숨겨진 광부를 탐지하고 제거하는 방법 - 사진의 단계별 지침. 숨겨진 채굴, 탐지 및 제거에 대한 세부 정보 숨겨진 비트코인 채굴기를 만드는 방법

10.03.2024 -

안녕하세요 여러분. 오늘은 바이러스 채굴자에 대해 이야기하겠습니다. 이게 뭔가요? 어디서 잡을 수 있나요? 컴퓨터가 마이너에 감염되면 어떻게 되나요? 광부 바이러스를 제거하는 방법?

마이너 바이러스란 무엇입니까?

이는 컴퓨터의 컴퓨팅 리소스를 사용하여 암호화폐를 획득하는 바이러스입니다. 즉, 사기꾼은 귀하의 컴퓨터 자원과 전기를 사용하여 실제 돈을 벌 수 있습니다! 현재 많은 컴퓨터가 이 바이러스에 감염되어 있으며, 저희 서비스에 들어오는 대부분의 컴퓨터도 현재 마이너 바이러스에 감염되어 있으며, 사용자들은 자신이 감염되었다는 사실조차 알지 못합니다. 그러한 컴퓨터는 수십만 또는 수백만 대 있습니다. 그러한 바이러스의 소유자가 얼마나 많은 돈을 벌고 있는지 상상해보십시오. 그건 그렇고, 내 비디오 중 하나에서 직접 돈을 버는 방법을 보여주었습니다. PC에서 암호화폐를 채굴하는 것입니다.

가정용 컴퓨터에서 채굴하기

이제 마이너 바이러스를 잡는 것은 매우 쉽고, 여기에서 잡을 수 있습니다:

모호한 리소스에서 프로그램 다운로드

이전에는 소위 추가 소프트웨어가 프로그램에 내장되어 모든 종류의 쓰레기가 컴퓨터에 설치되지 않도록 신중하게 설치를 수행하고 허가 없이 추가로 설치할 수 있는 모든 상자의 선택을 취소해야 했습니다. 컴퓨터의 소프트웨어에 대해 모두가 이것을 기억한다고 생각합니다. 요즘에는 마이닝 소프트웨어도 프로그램 설치 프로그램에 내장되어 있습니다. 광부 바이러스를 설치할 때 설치에 대한 메시지조차 표시되지 않는 경우가 있습니다. 광부는 귀하가 알지 못하거나 요구하지 않고도 스스로 설치됩니다. 이런 일이 발생하지 않도록 하려면 바이러스 백신을 사용하고, 신뢰할 수 있는 소스에서만 프로그램을 다운로드하고, 추가 소프트웨어를 설치할 때 모든 확인란을 주의 깊게 따르거나 Uncheky 프로그램을 사용하십시오. 그리고 제가 여러 번 말했듯이, 모든 파일은 virustotal 웹사이트를 통해 확인해야 합니다.

불법 복제 게임 다운로드

얼마 전 그들은 우리에게 컴퓨터를 가져왔고 컴퓨터는 우리에 의해 서비스되었으며 소유자는 이전에 100FPS를 생성했던 게임이 20-30FPS를 생성하기 시작했다고 불평했지만 컴퓨터 하드웨어는 변경되지 않았으며 드라이버도 변경되지 않았습니다. 또는 윈도우. 어떤 사람이 토렌트에서 게임을 다운로드하여 최신 버전의 게임을 설치했는데, 이를 리팩이라고 합니다. 우리는 확인을 시작했고 충분히 강력한 컴퓨터를 사용하면 게임이 100% 로드된다는 것을 알게 되었습니다. 전체 프로세서와 비디오 카드가 로드되었습니다. 우리는 이 활동의 이유를 찾기 시작했고 그 사람이 게임과 함께 광부 바이러스를 설치한 것으로 밝혀졌습니다. 그것은 게임 중에만 매우 교활하게 작동했으며 게임도 부하를 주기 때문에 광부가 PC를 로딩하고 있다는 것을 이해하기가 매우 어려웠습니다. 대부분의 경우 사기꾼은 단순히 욕심이 많아 광부 설정을 카드 부하 비율과 비율을 너무 높게 설정했습니다. 이 비율이 낮았다면 소유자는 자신의 컴퓨터가 광부 바이러스에 감염되었다는 사실을 알아차리지 못했을 것입니다. 이전에는 잘 작동하던 게임에 결함이 생기기 시작했나요? 어쩌면 광부일 수도 있어요! 그리고 그러한 사례는 인터넷에서 직접 찾아볼 수 있습니다.

즐겨찾는 웹사이트를 방문하는 것만으로도

이야기는 재미 있고 그것이 내 사이트에 어떻게 영향을 미쳤는지. 내 사이트에는 사이트를 모니터링하고 댓글에 응답하는 여러 중재자가 있습니다. 그래서 내 중재자 중 한 명이 귀하의 지식이나 허가 없이 귀하의 브라우저를 통해 직접 암호화폐 채굴을 시작하는 코드를 사이트에 설치했습니다. 사이트의 아무 페이지나 열면 됩니다. 모든 프로세서는 사이트 소유자를 위해 작동합니다. 물론 내 사이트의 모든 내용은 이미 수정되었으며 중재자는 잘 알려진 곳으로 이동했습니다. 어떻게 작동하는지 보고 싶으세요? 이 스크립트를 남겨둔 별도의 스크립트를 만들었습니다. 그건 그렇고, 내 프로젝트를 돕고 싶다면 이 페이지를 열면 컴퓨터가 작동할 것입니다.) 그리고 저는 이미 영화나 시리즈를 볼 수 있는 많은 사이트에서 이러한 마이닝 스크립트를 발견했습니다. 이것이 사이트 소유자가 사이트에서 수익을 창출하는 방법입니다. 많은 사람들이 광고 차단을 설치하면 웹사이트가 수익성을 잃게 됩니다. 이것이 웹사이트에서 돈을 버는 유일한 방법입니다.

컴퓨터가 마이너에 감염되면 어떻게 되나요?

간단합니다. 컴퓨터는 항상 최대 부하에서 작동합니다. 이로 인해 장비가 과열되어 고장날 수 있으므로 온도를 모니터링하지 않는 경우 프로그램을 통해 컴퓨터 온도를 모니터링하는 것이 좋습니다. 또한 온도가 일정하게 상승하면 컴퓨터 부품의 수명이 단축됩니다. 지속적인 부하 상태에서 컴퓨터는 많은 전력을 소비합니다.

광부 바이러스를 제거하는 방법?

매우 간단합니다. 컴퓨터에서 모든 바이러스를 제거하는 방법에 대한 좋은 영상이 있습니다. 여러분에게 적합할 것입니다.

컴퓨터에서 모든 바이러스를 제거하십시오.

컴퓨터를 청소하고 앞으로는 조심하세요!

그렇다면 마이너 스크립트가 있는 사이트는 어떻게 해야 할까요? 웹사이트에서 JS를 비활성화하려면 브라우저에 플러그인을 설치해야 합니다. Chrome 기반 브라우저의 경우 이 플러그인은 Tampermonkey이고 Firefox의 경우 NoScript입니다. 추가 기능을 설치하고 원치 않는 사이트에서 스크립트 실행을 비활성화합니다.

나는 당신의 관심에 내 비디오를 제시합니다

컴퓨터가 지속적으로 속도가 느려지고 최대 용량으로 실행되는 경우, 이는 마이너 바이러스가 있는지 확인해야 하는 이유입니다. 컴퓨터에 숨겨진 채굴자를 탐지하고 제거하는 방법을 살펴보겠습니다.

그것은 무엇이며 왜 위험한가요?

숨겨진 채굴자는 PC 성능을 이용해 암호화폐를 채굴하는 바이러스 프로그램입니다. 감염은 다음을 통해 발생합니다.

악성 메시지;
다운로드한 파일;
스팸메일.

영상에서는 채굴이 무엇인지, 어떻게 작동하는지 자세히 설명합니다.

숨겨진 채굴에 대한 첫 번째 언급은 2011년에 나타났지만 이는 고립된 사례였습니다. 2018년 초에 이 문제는 뉴스 피드의 주요 위치 중 하나를 차지했습니다.

트로이 목마 광부는 PC에 큰 위험을 초래합니다.

하드웨어의 서비스 수명을 단축시킵니다.
PC는 오랫동안 최대 부하로 작동하며 이는 최대 서비스 수명에 부정적인 영향을 미칩니다.
- 프로세서;
- 비디오 카드;
- 냉각 시스템.
성능을 제한합니다.
감염된 컴퓨터를 작업에 사용할 때 사용자는 대부분 숨겨진 마이닝에 사용되기 때문에 성능이 부족합니다.
개인 데이터에 대한 액세스를 제공합니다.
채굴자는 트로이목마이기 때문에 사용자의 개인정보에 접근할 수 있게 됩니다. 최근에는 전자지갑 및 비밀번호를 도난당하는 사례가 빈번해지고 있습니다. 공격자는 PC의 성능을 이용할 뿐만 아니라 기밀 데이터도 훔칩니다.

메모! 최신 Windows 업데이트는 채굴로부터 보호를 받았습니다. "Windows 10은 숨겨진 채굴로부터 PC를 보호합니다." 링크를 클릭하면 해당 정보를 확인할 수 있습니다.

감지하고 제거하는 방법

조언! 바이러스 백신으로 시스템을 검사하면 자신의 존재를 숨기지 않는 일반 광부를 발견할 수 있습니다. 이 경우 바이러스 백신 소프트웨어에 의해 감지되어 자동으로 제거됩니다.

일반적으로 사용자가 트로이 목마를 탐지하는 것은 매우 어렵습니다. 왜냐하면 바이러스 소프트웨어 개발자는 가능한 한 그 동작을 숨기려고 노력했기 때문입니다. 새로운 채굴자는 자신의 활동을 위장할 수 있습니다.

사용자가 까다로운 응용 프로그램을 사용하는 동안 비활성화합니다.
작업 관리자에서 다른 응용 프로그램으로 위장합니다.
PC가 유휴 상태일 때만 작동합니다.

당신의 컴퓨터가 당신도 모르게 감염될 수 있습니다. 그것은 모두 해커의 독창성에 달려 있습니다. 악성 코드를 식별하는 방법을 최대한 자세히 설명하려고 노력할 것입니다.

중요한! 특히 파일의 목적이 확실하지 않은 경우 파일을 삭제할 때 주의하십시오. 모든 행동은 자신의 위험과 위험에 따라 수행됩니다!

작업 관리자를 통해

인터넷 마이닝에 대해 조금 다루겠습니다. 특수 스크립트를 사용하여 PC 성능에 액세스하는 사이트가 있습니다. 해커는 인터넷 리소스 보호를 우회하여 해당 사이트에 있는 동안 암호화폐를 채굴하는 악성 코드를 업로드합니다.

방문하면 컴퓨터 속도가 느려지고 작업 관리자에 하드웨어에 과도한 부하가 표시되기 때문에 이러한 문제가 발생했다는 것을 이해하는 것은 매우 쉽습니다. 채굴 프로세스를 중단하려면 단순히 사이트를 떠나는 것만으로도 충분합니다.

시스템에서 악성 코드를 탐지하려면:

"Ctrl + Shift + Esc"를 동시에 눌러 작업 관리자로 이동하세요.
10분간 완전히 비활성 상태(마우스 움직임 및 키 입력 포함) 동안 프로세스를 관찰합니다.
중요한! 일부 바이러스는 자신의 활동을 숨기기 위해 작업 관리자를 닫거나 차단합니다.
디스패처가 저절로 닫히거나 일부 프로그램이 시스템을 로드하기 시작했다면 이는 PC가 광부에 감염되었음을 의미합니다.
바이러스가 감지되지 않으면 '세부정보' 탭으로 이동하세요.
표준과 다른 프로세스(예: 이상한 기호)를 찾아 이름을 적어보세요.
“편집” → “찾기”.
중요한! 파일이 삭제될 수 있는지 확실하지 않은 경우 댓글로 알려주시면 도와드리겠습니다.
바이러스 백신으로 시스템을 검사합니다(예를 들어 "시작" → "설정" → "업데이트 및 보안" → "Windows Defender"에 있는 표준 바이러스 백신을 사용했습니다).
PC를 다시 시작하세요.

AnVir 작업 관리자를 통해

다기능 프로세스 관리자 AnVir은 숨겨진 바이러스를 탐지하는 데 도움이 됩니다.

유틸리티를 다운로드하여 설치하십시오.
그것을 실행하고 실행 중인 프로세스를 봅니다.
의심스러운 경우 애플리케이션 위에 커서를 올려 관련 정보를 표시하세요.

메모! 일부 트로이 목마는 시스템 응용 프로그램으로 가장하지만 세부 정보를 위조할 수는 없습니다.
그런 다음 RMB → “상세 정보” → “성능”을 선택하세요.
"1일"을 선택하면 이 시간 동안 PC의 부하를 확인할 수 있습니다.
프로세스가 시스템을 과도하게 로드하는 경우 해당 프로세스 위에 커서를 놓고 → 이름과 경로를 적어 둡니다.
프로세스를 마우스 오른쪽 버튼으로 클릭 → "프로세스 끝내기".
Windows 검색에서 "regedit"를 입력하고 → 레지스트리로 이동합니다.
“편집” → “찾기”.
파일 이름을 입력하고 → 일치하는 항목을 모두 제거합니다.
위협이 감지되면 제거를 확인합니다.
PC를 다시 시작하세요.

숨겨진 암호화폐 채굴자는 새로운 주제가 아니지만 이를 탐지하고 제거하기 위한 적절한 기술 지침이 거의 없습니다. 흩어져있는 정보와 모호한 내용의 기사가 많이 있습니다. 왜? 물론, 암호화폐로부터 한 푼도 받지 못하고 자신이 암호화폐의 일부가 되었다고 의심조차 하지 않는 사람들을 제외하고는 모두가 글로벌 규모의 암호화폐 채굴로 이익을 얻기 때문입니다. 그리고 실제로 숨겨진 채굴의 원리는 단순히 다른 사람의 주머니에 동전을 넣는 것 이상의 의미가 있을 수 있습니다.

숨겨진 채굴의 개념

여기서 우리는 주택 및 공동 서비스에서 당분간 숨겨져 있는 채굴에 대해 이야기하는 것이 아니라 컴퓨터 소유자 자신이 그것에 대해 어둠 속에 있지 않다는 사실에도 불구하고 일반 컴퓨터에서 숨겨진 동전 채굴에 대해 이야기하고 있습니다. . 즉, 암호화폐를 채굴하려면 자신의 컴퓨터뿐만 아니라 다른 많은 사람의 컴퓨터를 사용하는 것도 가능합니다.

그리고 비디오 카드나 프로세서의 부하를 100%까지 늘릴 필요는 없습니다. 이 똑똑한 사람들은 조심스럽고 네트워크 구성원의 컴퓨터를 불합리한 한계까지 부하하지 않습니다. 원칙적으로 상당히 강력한 기술을 사용한다면 큰 차이를 느끼지 못할 수도 있습니다. 이는 채굴자의 숨겨진 작업을 유지하기 위한 중요한 조건입니다.

2011년부터 처음으로 히든 채굴 현상에 대한 공식 보고서가 나타나기 시작했으며, 2013년에는 이미 Skype를 통해 여러 국가에서 PC가 대규모로 감염되었습니다. 더욱이 트로이 목마는 비트코인 지갑을 채굴했을 뿐만 아니라 접근권도 얻었습니다.

가장 유명한 사례는 μTorrent 개발자가 숨겨진 EpicScale 마이너를 소프트웨어에 도입하여 사용자로부터 추가 수익을 얻으려는 시도입니다.

바이러스 마이너(마이너, 비트코인 마이너)는 피해자 컴퓨터의 리소스를 사용하여 암호화폐를 채굴하는 것이 주요 목적인 악성 소프트웨어입니다. 이상적으로 이러한 소프트웨어는 가능한 한 비밀리에 작동해야 하며 생존 가능성이 높고 바이러스 백신 프로그램에 의해 탐지될 가능성이 낮아야 합니다. "고품질" 바이러스 마이너는 거의 눈에 띄지 않고 사용자 작업을 거의 방해하지 않으며 바이러스 백신 소프트웨어로 탐지하기 어렵습니다. 바이러스 감염의 주요 외부 증상은 컴퓨터 리소스 소비 증가로 인해 냉각 시스템 팬의 발열이 증가하고 소음이 증가하는 것입니다. "낮은 품질"의 광부 바이러스의 경우 나열된 증상 외에도 컴퓨터의 전반적인 성능이 저하되거나 단기적으로 정지되거나 일부 프로그램이 작동하지 않는 경우도 있습니다.

채굴이란 무엇입니까?

마이닝(mining)이라는 단어는 '광물 개발'을 의미하는 영어 'mining'에서 유래되었습니다. 채굴은 특별한 알고리즘을 사용하여 새로운 암호화폐 단위(암호화폐)를 생성하는 과정에 지나지 않습니다. 오늘날에는 약 천 가지 종류의 암호화폐가 있지만 모두 가장 유명한 초보자의 알고리즘과 프로토콜을 사용합니다. 비트코인 .

마이닝 프로세스는 지불 거래의 신뢰성을 확인하는 고유한 데이터 세트를 얻기 위해 복잡한 리소스 집약적 문제에 대한 솔루션입니다. 발견 속도와 보상으로 받는 암호화폐 단위 수는 통화 시스템마다 다르지만 어떤 경우에도 상당한 컴퓨팅 리소스가 필요합니다. 채굴 하드웨어 전력은 일반적으로 메가해시(MHash) 및 기가해시(GHash)로 측정됩니다. 가장 비싼 암호화폐를 채굴하는 복잡성은 오랫동안 단일 컴퓨터에서 달성할 수 없었기 때문에 특별한 전원, 이는 강력한 산업 수준의 컴퓨팅 시스템이며 수영장마이닝 - 마이닝 프로세스가 모든 네트워크 참가자에게 배포되는 컴퓨터 네트워크입니다. 공용 풀에서의 채굴은 일반 사용자가 암호화폐 생성 과정에서 최소한의 수익을 얻을 수 있는 유일한 방법입니다. 풀은 클라이언트 장비의 성능을 포함하여 다양한 수익 분배 모델을 제공합니다. 글쎄, 공격자는 광부에 감염된 수십, 수백, 심지어 수천 대의 컴퓨터를 풀에 몰아넣음으로써 다른 사람의 컴퓨터 장비를 악용하여 특정 이익을 얻는다는 것이 분명합니다.

마이닝 바이러스는 피해자 컴퓨터의 장기간 사용을 목표로 하며, 감염되면 일반적으로 기본 마이닝 프로그램이 손상되거나 바이러스 백신에 의해 삭제되거나 어떤 이유로 충돌하는 경우 이를 복원하는 보조 소프트웨어를 설치합니다. 당연히 메인 프로그램은 채굴 결과가 사용된 풀에 있는 공격자의 계정과 연결되는 방식으로 구성됩니다. 기본 프로그램은 공식 암호화폐 웹사이트나 특별 풀 리소스에서 다운로드한 합법적인 채굴 소프트웨어를 사용하며 실제로 악성 소프트웨어(바이러스, 바이러스 소프트웨어 - 소프트웨어)가 아닙니다. 시스템에 사용되는 바이러스 백신에 대한 특별한 의심을 일으키지 않고 동일한 소프트웨어를 자신의 컴퓨터에 직접 다운로드하여 설치할 수 있습니다. 그리고 이는 안티 바이러스 소프트웨어의 품질이 낮다는 것을 의미하는 것이 아니라 그 반대입니다. 잘못된 경보 이벤트가 없다는 것입니다. 왜냐하면 사용자에게 유용한 마이닝과 공격자에게 유용한 마이닝의 전체적인 차이는 누가 할 것인지에 있기 때문입니다. 결과를 스스로 소유합니다. 즉, 풀의 계정에서.

이미 언급한 바와 같이, 시스템이 광부에 감염되는 주요 징후는 일부 프로그램이 리소스를 집중적으로 사용하고 시스템 장치의 소음 수준과 구성 요소의 온도가 증가한다는 것입니다. 또한 멀티태스킹 환경에서는 일반적으로 바이러스는 컴퓨터가 유휴 상태일 때만 시스템 리소스를 사용하여 가장 낮은 우선 순위로 작동합니다. 그림은 다음과 같습니다. 컴퓨터는 아무것도 사용하지 않고 유휴 상태이며 구성 요소의 온도와 환기 장치에서 방출되는 소음은 매우 까다로운 컴퓨터 슈팅 게임의 게임 모드를 연상시킵니다. 그러나 실제로는 마이닝 프로그램의 우선순위가 표준값으로 설정되어 가용 성능이 급격히 떨어지는 경우가 있었습니다. 컴퓨터가 심하게 "느려지기" 시작했고 사용이 거의 불가능했습니다.

복원 지점으로의 롤백을 사용하여 마이너 제거

원치 않는 소프트웨어를 제거하는 가장 쉬운 방법은 시스템 롤백이라고도 하는 복원 지점을 사용하여 Windows를 이전 상태로 되돌리는 것입니다. 이를 위해서는 감염이 아직 발생하지 않은 시점에 복원 지점이 생성되어야 합니다. 복구 도구를 시작하려면 Win+r 키 조합을 사용하고 다음 명령을 입력하면 됩니다. rstrui.exe열리는 입력 필드에서. 또는 기본 메뉴 – “프로그램 – 보조 프로그램 – 시스템 도구 – 시스템 복원”을 사용하십시오. 그런 다음 원하는 복원 지점을 선택하고 해당 지점으로 롤백합니다. 성공적인 롤백을 통해 대부분의 경우 많은 노력 없이 바이러스를 제거할 수 있습니다. 적절한 복구 지점이 없거나 롤백을 통해 바이러스가 무력화되지 않은 경우 이 문제를 해결하기 위한 더 복잡한 방법을 찾아야 합니다. 이 경우 프로세스 검색 및 종료, 해당 속성에 대한 정보 얻기, 프로그램 시작 지점 보기 및 수정, 게시자의 디지털 서명 확인 등을 수행할 수 있는 표준 운영 체제 도구 또는 특수 프로그램을 사용할 수 있습니다. 이러한 작업을 수행하려면 명령줄, 레지스트리 편집기 및 기타 유틸리티 유틸리티를 사용하는 데 있어 특정 사용자 자격과 기술이 필요합니다. 다양한 제조업체의 여러 바이러스 백신 스캐너를 사용하면 시스템을 정리하고 원치 않는 소프트웨어를 제거하는 프로그램이 긍정적인 결과를 얻지 못할 수 있으며, 채굴자의 경우 일반적으로 그렇지 않습니다.

Sysinternals Suite의 유틸리티를 사용하여 마이너 찾기 및 제거

채굴에 사용되는 프로그램을 식별하기 어려운 점은 실제로 바이러스가 아니기 때문에 대부분의 바이러스 백신 프로그램에서 탐지되지 않는다는 것입니다. 바이러스 백신은 특이한 소프트웨어 도구를 사용하기 때문에 광부의 설치 프로세스를 방해할 가능성이 있지만, 이러한 일이 발생하지 않으면 악성 프로그램의 관점에서 검색하여 제거해야 할 가능성이 높습니다. 감염된 컴퓨터의 소유자) 프로그램을 수동으로 실행합니다. 참고로 2017년 6월 예를 들어 잘 알려진 리소스를 사용하여 해당 소프트웨어의 악성 탐지 평균 수준 바이러스토탈에 달했다 15-20/62 - 즉. 62개의 바이러스 백신 중 15~20개만이 이를 악성 프로그램으로 간주했습니다. 또한 가장 널리 사용되는 고품질 바이러스 백신 프로그램은 이 그룹에 포함되지 않습니다. 잘 알려진 바이러스나 비교적 최근에 발견된 바이러스의 경우 안티 바이러스 데이터베이스의 서명과 안티 바이러스 프로그램 개발자가 취한 몇 가지 추가 조치로 인해 맬웨어 탐지 수준이 더 높아질 수 있습니다. 그러나 이 모든 것이 문제를 해결하기 위해 필요한 추가 노력 없이는 항상 광부 바이러스를 제거할 수 있는 것은 아닙니다.

다음은 마이닝 악성코드에 시스템이 감염된 실제 사례이다. 신뢰할 수 없는 토렌트 추적기 중 하나에서 다운로드한 변형된 게임 프로그램을 사용하여 감염이 발생했습니다. 다른 악성 코드와 마찬가지로 감염 방법은 다를 수 있지만 확인되지 않은 리소스에 대한 링크를 따라가거나 이메일 첨부 파일을 여는 등의 방법이 있습니다.

공격자의 이익을 위한 일련의 마이닝 악성코드는 다음 기능을 구현합니다.

자동 실행을 보장합니다. 하나 이상의 프로그램이 예기치 않은 종료, 재부팅 또는 정전이 발생할 경우 자동으로 시작되도록 레지스트리 키를 수정합니다. 정기적으로(대략 1분에 한 번) 레지스트리 키를 검토하고, 위반(삭제, 변경)된 경우 복원됩니다.

마이닝 프로그램 자동 실행. 또한 프로그램은 자동으로 시작되며 자동 실행 매개변수는 하나 이상의 보조 프로그램에 의해 모니터링 및 복원됩니다.

자동 시작을 보장하는 프로세스가 컴퓨터 메모리에서 실행되는 동안에는 실행 파일과 레지스트리 항목을 삭제할 필요가 없습니다. 여전히 복원됩니다. 따라서 첫 번째 단계에서는 악성 프로그램의 자동 재시작을 보장하는 모든 프로세스를 식별하고 강제 종료해야 합니다.

최신 운영 체제에서 광부 바이러스를 찾아 제거하려면 표준 도구를 사용하거나 예를 들어 패키지의 더 많은 기능을 갖춘 소프트웨어를 사용할 수 있습니다. 시스인터널스 스위트마이크로소프트에서

- 프로세스 탐색기– 프로세스, 스레드, 리소스 사용량 등에 대한 자세한 정보를 볼 수 있습니다. 우선 순위를 변경하고, 필요한 프로세스의 작업을 일시 중지(재개)하고, 프로세스 또는 프로세스 트리를 종료할 수 있습니다. 이 유틸리티는 프로세스의 속성을 분석하고 악성 코드를 검색하는 데 사용하기 편리합니다.

- 자동 실행– 프로그램 자동 실행을 제어하는 편리한 수단입니다. 시작 폴더부터 스케줄러 작업까지 거의 모든 자동 시작 지점을 제어합니다. 실행하고 싶지 않은 프로그램을 신속하게 감지하고 격리할 수 있습니다.

이 유틸리티를 보조 소프트웨어로 사용할 수도 있습니다. 프로세스 모니터, 어려운 경우 필터(레지스트리, 파일 시스템, 네트워크 등에 대한 액세스)를 사용하여 특정 프로그램의 활동을 모니터링할 수 있습니다. 파일 및 폴더 검색에 편리한 Nirsoft의 SearhMyfiles 유틸리티도 있습니다. 그 중 특징은 NTFS 파일 시스템 타임스탬프(Time Stamp)를 사용하여 파일과 폴더를 검색하는 기능입니다. 검색 기준으로 파일 및 폴더에 대한 생성, 수정 및 액세스 시간 범위(생성됨, 수정됨, 액세스됨)를 지정할 수 있습니다. 대략적인 감염 또는 손상 시간을 알고 있는 경우 특정 기간 동안 생성되거나 수정된 파일의 전체 목록을 수집할 수 있습니다.

그러나 광부를 찾고 제거하려면 일반적으로 작업 관리자 및 레지스트리 편집기와 같은 표준 Windows 도구를 사용하는 것으로 충분합니다. 위에 나열된 소프트웨어는 사용하기 쉽고 맬웨어를 찾는 데 더 편리합니다.

Process Explorer에 표시되는 시스템 리소스 사용량 정보:

열 CPU다양한 프로세스의 CPU 사용률을 표시합니다. 시스템 유휴 프로세스- 이는 프로세스가 아니라 유휴 모드(비활성) 프로그램에 의한 표시입니다. 결과적으로 프로세서는 49.23%의 시간 동안 유휴 모드에 있고 일부 프로세스는 리소스의 100분의 1을 사용하며 CPU의 주요 소비자는 프로세스입니다. 시스템.exe- 49.90%. 공정 특성에 대한 피상적인 분석을 통해서도 시스템.exe, 합리적인 의심을 불러일으키는 눈에 띄는 사실이 있습니다.

이상한 설명 (설명) - 마이크로소프트 센터

이상한 회사 이름 - www.microsoft.com실제로 Microsoft와 관련된 다른 프로세스에는 설명으로 해당 줄이 있습니다. 마이크로 소프트 회사

보다 자세한 분석은 마우스 오른쪽 버튼으로 호출되는 컨텍스트 메뉴(속성 항목)를 통해 수행됩니다.

실행 가능 경로 프로그램데이터\System32\system.exe그것도 분명히 의심스러운데, 해당 버튼을 클릭하면 실행 파일이 있는 폴더로 이동합니다. 탐구하다폴더 자체와 실행 파일 모두 "숨김" 특성을 가지고 있음을 보여주었습니다. 그리고 명령줄 매개변수는 다음과 같습니다.

-o 스트라텀+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [이메일 보호됨]*-p x -t 2 –k system.exe 프로세스가 마이너 프로그램(pool.minergate.com 풀 사용용)임을 명확하게 나타냅니다.

필드 자동 시작 위치값을 포함합니다 해당사항 없음, 이는 이 프로세스에 자동 시작점이 없음을 의미합니다. 에 대한 상위 프로세스 시스템.exe PID=4928이며 현재 존재하지 않습니다( 존재하지 않는 프로세스) 이는 프로세스가 실행 후 작업을 완료한 배치 파일이나 프로그램을 사용하여 실행되었음을 나타냅니다. 단추 확인하다상위 프로세스가 있는지 강제로 확인하도록 설계되었습니다.

단추 프로세스 종료현재 프로세스를 종료할 수 있습니다. 선택한 프로세스에 대해 마우스 오른쪽 버튼 클릭 상황에 맞는 메뉴를 사용하여 동일한 작업을 수행할 수 있습니다.

탭 TCP/IP system.exe 프로세스의 네트워크 연결 목록을 얻을 수 있습니다.

보시다시피 system.exe 프로세스에는 로컬 컴퓨터와 원격 서버 static.194.9.130.94.clients.your-server.de:45560 간에 연결이 설정되어 있습니다.

이 실제 사례에서 system.exe 프로세스는 최소한의 우선순위를 가지며 리소스 소비 증가가 필요하지 않은 다른 프로세스의 작동에 거의 영향을 미치지 않았습니다. 그러나 감염된 시스템의 동작에 미치는 영향을 평가하기 위해 채굴자의 우선순위를 법적 프로그램의 우선순위와 동일하게 설정하고 컴퓨터의 유용한 성능이 저하되는 정도를 평가할 수 있습니다.

시스템 exe 프로세스를 강제 종료하면 몇 초 후에 다시 시작됩니다. 따라서 다시 시작은 다른 프로그램이나 서비스에 의해 제공됩니다. 프로세스 목록을 계속해서 보면 우선 Security.exe 프로세스가 의심스럽습니다.

보시다시피 프로그램을 실행하려면 보안.exe사용자 프로그램의 표준 메뉴에서 자동 실행 지점을 사용하며, 실행 파일은 보안.exe같은 숨겨진 폴더에 위치 C:\ProgramData\System32

다음 단계는 강제 종료입니다. 보안.exe, 그런 다음 - 시스템.exe. 이 과정을 거치면 시스템.exe더 이상 시작되지 않으면 악성 코드 기능과 관련된 악성 파일 및 시스템 설정 삭제를 시작할 수 있습니다. 과정이라면 시스템.exe다시 출시될 예정이라면 출시를 보장하는 보조 프로그램 검색을 계속해야 합니다. 최후의 수단으로 모든 프로세스를 한 번에 하나씩 순차적으로 종료하고 다시 시작이 중지될 때까지 system.exe를 매번 종료할 수 있습니다.

자동 실행 지점을 찾아 비활성화하려면 Sysinternals Suite의 Autoruns 유틸리티를 사용하는 것이 편리합니다.

표준 msconfig.exe 도구와 달리 Autoruns 유틸리티는 특정 시스템에 존재하는 프로그램을 자동으로 시작하는 데 가능한 거의 모든 옵션을 표시합니다. 기본적으로 모든 것이 표시되지만(모든 탭) 필요한 경우 창 상단의 탭(알려진 DLL, Winlogon, ... Appinit)으로 전환하여 유형별로 개별 레코드를 필터링할 수 있습니다.

악성 프로그램의 자동 실행을 허용하는 항목을 검색할 때 가장 먼저 주의해야 할 것은 게시자 열에 개발자의 디지털 서명이 없다는 것입니다. 거의 모든 최신 법률 프로그램은 디지털 서명이 되어 있으며, 예외적으로 일반적으로 Microsoft의 타사 소프트웨어 제품이나 드라이버/서비스가 포함됩니다. 두 번째 놀라운 원칙은 설명 열에 설명이 부족하다는 것입니다. 이 특별한 경우에는 사용자의 시작 폴더에서 Security.lnk 바로 가기를 여는 항목이 의심됩니다.

C:\Users\Student\AppData\Roaming\Microsoft\Windows\시작 메뉴\프로그램\시작

바로가기는 파일을 참조합니다. c:\programdata\system32\security.exe

타임 스탬프는 시스템 감염 날짜와 시간을 나타냅니다. - 2017년 6월 23일 19:04

자동 실행 유틸리티에 의해 표시되는 항목은 모두 삭제하거나 비활성화할 수 있으며 추가 복원이 가능합니다. 삭제하려면 상황에 맞는 메뉴나 키를 사용하세요. 델. 비활성화하려면 선택한 항목을 선택 취소하세요.

숨겨진 폴더 c:\programdata\system32\는 모든 내용과 함께 삭제될 수 있습니다. 그런 다음 재부팅하고 악성 프로세스가 없는지 확인하십시오.

바이러스 백신 회사인 ESET은 사용자가 모르는 사이에 암호화폐를 채굴하는 브라우저 기반 채굴기의 보급이 증가하고 있음을 지적했습니다. 더욱이 지난해 12월 자료에 따르면 벨라루스 사이버 위협 등급 1위를 차지했다. 우리 자료에서는 누군가가 개인적인 이익을 위해 귀하의 컴퓨터를 사용하고 있음을 인식하고 숨겨진 채굴을 제거하는 방법을 알려줄 것입니다.

브라우저 또는 컴퓨터

마이닝은 컴퓨터에서 발생하는 복잡한 계산을 사용하여 암호화폐를 추출하는 프로세스라는 점을 상기시켜 드리겠습니다. 현재 '악성 채굴'에는 두 가지 주요 방법이 있습니다.

첫 번째 경우, 광부 프로그램은 컴퓨터에 숨겨져 있으며 프로세서와 비디오 카드와 같은 전원을 지속적으로 사용하기 시작합니다. 두 번째 경우(ESET에서 경고하는 내용)는 감염된 사이트로 이동할 때만 마이닝이 발생합니다(“브라우저 마이닝”).

물론 공격자에게는 첫 번째 방법이 훨씬 더 바람직하지만 더 복잡하기는 하지만 결국 컴퓨터는 먼저 어떤 식으로든 감염되어야 합니다. 두 번째는 더 간단하며 공격자는 사이트를 방문하는 사용자가 많기 때문에 필요한 전력을 "얻습니다".

주요 증상

마이닝을 의심할 수 있는 첫 번째(그리고 주요) 증상은 컴퓨터가 무해한 상황에서 지속적으로 "느려지기" 시작한다는 것입니다. 예를 들어, 쿨러에서 항상 소음이 발생하면 세 개의 탭이 있는 브라우저만 실행되는 동안 노트북이 뜨거워지거나 정지됩니다.

이러한 증상은 마이닝의 특징일 뿐만 아니라 현재로서는 단순히 "무거운" 백그라운드 프로세스(예: 소프트웨어 업데이트)가 실행 중일 수도 있습니다. 그러나 컴퓨터가 이러한 로드 모드에서 지속적으로 작동한다면 이는 심각한 의심의 이유입니다.

안타깝게도 여기서는 바이러스 백신 소프트웨어에만 의존해서는 안 됩니다. 예를 들어 Kaspersky Lab이 이러한 프로그램에 대해 쓴 내용은 다음과 같습니다.

채굴자는 악성 프로그램이 아닙니다. 따라서 해당 소프트웨어는 자체적으로는 합법적이지만 악의적인 목적으로 사용될 수 있는 소프트웨어인 리스크웨어 범주에 포함됩니다. 기본적으로 Kaspersky Internet Security는 사용자가 고의로 해당 프로그램을 설치했을 수 있으므로 이러한 프로그램을 차단하거나 제거하지 않습니다.

숨겨진 브라우저 마이닝의 경우 바이러스 백신이 작동하지 않을 수 있습니다.

광부를 감지하는 방법은 무엇입니까?

컴퓨터의 모든 리소스를 "먹고 있는" 악성 프로세스를 식별할 수 있는 가장 쉬운 방법은 시스템에 내장된 작업 관리자를 실행하는 것입니다(Windows에서는 키보드 단축키 Ctrl+Shift+Esc로 호출됩니다). .

Windows의 작업 관리자

이해할 수 없는 일부 프로세스가 프로세서를 수십 퍼센트씩 매우 과도하게 로드하고 있고(위 그림의 CPU 열) "무거운" 게임을 시작하지 않았거나 비디오를 편집하지 않는 경우 이는 다음과 같은 상황이 될 수 있습니다. 채굴하러 나갑니다.

그건 그렇고, 벨로루시 사람들에게 인기가 있는 Chrome에는 자체 작업 관리자도 있습니다. 실행하려면 주소 표시줄 위의 탭이 없는 영역을 마우스 오른쪽 버튼으로 클릭하고 적절한 항목을 선택해야 합니다. 그러면 어떤 탭이 컴퓨터를 부팅하게 만드는지 확인할 수 있습니다.

불행히도 작업 관리자가 항상 유용한 것은 아닙니다. 예를 들어 현대 채굴자들은 작업이 시작될 때 작업을 일시 중지하거나 svchost와 같은 표준 프로세스에서 "숨기기"하는 방법을 알고 있습니다. exe, 크롬. exe 또는 steam.exe.

이 경우 AnVir 작업 관리자 프로그램과 같은 추가 고급 소프트웨어를 사용할 수 있습니다.

도움을 받으면 의심스러운 프로세스를 식별하는 것이 훨씬 쉽습니다. 정의되지 않은 모든 줄은 빨간색으로 강조 표시되며 각 프로세스(숨겨진 프로세스 포함!)에 대한 최대 정보를 얻을 수 있지만 가장 중요한 것은 실행 중인 모든 프로세스를 VirusTotal 웹 사이트에서 확인할 수 있다는 것입니다.

그리고 그걸로 무엇을 해야 할까요?

가장 쉬운 방법은 감염된 사이트를 열 때 마이닝이 발생하는 것입니다. 이 경우에는 이 브라우저 탭을 닫으면 됩니다.

채굴 프로그램이 컴퓨터에 설치되면 상황은 더욱 악화됩니다. 이 경우 먼저 작업 관리자에서 악성 프로세스를 닫고 시작에서 제거할 수 있지만 일반적으로 모든 것이 그렇게 간단하지는 않습니다.

광부는 다음을 가질 수 있습니다. 비표준 실행 방법, n종료하려고 하면 서로를 다시 시작하는 두 개의 프로세스가 있습니다. 게다가 개시될 수도 있다.

여기서 바이러스 백신 프로그램이 구출되어야 합니다. 어떤 이유로 바이러스 백신이 표준 모드에서 광부를 "잡지" 못하는 경우 Web CureIt!과 같은 휴대용 무료 스캐너를 플래시 드라이브에 기록해 볼 수 있습니다. 또는 Kaspersky Virus Removal Tool을 선택하고 컴퓨터를 안전 모드로 부팅합니다.

이를 실행하려면(Windows에서는 "ten" 제외) 부팅 중에 F8 키를 여러 번 누르고 원하는 옵션을 선택해야 합니다. Windows 10에서는 재부팅 시 이 작업을 수행할 수 없습니다. 따라서 "실행" 창(Win + R 키 조합)을 열고 거기에 msconfig 명령을 입력한 다음 "시스템 구성", "부팅" 섹션을 선택하고 안전 모드를 설정한 후 컴퓨터를 다시 시작해야 합니다.

안전 모드로 부팅한 후 플래시 드라이브에서 바이러스 백신 스캐너를 실행해야 합니다.

위에서 쓴 것처럼 바이러스 백신은 항상 채굴 프로그램을 악성 소프트웨어로 간주하지 않습니다. 결국 사용자가 직접 채굴할 수 있습니다.

그러나 예를 들어 Kaspersky Anti-Virus는 이를 위험웨어 범주(위험이 있는 소프트웨어)로 분류합니다. 이 범주에서 개체를 탐지하고 제거하려면 보안 솔루션 설정으로 이동하여 "위협 및 탐지" 섹션을 찾아 "기타 프로그램" 옆의 확인란을 선택해야 합니다. ESET은 유사한 솔루션을 제공합니다. 즉, 방문하는 사이트를 포함하여 광부를 식별하려면 설정에서 잠재적으로 원치 않는 애플리케이션 검색을 활성화해야 합니다.

이러한 조작 후에도 채굴이 계속되면 운영 체제를 다시 설치하는 보다 근본적인 방법을 시도해 볼 수 있습니다.

자신을 보호하는 방법?

브라우저 기반 마이닝에 대해 이야기하고 있다면 사이트에서 악성 자바스크립트를 탐지하는 바이러스 백신 솔루션 외에도 No Coin 또는 Mining Blocker와 같은 마이너를 탐지할 수 있는 브라우저 확장 기능이 이미 나타났습니다.

마이너 프로그램이 컴퓨터에 설치되는 것을 원하지 않으면 운영 체제에서 제공하는 업데이트를 정기적으로 설치하고 모니터링이 활성화된 바이러스 백신 프로그램을 사용하십시오.

여기에서 바이러스 백신은 광부 프로그램을 감지하지 못할 수도 있지만 채굴기를 비밀리에 설치하는 것이 주요 목적인 드로퍼 프로그램은 거의 확실하게 감지한다는 점을 기억해야 합니다. 바이러스 백신 외에도 몇 가지 오래되었지만 여전히 효과적인 팁을 추가할 수 있습니다. 인터넷에서 의심스러운 링크를 클릭하지 말고 메일로 받은 스팸 메시지를 열지 마십시오.

또한 합법적인 소프트웨어를 설치하면 추가로 채굴기를 얻을 가능성은 무시할 수 있다는 점을 기억하십시오. 반면, 해킹된 프로그램이나 "크랙"을 다운로드하는 경우에는 이러한 위험이 크게 증가합니다.

스마트폰은 어떻습니까?

스마트폰도 컴퓨터이기 때문에 공격자의 수법은 유사하다. 예를 들어, 작년 말 보안 전문가들은 소유자 모르게 모바일 장치를 사용하여 암호화폐를 채굴하는 악성 코드를 Google Play에서 발견했습니다.

숨겨진 광부를 탐지하고 제거하는 방법 - 사진의 단계별 지침. 숨겨진 채굴, 탐지 및 제거에 대한 세부 정보 숨겨진 비트코인 ​​채굴기를 만드는 방법