napravio sam zasebnu na kojoj sam ostavio ovu skriptu. Usput, ako želite pomoći mom projektu, možete otvoriti ovu stranicu i vaše računalo će raditi za mene). I već sam primijetio takvu rudarsku skriptu na mnogim stranicama gdje možete pogledati film ili seriju, tako vlasnici stranica monetiziraju svoje stranice. Mnogi ljudi instaliraju adblocks i web stranice postaju neprofitabilne; to je jedini način da zaradite novac na web stranici.

Što će se dogoditi s računalom ako je zaraženo rudarom?

Jednostavno je, vaše računalo će uvijek raditi pri maksimalnom opterećenju. To može uzrokovati pregrijavanje opreme i kvar; ako ne pratite temperaturu, preporučujem praćenje temperature računala putem programa. Također, pri stalnoj povišenoj temperaturi dijelovi računala će imati smanjen vijek trajanja. Pod stalnim opterećenjem računalo će trošiti puno električne energije.

Kako se riješiti virusa rudara?

Vrlo je jednostavno, imam dobar video o tome kako ukloniti sve viruse s računala, odgovarat će vam:

Uklonite sve viruse sa svog računala


Samo očistite svoje računalo i budite na oprezu u budućnosti!

Pa, što učiniti sa stranicama koje imaju rudarsku skriptu? Morate instalirati dodatak u svoj preglednik koji onemogućuje JS na web stranicama. Za preglednike temeljene na Chromeu ovaj dodatak je Tampermonkey, a za Firefox je NoScript. Instalirajte dodatak i onemogućite izvršavanje skripte na neželjenim stranicama.

Predstavljam vam svoj video

Ako se vaše računalo stalno usporava i radi maksimalnim kapacitetom, onda je to razlog da provjerite ima li virusa rudara. Pogledajmo kako otkriti skriveni rudar na računalu i ukloniti ga.

Što je to i zašto je opasno?

Skriveni rudar je virusni program koji koristi performanse vašeg računala za rudarenje kriptovaluta. Do infekcije dolazi putem:

  • zlonamjerne poruke;
  • preuzete datoteke;
  • neželjena pošta.

Video detaljnije objašnjava što je rudarenje i kako funkcionira.

Prvi spomeni skrivenog rudarenja pojavili su se 2011. godine, ali tada su to bili izolirani slučajevi. Početkom 2018. ovaj je problem zauzeo jedno od vodećih mjesta u feedovima vijesti.

Trojanski rudar predstavlja veliku opasnost za PC:

  1. Smanjuje životni vijek hardvera.
    Računalo dugo radi pri maksimalnom opterećenju, što negativno utječe na maksimalni vijek trajanja:
    • procesor;
    • video kartice;
    • sustavi hlađenja.
  2. Ograničava izvedbu.
    Kada koristi zaraženo računalo za svoje zadatke, korisnik dobiva oskudne performanse, jer većina odlazi na skriveno rudarenje.
  3. Omogućuje pristup osobnim podacima.
    Budući da je rudar trojanac, dobiva pristup osobnim podacima korisnika. U posljednje vrijeme sve su učestaliji slučajevi krađe elektroničkih novčanika i lozinki. Napadač ne samo da koristi performanse vašeg računala, već također krade povjerljive podatke.

Bilješka! Najnovije ažuriranje sustava Windows dobilo je zaštitu od rudarenja. S informacijama se možete upoznati klikom na poveznicu “Windows 10 štiti vaše računalo od skrivenog rudarenja.”

Kako otkriti i ukloniti

Savjet! Skenirajte svoj sustav antivirusom, možda ćete naići na redovnog rudara koji ne skriva svoju prisutnost. U tom će ga slučaju antivirusni softver otkriti i automatski ukloniti.

Korisniku je obično prilično teško otkriti trojanca, jer su programeri virusnog softvera pokušali sakriti njegov rad što je više moguće. Novi rudari mogu prikriti svoje aktivnosti:

  • Onemogući dok korisnik radi sa zahtjevnim aplikacijama.
  • Prerušiti se u druge aplikacije u Upravitelju zadataka.
  • Radite samo kada je računalo u stanju mirovanja.

Vaše bi računalo moglo biti zaraženo, a da to uopće ne primijetite. Sve ovisi o domišljatosti hakera. Pokušat ćemo što detaljnije objasniti kako prepoznati malware.

Važno! Budite oprezni kada brišete bilo koju datoteku, osobito ako niste sigurni koja joj je svrha. Sve radnje radite na vlastitu odgovornost i rizik!

Preko upravitelja zadataka

Dotaknimo se malo Internet rudarenja. Postoje stranice koje pomoću posebne skripte dobivaju pristup performansama vašeg računala. Haker, zaobilazeći zaštitu internetskog izvora, postavlja svoj zlonamjerni kod tamo, koji rudari kriptovalute dok ste na web mjestu.

Vrlo je lako razumjeti da ste se susreli s jednim, jer kada ga posjetite, vaše će računalo početi usporavati, a Task Manager će pokazati veliko opterećenje hardvera. Dovoljno je jednostavno napustiti mjesto kako biste zaustavili proces rudarenja.

Za otkrivanje zlonamjernog softvera na sustavu:

  1. Idite na Upravitelj zadataka držeći istovremeno "Ctrl + Shift + Esc".
  2. Promatrajte procese tijekom 10 minuta potpune neaktivnosti (uključujući pokrete miša i pritiske tipki).

    Važno! Neki virusi zatvaraju ili blokiraju Upravitelj zadataka kako bi sakrili svoju aktivnost.
    Ako se dispečer zatvorio sam od sebe ili je neki program počeo učitavati sustav, to znači da je računalo zaraženo rudarom.

  3. Ako virus nije otkriven, idite na karticu "Detalji".
  4. Pronađite proces koji se razlikuje od standarda (na primjer, čudni simboli) i zapišite naziv.

  6. “Uredi” → “Traži”.

  7. Važno! Ako niste sigurni da se datoteka može izbrisati, pišite nam u komentarima, pokušat ćemo vam pomoći.


  8. Skenirajte sustav antivirusnim programom (na primjer, koristili smo standardni antivirusni program koji se nalazi u "Start" → "Postavke" → "Ažuriranje i sigurnost" → "Windows Defender").
  9. Ponovno pokrenite računalo.

Preko AnVir upravitelja zadataka

Višenamjenski upravitelj procesa AnVir pomoći će vam otkriti skriveni virus.

  1. Preuzmite i instalirajte uslužni program.
  2. Pokrenite ga i pogledajte pokrenute procese.
  3. Ako ste sumnjičavi, zadržite pokazivač iznad aplikacije da biste prikazali informacije o njoj.

    Bilješka! Neki trojanci maskiraju se kao sistemske aplikacije, ali ne mogu lažirati detalje.

  4. Zatim RMB → “Detaljne informacije” → “Performanse”.

  5. Odabirom "1 dan", pogledajte opterećenje na računalu tijekom tog vremena.

  6. Ako je proces jako opteretio sustav, prijeđite pokazivačem iznad njega → zapišite naziv i put.

  7. Desnom tipkom miša kliknite na proces → “Završi proces”.
  8. U Windows pretraživanju upišite “regedit” → idite na registar.
  9. “Uredi” → “Traži”.
  10. Unesite naziv datoteke → uklonite sve rezultate.
  11. Ako se otkriju prijetnje, potvrdite njihovo uklanjanje.
  12. Ponovno pokrenite računalo.

Skriveni rudari kriptovaluta nisu nova tema, iako pristojnih tehničkih uputa za njihovo otkrivanje i uklanjanje gotovo da i nema. Postoji samo gomila razbacanih informacija i članaka sumnjivog sadržaja. Zašto? Jer svi imaju koristi od rudarenja kriptovaluta u svjetskim razmjerima, osim, naravno, onih koji od toga ne dobiju ni lipe i niti ne slute da su postali dio toga. I doista, princip skrivenog rudarenja može postati nešto više od pukog stavljanja novčića u tuđi džep.

Koncept skrivenog rudarenja

Ovdje ne govorimo o rudarenju, koje je za sada skriveno od stambenih i komunalnih službi, već o skrivenom rudarenju kovanica na običnom računalu, unatoč činjenici da sam vlasnik računala nije u neznanju o tome . Drugim riječima, za rudarenje kriptovalute moguće je koristiti ne samo vlastito računalo, već i strojeve mnogih drugih ljudi.

I nije nužno da se opterećenje video kartice ili procesora poveća na 100% - ovi pametnjakovići su oprezni i neće opteretiti stroj člana svoje mreže do nerazumnih granica. Možda u načelu nećete primijetiti veliku razliku ako imate prilično moćnu tehniku. Ovo je važan uvjet za održavanje skrivenog rada rudara.

Po prvi put službena izvješća o fenomenu skrivenog rudarenja počela su se pojavljivati ​​2011. godine, a 2013. godine već je došlo do masovnog zaraze računala u raznim zemljama putem Skypea. Štoviše, trojanci ne samo da su rudarili, već su i dobili pristup Bitcoin novčanicima.

Najpoznatiji slučaj je pokušaj programera μTorrenta da dodatno zarade od korisnika uvođenjem skrivenog rudara EpicScale u softver.

Virus miner (rudar, Bitcoin miner) je zloćudni softver čija je glavna svrha rudarenje – zarada kriptovalute korištenjem resursa žrtvinog računala. U idealnom slučaju, takav bi softver trebao raditi što je moguće tajnije, imati visoku sposobnost preživljavanja i malu vjerojatnost otkrivanja od strane antivirusnih programa. “Visokokvalitetni” rudar virusa jedva je primjetan, gotovo da ne ometa rad korisnika i teško ga je detektirati antivirusnim softverom. Glavna vanjska manifestacija zaraze virusom je povećana potrošnja računalnih resursa i, kao rezultat, dodatno zagrijavanje i povećana buka ventilatora rashladnog sustava. U slučaju “nekvalitetnog” virusa rudara, osim navedenih simptoma, dolazi do smanjenja ukupnih performansi računala, kratkotrajnog zamrzavanja ili čak nemogućnosti rada nekih programa.

Što je rudarenje?

Riječ rudarstvo dolazi od engleske riječi mining, što znači razvoj minerala. Rudarenje nije ništa drugo nego proces stvaranja novih jedinica kriptovalute (cryptocoins) pomoću posebnog algoritma. Danas postoji oko tisuću vrsta kriptovaluta, iako sve koriste algoritme i protokole najpoznatijeg početnika - Bitcoin .

Proces rudarenja je rješenje za složene probleme koji zahtijevaju velike resurse za dobivanje jedinstvenog skupa podataka koji potvrđuju autentičnost platnih transakcija. Brzina pronalaženja i broj jedinica kriptovalute dobivenih kao nagrada različiti su u različitim valutnim sustavima, ali u svakom slučaju zahtijevaju značajne računalne resurse. Snaga hardvera za rudarenje obično se mjeri u megahashima (MHash) i gigahashima (GHash). Budući da je kompleksnost rudarenja najskupljih kriptovaluta odavno nedostižna na jednom računalu, posebno farme, koji su snažni računalni sustavi industrijske razine i bazeni rudarenje - računalne mreže u kojima je proces rudarenja raspoređen na sve sudionike mreže. Rudarenje u zajedničkom bazenu jedini je način da obični korisnik sudjeluje u dobivanju barem malog profita od procesa stvaranja kripto kovanica. Skupovi nude različite modele raspodjele dobiti, uključujući snagu klijentske opreme. Pa, sasvim je jasno da tjeranjem desetaka, stotina pa čak i tisuća računala zaraženih rudarom u bazen, napadači dobivaju određenu zaradu od iskorištavanja tuđe računalne opreme.

Rudarski virusi usmjereni su na dugotrajno korištenje žrtvinog računala i, kada su zaraženi, obično instaliraju pomoćni softver koji vraća glavni rudarski program ako je oštećen, izbrisan od strane antivirusa ili se iz nekog razloga sruši. Naravno, glavni program je konfiguriran na takav način da su rezultati rudarenja vezani uz račune napadača u korištenom bazenu. Glavni program koristi legalni softver za rudarenje, koji se preuzima sa službenih web stranica za kriptovalute ili posebnih resursa bazena i zapravo nije zlonamjerni softver (virus, virusni softver - softver). Isti softver možete sami preuzeti i instalirati na vlastito računalo, a da ne izazovete nikakvu posebnu sumnju u antivirus koji se koristi na vašem sustavu. I to ne ukazuje na nisku kvalitetu antivirusnog softvera, već upravo suprotno - nepostojanje događaja lažnih alarma, jer sva razlika između rudarenja korisnog za korisnika i rudarenja korisnog za napadača leži u tome tko će posjeduje svoje rezultate, tj. s računa u bazenu.

Kao što je već spomenuto, glavni znak da je sustav zaražen rudarom je intenzivno korištenje resursa od strane nekog programa, popraćeno povećanjem razine buke sistemske jedinice, kao i temperature komponenti. Štoviše, u multitasking okruženju, u pravilu, virus radi s najnižim prioritetom, koristeći sistemske resurse samo kada je računalo u stanju mirovanja. Slika izgleda ovako: računalo nije ničime zauzeto, miruje, a njegova temperatura komponenti i buka koju ispušta ventilacija podsjećaju na način igre u nekoj vrlo zahtjevnoj računalnoj pucačini. No, u praksi je bilo slučajeva kada je prioritet rudarskih programa postavljen na standardnu ​​vrijednost, što je dovelo do oštrog pada korisnih performansi. Računalo je počelo užasno “kočiti” i bilo ga je gotovo nemoguće koristiti.

Uklanjanje rudara pomoću vraćanja na točku vraćanja

Najlakši način da se riješite neželjenog softvera je vraćanje sustava Windows u prethodno stanje pomoću točaka vraćanja, što se često naziva vraćanje sustava. To zahtijeva da postoji točka vraćanja stvorena u trenutku kada se infekcija još nije dogodila. Za pokretanje alata za oporavak možete koristiti kombinaciju tipki Win+r i upisati naredbu rstrui.exe u polje za unos koje se otvori. Ili upotrijebite glavni izbornik - "Programi - Pribor - Alati sustava - Vraćanje sustava". Zatim odaberite željenu točku vraćanja i vratite se na nju. S uspješnim vraćanjem, u većini slučajeva, moguće je riješiti se virusa bez puno truda. Ako ne postoji odgovarajuća točka oporavka ili vraćanje nije neutraliziralo virus, morat ćete potražiti složenije načine za rješavanje ovog problema. U tom slučaju možete koristiti standardne alate operacijskog sustava ili specijalizirane programe koji vam omogućuju pretraživanje i prekidanje procesa, dobivanje informacija o njihovim svojstvima, pregled i izmjenu točaka pokretanja programa, provjeru digitalnih potpisa izdavača itd. Takav rad zahtijeva određene kvalifikacije korisnika i vještine korištenja naredbenog retka, uređivača registra i drugih uslužnih programa. Korištenje nekoliko antivirusnih skenera različitih proizvođača, programi za čišćenje sustava i uklanjanje neželjenog softvera možda neće dati pozitivan rezultat, au slučaju rudara obično ne.

Pronalaženje i uklanjanje rudara pomoću uslužnih programa iz paketa Sysinternals Suite

Poteškoća u identificiranju programa koji se koriste za rudarenje je u tome što ih većina antivirusnih programa ne otkriva jer oni zapravo nisu virusi. Postoji mogućnost da antivirus može spriječiti proces instalacije rudara, budući da koristi neuobičajene softverske alate, ali ako se to ne dogodi, najvjerojatnije ćete morati potražiti i ukloniti zlonamjernog (sa gledišta vlasnik zaraženog računala) ručno programirati. Za Vašu informaciju, u lipnju 2017 prosječna razina otkrivanja zlonamjernosti takvog softvera, na primjer, korištenje dobro poznatog izvora Virustotal iznosio je 15-20/62 – tj. od 62 antivirusa, samo 15-20 smatralo ga je zlonamjernim programom. Štoviše, najpopularniji i najkvalitetniji antivirusni programi nisu uključeni u ovu skupinu. Za dobro poznate viruse ili one koji su otkriveni relativno nedavno, razina detekcije zlonamjernog softvera može biti viša zbog potpisa u antivirusnim bazama podataka i nekih dodatnih mjera koje su poduzeli razvijači antivirusnih programa. Ali sve to ne omogućuje vam uvijek da se riješite virusa rudara bez dodatnih napora koji će biti potrebni za rješavanje problema.

Ispod je praktičan slučaj zaraze sustava rudarskim zlonamjernim softverom. Infekcija se dogodila korištenjem modificiranih programa igrica preuzetih s jednog od nepouzdanih torrent trackera. Iako način zaraze može biti drugačiji, kao i kod svakog drugog zlonamjernog softvera - praćenje poveznica na neprovjerenim izvorima, otvaranje privitaka e-pošte itd.

Skup zlonamjernog softvera za rudarenje u korist napadača implementira sljedeće funkcije:

Osiguravanje vašeg automatskog pokretanja. Jedan ili više programa mijenja ključeve registra za automatsko pokretanje u slučaju neočekivanog gašenja, ponovnog pokretanja ili nestanka struje. Povremeno (otprilike jednom u minuti) ključevi registra se pregledavaju i, ako su povrijeđeni (brisani, promijenjeni), vraćaju se.

Automatsko pokretanje programa za rudarenje. Program se također pokreće automatski, a njegove parametre automatskog pokretanja nadzire i vraća jedan ili više pomoćnih programa.

Dok se procesi koji osiguravaju automatsko pokretanje izvode u memoriji računala, nema smisla brisati izvršne datoteke i unose u registru - oni će i dalje biti vraćeni. Stoga je u prvoj fazi potrebno identificirati i prisilno prekinuti sve procese koji osiguravaju automatsko ponovno pokretanje zlonamjernih programa.

Da biste pronašli i uklonili virus rudar u modernim operativnim sustavima, možete koristiti standardne alate ili, na primjer, funkcionalniji softver iz paketa Sysinternals Suite od Microsofta

- Istraživač procesa– omogućuje pregled detaljnih informacija o procesima, nitima, korištenju resursa itd. Možete promijeniti prioritete, obustaviti (nastaviti) rad potrebnih procesa, ubiti procese ili stabla procesa. Uslužni program je prikladan za analizu svojstava procesa i traženje zlonamjernog softvera.

- Autoruns– prikladno sredstvo za kontrolu automatskog pokretanja programa. Kontrolira gotovo sve automatske točke pokretanja, od mapa za pokretanje do zadataka planera. Omogućuje brzo otkrivanje i izolaciju programa koje ne želite pokretati.

Također možete koristiti uslužni program kao pomoćni softver Monitor procesa, koji vam u teškim slučajevima omogućuje praćenje aktivnosti određenih programa pomoću filtara (pristup registru, datotečnom sustavu, mreži itd.) Kao i uslužni program SearhMyfiles tvrtke Nirsoft, koji je prikladan za pretraživanje datoteka i mapa, glavni čija je značajka mogućnost pretraživanja datoteka i mapa pomoću vremenskih oznaka NTFS datotečnog sustava (Time stamp). Kao kriterije pretraživanja možete navesti vremenske raspone stvaranja, izmjene i pristupa za datoteke i mape (Stvoreno, Izmijenjeno, Pristupljeno). Ako znate približno vrijeme infekcije ili kompromitacije, možete prikupiti potpuni popis datoteka koje su stvorene ili izmijenjene tijekom određenog razdoblja.

Ali ponavljam, za pronalaženje i uklanjanje rudara, u pravilu, dovoljno je koristiti standardne Windows alate - upravitelj zadataka i uređivač registra. Samo je gore navedeni softver lakši za korištenje i praktičniji za pronalaženje zlonamjernog softvera.

Informacije o upotrebi resursa sustava koje prikazuje Process Explorer:

Stupac CPU Prikazuje stopu iskorištenja CPU-a za različite procese. Proces mirovanja sustava- ovo nije proces, već indikacija programa u stanju mirovanja (neaktivnost). Kao rezultat toga, vidimo da je procesor u stanju mirovanja 49,23% vremena, neki procesi koriste stotinke njegovih resursa, a glavni potrošač CPU-a je proces sustav.exe- 49,90 posto. Čak i uz površnu analizu svojstava procesa sustav.exe, uočljive su činjenice koje daju osnovanu sumnju:

Čudan opis (Description) – Microsoftov centar

Čudno ime tvrtke – www.microsoft.com Ostali procesi koji su zapravo povezani s Microsoftom imaju liniju kao opis Microsoft Corporation

Detaljnija analiza vrši se kroz kontekstni izbornik, pozvan desnom tipkom miša - stavkom Svojstva:

Izvršna staza ProgramData\System32\system.exe također je očito sumnjivo i odlazak u mapu s izvršnom datotekom kada kliknete na odgovarajući gumb Istražiti pokazalo je da i sama mapa i izvršna datoteka imaju atribute "Skriveno". Pa, i parametri naredbenog retka:

-o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [e-mail zaštićen]*-p x -t 2 –k jasno pokazuju da je proces system.exe rudarski program (za korištenje bazena pool.minergate.com).

Polje Lokacija automatskog pokretanja sadrži vrijednost n/a, što znači da ovaj proces nema automatske početne točke. Nadređeni proces za sustav.exe ima PID=4928 i trenutno ne postoji ( Nepostojeći proces), što najvjerojatnije ukazuje na to da je proces pokrenut pomoću batch datoteke ili programa koji je završio svoj rad nakon pokretanja. Dugme Potvrdi dizajniran je za prisilnu provjeru prisutnosti nadređenog procesa.

Dugme Kill Process omogućuje prekid trenutnog procesa. Ista se radnja može izvesti pomoću kontekstnog izbornika desnog klika za odabrani proces.

Tab TCP/IP omogućuje vam da dobijete popis mrežnih veza procesa system.exe:

Kao što vidite, proces system.exe ima uspostavljenu vezu između lokalnog računala i udaljenog poslužitelja static.194.9.130.94.clients.your-server.de:45560.

U ovom stvarnom slučaju proces system.exe imao je minimalan prioritet i nije imao gotovo nikakvog utjecaja na rad drugih procesa koji nisu zahtijevali povećanu potrošnju resursa. Ali kako biste procijenili utjecaj na ponašanje zaraženog sustava, možete postaviti prioritet rudara jednak prioritetu legalnih programa i procijeniti stupanj pogoršanja korisnih performansi računala.

Kada nasilno prekinete proces exe sustava, on se ponovno pokreće nakon nekoliko sekundi. Dakle, ponovno pokretanje omogućuje neki drugi program ili usluga. Kada nastavite pregledavati popis procesa, proces Security.exe je prije svega sumnjiv.

Kao što vidite, za pokretanje programa Sigurnost.exe koristi se točka za automatsko pokretanje iz standardnog izbornika korisničkih programa i izvršna datoteka Sigurnost.exe nalazi se u istoj skrivenoj mapi C:\ProgramData\System32

Sljedeći korak je prisilni prekid Sigurnost.exe, i onda - sustav.exe. Ako nakon ovog procesa sustav.exe više neće pokrenuti, možete početi brisati zlonamjerne datoteke i postavke sustava povezane s radom zlonamjernog softvera. Ako proces sustav.exeće se ponovno pokrenuti, tada se mora nastaviti potraga za pomoćnim programima koji osiguravaju njegovo pokretanje. Kao posljednje sredstvo, možete sekvencijalno prekinuti sve procese jedan po jedan, završavajući system.exe svaki put dok se ne prestane ponovno pokretati.

Za pronalaženje i onemogućavanje točaka automatskog pokretanja prikladno je koristiti uslužni program Autoruns iz paketa Sysinternals Suite:

Za razliku od standardnog alata msconfig.exe, uslužni program Autoruns prikazuje gotovo sve moguće opcije za automatsko pokretanje programa koji postoje na određenom sustavu. Standardno je sve prikazano (kartica Sve), ali ako je potrebno, možete filtrirati pojedinačne zapise po vrsti prelaskom na kartice na vrhu prozora (Known DLLs, Winlogon, ... Appinit).

Prilikom traženja unosa koji dopuštaju automatsko pokretanje zlonamjernih programa, prva stvar na koju morate obratiti pozornost je nepostojanje digitalnog potpisa razvojnog programera u stupcu Izdavač. Gotovo svi suvremeni legalni programi digitalno su potpisani, uz rijetke iznimke, koje u pravilu uključuju softverske proizvode trećih strana ili upravljačke programe/usluge tvrtke Microsoft. Drugi alarmantni princip je nedostatak opisa u stupcu Opis. U ovom konkretnom slučaju, sumnjiv je unos koji otvara prečac Security.lnk u korisničkoj mapi za pokretanje:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Izbornik Start\Programs\Startup

Prečac se odnosi na datoteku c:\programdata\system32\security.exe

Time Stamp daje datum i vrijeme infekcije sustava - 23.06.2017 19:04

Svaki od unosa koje prikazuje uslužni program Autoruns može se izbrisati ili onemogućiti, uz mogućnost daljnjeg vraćanja. Za brisanje koristite kontekstni izbornik ili tipku Del. Za onemogućavanje poništite odabir odabranog unosa.

Skrivenu mapu c:\programdata\system32\ moguće je izbrisati zajedno sa svim njezinim sadržajem. Zatim ponovno pokrenite i provjerite nema li zlonamjernih procesa.

Činjenica da je antivirusna tvrtka ESET primijetila porast prevalencije rudara temeljenih na pregledniku koji rudare kriptovalute bez znanja korisnika. Štoviše, prema podacima za prosinac prošle godine, bio je na vrhu ljestvice bjeloruskih cyber prijetnji. U našem materijalu ćemo vam reći kako prepoznati da netko koristi vaše računalo za osobnu korist i riješiti se skrivenog rudarenja.

Preglednik ili računalo

Podsjetimo, rudarenje je proces izvlačenja kriptovalute pomoću složenih izračuna koji se odvijaju na računalu. U ovom trenutku postoje dvije glavne metode "zlonamjernog rudarenja".

U prvom slučaju, rudarski program je skriveno instaliran na vašem računalu i počinje stalno koristiti svoju snagu - procesor i video karticu. U drugom slučaju, a to je ono na što ESET upozorava, rudarenje se događa samo kada odete na zaraženu stranicu (“rudarenje u pregledniku”).

Naravno, prva metoda je puno poželjnija za napadače, iako je kompliciranija - uostalom, računalo prvo treba nekako zaraziti. Drugi je jednostavniji, a napadači "dobivaju" potrebnu snagu zbog velikog broja korisnika koji posjećuju stranicu.

Glavni simptom

Prvi (i glavni) simptom po kojem možete posumnjati na rudarenje je da računalo počinje konstantno “kočiti” u bezopasnim situacijama. Na primjer, kada vam je hladnjak cijelo vrijeme bučan, prijenosno računalo se zagrijava ili smrzava dok radi samo preglednik s tri kartice.

Jasno je da su takvi simptomi karakteristični ne samo za rudarenje - u ovom trenutku možete jednostavno pokrenuti "teški" pozadinski proces (na primjer, ažuriranje softvera). Ali ako računalo stalno radi u tako opterećenom načinu rada, to je ozbiljan razlog za sumnju.

Nažalost, ovdje se ne biste trebali oslanjati samo na antivirusni softver. Evo što, na primjer, Kaspersky Lab piše o takvim programima:

Mineri nisu maliciozni programi. Stoga su uključeni u kategoriju rizičnog softvera koju smo identificirali - softver koji je sam po sebi legalan, ali se može koristiti u zlonamjerne svrhe. Prema zadanim postavkama, Kaspersky Internet Security ne blokira niti uklanja takve programe, budući da ih je korisnik možda svjesno instalirao.

Antivirus možda neće raditi u slučaju skrivenog rudarenja preglednika.

Kako otkriti rudara?

Najlakši način na koji možete pokušati identificirati zlonamjerni proces koji “jede” sve resurse vašeg računala je pokretanje upravitelja zadataka ugrađenog u sustav (u Windowsima se poziva tipkovničkom prečicom Ctrl+Shift+Esc) .


Upravitelj zadataka u sustavu Windows

Ako vidite da neki nerazumljivi proces jako opterećuje procesor - za desetke posto - (stupac CPU na gornjoj slici), a niste pokrenuli "tešku" igru ​​ili ne uređujete video, to bi se moglo okrenuti biti rudarstvo.

Usput, Chrome, koji je popularan među Bjelorusima, također ima svoj upravitelj zadataka - da biste ga pokrenuli, morate desnom tipkom miša kliknuti područje bez kartica iznad adresne trake i odabrati odgovarajuću stavku. Tada ćete vidjeti koja kartica uzrokuje pokretanje računala.

Nažalost, upravitelj zadataka nije uvijek koristan. Moderni rudari znaju kako, na primjer, pauzirati rad kada se pokrene ili se "sakriti" u standardnim procesima, poput svchost-a. exe, krom. exe ili steam.exe.

U tom slučaju možete koristiti dodatni, napredniji softver - na primjer, program AnVir Task Manager.

Uz njegovu pomoć puno je lakše identificirati sumnjive procese. Sve nedefinirane linije označene su crvenom bojom i možete dobiti maksimum informacija o svakom procesu (uključujući i one skrivene!), ali najvažnije je da svaki proces koji pokrećete možete provjeriti na web stranici VirusTotal.

I što učiniti s tim?

Najlakši način je ako se rudarenje dogodi prilikom otvaranja zaražene stranice. U ovom slučaju samo trebate zatvoriti ovu karticu preglednika.

Još je gore ako program za rudare dospije na vaše računalo. U tom slučaju prvo možete pokušati zatvoriti zlonamjerni proces u upravitelju zadataka i ukloniti ga iz pokretanja, ali u pravilu nije sve tako jednostavno.

Rudari možda imaju nestandardne metode pokretanja, nPrisutnost dvaju procesa koji ponovno pokreću jedan drugog ako ih pokušaju prekinuti. Osim toga, može se pokrenuti.

Tu bi u pomoć trebali priskočiti antivirusni programi. Ako iz nekog razloga antivirusni program ne "uhvati" rudar u standardnom načinu rada, možete pokušati snimiti prijenosni besplatni skener na flash pogon, na primjer, Web CureIt! ili Kaspersky Virus Removal Tool i pokrenite računalo u sigurnom načinu rada.

Da biste ga pokrenuli (u sustavu Windows, osim za "deset"), tijekom pokretanja morate nekoliko puta pritisnuti tipku F8 i odabrati željenu opciju. U sustavu Windows 10 to se ne može učiniti prilikom ponovnog pokretanja. Stoga morate otvoriti prozor "Run" (kombinacija tipki Win + R), tamo unijeti naredbu msconfig, zatim odabrati odjeljak "System Configuration", "Boot" i postaviti Safe Mode, a zatim ponovno pokrenuti računalo.

Nakon pokretanja u sigurnom načinu rada, trebate pokrenuti antivirusni skener s flash pogona.

Kao što smo gore napisali, antivirusi ne smatraju uvijek rudarske programe zlonamjernim softverom - na kraju krajeva, rudariti možete sami.

No, na primjer, Kaspersky Anti-Virus ih svrstava u Riskware kategoriju (softver s rizikom). Da biste otkrili i uklonili objekt iz ove kategorije, morate otići na postavke sigurnosnog rješenja, tamo pronaći odjeljak "Prijetnje i otkrivanje" i potvrditi okvir pored "Ostali programi". ESET nudi slično rješenje - za identifikaciju rudara (uključujući i na stranicama koje posjećujete), morate omogućiti otkrivanje potencijalno neželjenih aplikacija u postavkama.

Ako se rudarenje nastavi nakon ovih manipulacija, možete pokušati radikalniju metodu - ponovnu instalaciju operativnog sustava.

Kako se zaštititi?

Ako govorimo o rudarenju temeljenom na pregledniku, tada su se, osim antivirusnih rješenja koja otkrivaju zlonamjerni javascript na web-mjestima, već pojavila proširenja preglednika koja vam omogućuju otkrivanje rudara - na primjer, No Coin ili Mining Blocker.

Ako ne želite da program rudar dođe na vaše računalo, tada redovito instalirajte nadogradnje koje nudi operativni sustav i svakako koristite antivirusne programe s uključenim nadzorom.

Ovdje morate zapamtiti da antivirusni programi možda neće otkriti rudarski program, ali će gotovo sigurno otkriti dropper program, čija je glavna svrha tajno instalirati rudar. Uz antivirus možete dodati i par starih, ali još uvijek učinkovitih savjeta – ne klikajte na sumnjive linkove na internetu i ne otvarajte spam poruke koje ste primili na svoju poštu.

Također zapamtite da je uz instalaciju legalnog softvera vjerojatnost dobivanja dodatnog rudara zanemariva. Dok se kod preuzimanja hakiranih programa ili “crackova” ovaj rizik znatno povećava.

Što je s pametnim telefonima?

Pametni telefon je također računalo, pa su sheme napadača slične. Primjerice, krajem prošle godine stručnjaci za sigurnost otkrili su malware na Google Playu koji je koristio mobilne gadgete za rudarenje kriptovaluta bez znanja vlasnika.

Softver
Novosti o hardveru