Jak wykryć i usunąć ukrytego górnika - instrukcja krok po kroku na obrazkach. Szczegóły na temat ukrytego wydobywania, jego wykrywania i usuwania. Jak stworzyć ukrytą koparkę bitcoinów

Cześć wszystkim. Dziś opowiem o górnikach wirusów. Co to jest? Gdzie można je złapać? Co stanie się z komputerem, jeśli zostanie zainfekowany górnikiem? Jak pozbyć się wirusa górniczego?

Co to jest wirus górniczy?

Jest to wirus, który wykorzystuje zasoby obliczeniowe Twojego komputera do zarabiania kryptowalut. Oznacza to, że oszust, korzystając z zasobów Twojego komputera i energii elektrycznej, zarabia prawdziwe pieniądze! Wiele komputerów jest obecnie zainfekowanych tym wirusem, większość komputerów przyniesionych do naszego serwisu jest teraz również zainfekowanych wirusem górniczym, a użytkownicy nawet nie wiedzą, że są zainfekowani. Takich komputerów są setki tysięcy, a nawet miliony, wyobraźcie sobie, ile zarabia właściciel takiego wirusa. Przy okazji, w jednym z moich filmów pokazałem, jak można samemu zarabiać - kopać kryptowaluty na swoim komputerze.

Kopanie na komputerze domowym

Teraz bardzo łatwo jest złapać wirusa górniczego, a oto gdzie możesz go złapać:

Pobieranie programów z podejrzanych zasobów

Wcześniej do programów wbudowywano tzw. dodatkowe oprogramowanie, aby na komputerze nie instalowały się wszelkiego rodzaju badziewia, trzeba było dokładnie przeprowadzić instalację i odznaczyć wszystkie pola, które bez Twojej zgody mogły zainstalować dodatkowe, często złośliwe oprogramowanie na komputerze, myślę, że wszyscy to pamiętają. Obecnie oprogramowanie do wydobywania jest również wbudowane w instalator programu. Czasami podczas instalowania wirusa górniczego nie zobaczysz nawet komunikatu o jego instalacji. Miner zainstaluje się sam bez Twojej wiedzy i wymagań. Aby temu zapobiec, koniecznie korzystaj z programu antywirusowego, pobieraj programy wyłącznie z zaufanych źródeł i uważnie zaznaczaj wszystkie pola wyboru podczas instalowania dodatkowego oprogramowania lub korzystaj z programu Uncheky. I jak już wielokrotnie mówiłem, wszystkie pliki należy sprawdzić za pośrednictwem witryny virustotal.

Pobieranie pirackich gier

Któregoś dnia przywieźli nam komputer, komputer był przez nas serwisowany, właściciel skarżył się, że gra, która wcześniej generowała 100 FPS, zaczęła dawać 20-30 FPS, chociaż sprzęt komputerowy się nie zmienił, sterowniki też nie lub Windowsa. Osoba zainstalowała nowszą wersję gry pobierając ją z torrenta, tzw. repack. Zaczęliśmy sprawdzać i okazało się, że przy wystarczająco mocnym komputerze gra ładuje się w 100%. Załadowano cały procesor i kartę graficzną. Zaczęliśmy szukać przyczyny tego działania i okazało się, że wraz z grą osoba zainstalowała wirusa górniczego. Działało to wyjątkowo sprytnie, tylko w trakcie gry i bardzo trudno było zrozumieć, że górnik ładuje komputer, bo gra też obciąża. Najprawdopodobniej oszuści byli po prostu chciwi i ustawili górnika na zbyt wysoki procent obciążenia karty i procent. Gdyby ten odsetek był niższy, właściciel nie zauważyłby, że jego komputer został zainfekowany wirusem górniczym. Czy w Twoich grach zaczęły pojawiać się błędy, które wcześniej działały dobrze? Może to górnik! Możesz samodzielnie wyszukiwać takie przypadki w Internecie.

Wystarczy odwiedzić swoją ulubioną stronę internetową

Ta historia jest zabawna i wpłynęła na moją witrynę. Moja witryna ma kilku moderatorów, którzy monitorują witrynę i odpowiadają na komentarze. Dlatego jeden z moich moderatorów zainstalował na stronie kod, który rozpoczyna wydobywanie kryptowalut bezpośrednio w Twojej przeglądarce, bez Twojej wiedzy i zgody. Wystarczy otworzyć dowolną stronę witryny. Cały Twój procesor pracuje dla właściciela witryny. Oczywiście wszystko na mojej stronie zostało już poprawione, a moderator udał się w znane miejsce. Chcesz zobaczyć jak to działa? Stworzyłem osobny, na którym zostawiłem ten skrypt. Przy okazji, jeśli chcesz pomóc mojemu projektowi, możesz otworzyć tę stronę, a twój komputer będzie dla mnie pracował). I zauważyłem już taki skrypt eksplorujący na wielu stronach, na których można obejrzeć film lub serial, w ten sposób właściciele witryn zarabiają na swoich witrynach. Wiele osób instaluje bloki reklam i strony internetowe stają się nierentowne; jest to jedyny sposób na zarabianie pieniędzy na stronie internetowej.

Co stanie się z komputerem, jeśli zostanie zainfekowany górnikiem?

To proste, Twój komputer zawsze będzie pracował przy maksymalnym obciążeniu. Może to spowodować przegrzanie i awarię sprzętu; jeśli nie monitorujesz temperatury, zalecam monitorowanie temperatury komputera za pomocą programu. Ponadto przy stałej podwyższonej temperaturze części komputerowe będą miały krótszą żywotność. Przy stałym obciążeniu komputer będzie zużywał dużo prądu.

Jak pozbyć się wirusa górniczego?

To bardzo proste, mam dobry film, jak usunąć wszystkie wirusy z komputera, będzie Ci odpowiadać:

Usuń wszystkie wirusy ze swojego komputera

Po prostu wyczyść komputer i bądź ostrożny w przyszłości!

Cóż, co zrobić z witrynami, które mają skrypt górniczy? Musisz zainstalować w swojej przeglądarce wtyczkę, która wyłącza JS na stronach internetowych. Dla przeglądarek opartych na Chrome jest to wtyczka Tampermonkey, a dla przeglądarki Firefox jest to NoScript. Zainstaluj dodatek i wyłącz wykonywanie skryptów na niechcianych stronach.

Przedstawiam państwu mój film

Jeśli Twój komputer stale zwalnia i działa z maksymalną wydajnością, jest to powód, aby sprawdzić go pod kątem wirusów górniczych. Przyjrzyjmy się, jak wykryć ukrytego górnika na komputerze i go usunąć.

Co to jest i dlaczego jest niebezpieczne?

Ukryty górnik to program wirusowy, który wykorzystuje wydajność Twojego komputera do wydobywania kryptowalut. Zakażenie następuje poprzez:

• złośliwe wiadomości;
• pobrane pliki;
• wysyłka spamu.

Film wyjaśnia bardziej szczegółowo, czym jest górnictwo i jak działa.

Pierwsze wzmianki o ukrytym wydobyciu pojawiły się w 2011 roku, ale wtedy były to pojedyncze przypadki. Na początku 2018 roku problem ten zajmował jedno z czołowych miejsc w kanałach informacyjnych.

Kopacz trojański stanowi ogromne zagrożenie dla komputera:

1. Skraca żywotność sprzętu.
   Komputer działa przy maksymalnym obciążeniu przez długi czas, co negatywnie wpływa na maksymalną żywotność:
   • edytor;
   • karty wideo;
   • systemy chłodzenia.
2. Ogranicza wydajność.
   Używając zainfekowanego komputera do swoich zadań, użytkownik otrzymuje niewielką wydajność, ponieważ większość z nich trafia do ukrytego wydobywania.
3. Zapewnia dostęp do danych osobowych.
   Ponieważ górnik jest trojanem, uzyskuje dostęp do danych osobowych użytkownika. W ostatnim czasie coraz częstsze są przypadki kradzieży portfeli elektronicznych i haseł. Osoba atakująca nie tylko wykorzystuje wydajność Twojego komputera, ale także kradnie poufne dane.

Notatka! Najnowsza aktualizacja systemu Windows otrzymała ochronę przed wydobywaniem. Możesz zapoznać się z informacjami, klikając link „Windows 10 chroni Twój komputer przed ukrytym wydobywaniem”.

Jak wykryć i usunąć

Rada! Przeskanuj swój system programem antywirusowym, możesz natknąć się na zwykłego górnika, który nie ukrywa swojej obecności. W takim przypadku zostanie on wykryty i automatycznie usunięty przez oprogramowanie antywirusowe.

Zwykle wykrycie trojana jest dość trudne dla użytkownika, ponieważ twórcy oprogramowania wirusowego starali się jak najbardziej ukryć jego działanie. Nowi górnicy są w stanie ukryć swoją działalność:

• Wyłącz, gdy użytkownik pracuje z wymagającymi aplikacjami.
• Przebierz się za inne aplikacje w Menedżerze zadań.
• Pracuj tylko wtedy, gdy komputer jest bezczynny.

Twój komputer może zostać zainfekowany, nawet jeśli tego nie zauważysz. Wszystko zależy od pomysłowości hakerów. Postaramy się jak najdokładniej wyjaśnić, jak rozpoznać złośliwe oprogramowanie.

Ważny! Zachowaj ostrożność podczas usuwania dowolnego pliku, zwłaszcza jeśli nie jesteś pewien jego przeznaczenia. Wszystkie działania wykonujesz na własne ryzyko i ryzyko!

Przez Menedżera zadań

Poruszmy trochę kwestię eksploracji Internetu. Istnieją witryny, które za pomocą specjalnego skryptu uzyskują dostęp do wydajności Twojego komputera. Haker, omijając ochronę zasobu internetowego, przesyła tam swój złośliwy kod, który wydobywa kryptowaluty, gdy jesteś na stronie.

Bardzo łatwo jest zrozumieć, że go spotkałeś, ponieważ kiedy go odwiedzisz, Twój komputer zacznie zwalniać, a Menedżer zadań pokaże duże obciążenie sprzętu. Wystarczy po prostu opuścić miejsce, aby zatrzymać proces wydobycia.

Aby wykryć złośliwe oprogramowanie w systemie:

1. Przejdź do Menedżera zadań, przytrzymując jednocześnie „Ctrl + Shift + Esc”.
   
2. Obserwuj procesy przez 10 minut całkowitego braku aktywności (w tym ruchów myszy i naciśnięć klawiszy).
   

   Ważny! Niektóre wirusy zamykają lub blokują Menedżera zadań, aby ukryć swoją aktywność.
   Jeśli dyspozytor sam się zamknął lub jakiś program zaczął ładować system, oznacza to, że komputer jest zainfekowany koparką.

3. Jeżeli wirus nie zostanie wykryty, przejdź do zakładki „Szczegóły”.
   
4. Znajdź proces odbiegający od standardu (np. dziwne symbole) i zapisz jego nazwę.
5. 
   
6. „Edytuj” → „Znajdź”.
   
7. 
   

   Ważny! Jeśli nie masz pewności, czy plik da się usunąć, napisz do nas w komentarzach, postaramy się pomóc.

   
   
8. Przeskanuj system za pomocą programu antywirusowego (na przykład użyliśmy standardowego programu antywirusowego, który znajduje się w „Start” → „Ustawienia” → „Aktualizacja i zabezpieczenia” → „Windows Defender”).
9. Uruchom ponownie komputer.

Za pomocą Menedżera zadań AnVir

Wielofunkcyjny menedżer procesów AnVir pomoże Ci wykryć ukrytego wirusa.

1. Pobierz i zainstaluj narzędzie.
2. Uruchom go i przejrzyj działające procesy.
   
3. Jeśli coś podejrzewasz, najedź kursorem na aplikację, aby wyświetlić informacje na jej temat.
   
   

   Notatka! Niektóre trojany podszywają się pod aplikacje systemowe, ale nie mogą fałszować szczegółów.

4. Następnie RMB → „Informacje szczegółowe” → „Wydajność”.
   
   
5. Wybierając „1 dzień”, wyświetl obciążenie komputera w tym czasie.
   
   
6. Jeśli proces mocno obciąża system, najedź na niego kursorem → zapisz nazwę i ścieżkę.
   
   
7. Kliknij proces prawym przyciskiem myszy → „Zakończ proces”.
   
8. W wyszukiwarce Windows wpisz „regedit” → przejdź do rejestru.
   
9. „Edytuj” → „Znajdź”.
   
10. Wprowadź nazwę pliku → usuń wszystkie dopasowania.
    
11. Jeżeli zostaną wykryte zagrożenia, potwierdź ich usunięcie.
12. Uruchom ponownie komputer.

Ukryte koparki kryptowalut nie są tematem nowym, chociaż prawie nie ma przyzwoitych instrukcji technicznych dotyczących ich wykrywania i eliminowania. Jest tylko masa rozproszonych informacji i artykułów o wątpliwej treści. Dlaczego? Bo na wydobywaniu kryptowalut w skali globalnej czerpią korzyści wszyscy, z wyjątkiem oczywiście tych, którzy nie zarabiają na tym ani grosza i nawet nie podejrzewają, że stali się jego częścią. I rzeczywiście, zasada ukrytego wydobywania może stać się czymś więcej niż tylko wrzucaniem monet do cudzej kieszeni.

Koncepcja ukrytego wydobycia

Mówimy tu nie o wydobywaniu, które na razie jest ukryte przed mieszkalnictwem i usługami komunalnymi, ale o ukrytym wydobywaniu monet na zwykłym komputerze, mimo że sam właściciel komputera nie ma o tym pojęcia . Innymi słowy, do wydobywania kryptowaluty można używać nie tylko własnego komputera, ale także maszyn wielu innych osób.

I nie jest konieczne, aby obciążenie karty graficznej lub procesora wzrastało do 100% - ci mądrzy faceci są ostrożni i nie obciążają komputera członka swojej sieci do nieuzasadnionych limitów. W zasadzie możesz nie zauważyć dużej różnicy, jeśli masz dość potężną technikę. Jest to ważny warunek utrzymania ukrytej pracy górnika.

Po raz pierwszy oficjalne doniesienia o zjawisku ukrytego wydobywania zaczęły pojawiać się w 2011 roku, a w 2013 roku doszło już do masowej infekcji komputerów PC w różnych krajach za pośrednictwem Skype'a. Co więcej, trojany nie tylko wydobywały, ale także uzyskiwały dostęp do portfeli Bitcoin.

Najbardziej znanym przypadkiem jest próba zarobienia przez twórców μTorrenta dodatkowych pieniędzy od użytkowników poprzez wprowadzenie do oprogramowania ukrytego górnika EpicScale.

Kopacz wirusów (miner, Bitcoin miner) to złośliwe oprogramowanie, którego głównym celem jest wydobywanie - zarabianie kryptowaluty przy użyciu zasobów komputera ofiary. W idealnym przypadku takie oprogramowanie powinno działać możliwie najtajniej, mieć wysoką przeżywalność i niskie prawdopodobieństwo wykrycia przez programy antywirusowe. „Wysokiej jakości” eksplorator wirusów jest ledwo zauważalny, prawie nie zakłóca pracy użytkownika i jest trudny do wykrycia przez oprogramowanie antywirusowe. Główną zewnętrzną manifestacją infekcji wirusowej jest zwiększone zużycie zasobów komputera, a co za tym idzie dodatkowe ogrzewanie i zwiększony hałas wentylatorów układu chłodzenia. W przypadku wirusa górniczego „niskiej jakości”, oprócz wymienionych objawów, następuje spadek ogólnej wydajności komputera, krótkotrwałe zawieszanie się, a nawet niemożność działania niektórych programów.

Co to jest górnictwo?

Słowo „górnictwo” pochodzi od angielskiego „mining”, co oznacza „eksploatacja minerałów”. Wydobywanie to nic innego jak proces tworzenia nowych jednostek kryptowaluty (kryptowalut) przy użyciu specjalnego algorytmu. Obecnie istnieje około tysiąca odmian kryptowalut, chociaż wszystkie korzystają z algorytmów i protokołów najsłynniejszego początkującego - Bitcoina .

Proces wydobywania jest rozwiązaniem złożonych problemów wymagających dużej ilości zasobów w celu uzyskania unikalnego zestawu danych potwierdzających autentyczność transakcji płatniczych. Szybkość wyszukiwania i liczba jednostek kryptowaluty otrzymywanych w ramach nagród są różne w różnych systemach walutowych, ale w każdym przypadku wymagają znacznych zasobów obliczeniowych. Moc sprzętu wydobywczego jest zwykle mierzona w megahaszach (MHash) i gigahashach (GHash). Ponieważ złożoność wydobywania najdroższych kryptowalut od dawna jest nieosiągalna na jednym komputerze, jest to wyjątkowe farmy, które są potężnymi systemami obliczeniowymi na poziomie przemysłowym i totalizator piłkarski mining – sieci komputerowe, w których proces wydobycia jest rozdzielony pomiędzy wszystkich uczestników sieci. Wydobywanie we wspólnej puli to jedyny sposób, w jaki zwykły użytkownik może uczestniczyć w otrzymaniu choćby niewielkiego zysku z procesu tworzenia kryptowalut. Pule oferują różne modele dystrybucji zysków, w tym moc sprzętu klienta. Cóż, jest całkiem jasne, że wrzucając do basenu dziesiątki, setki, a nawet tysiące komputerów zainfekowanych koparką, atakujący uzyskują określony zysk z eksploatacji sprzętu komputerowego innych osób.

Wirusy wydobywające mają na celu długotrwałe korzystanie z komputera ofiary i po zainfekowaniu zwykle instalują oprogramowanie pomocnicze, które przywraca główny program wydobywający, jeśli zostanie uszkodzony, usunięty przez program antywirusowy lub z jakiegoś powodu ulegnie awarii. Oczywiście główny program jest skonfigurowany w taki sposób, że wyniki eksploracji są powiązane z kontami atakujących w wykorzystywanej puli. Główny program wykorzystuje legalne oprogramowanie do wydobywania kryptowalut, które jest pobierane z oficjalnych witryn kryptowalut lub specjalnych zasobów puli i w rzeczywistości nie jest złośliwym oprogramowaniem (wirus, oprogramowanie wirusowe - oprogramowanie). Możesz samodzielnie pobrać i zainstalować to samo oprogramowanie na swoim komputerze, nie wzbudzając żadnych szczególnych podejrzeń co do programu antywirusowego używanego w Twoim systemie. I nie świadczy to o niskiej jakości oprogramowania antywirusowego, a wręcz przeciwnie - o braku fałszywych alarmów, bo cała różnica pomiędzy eksploracją użyteczną dla użytkownika a eksploracją przydatną dla atakującego polega na tym, kto będzie posiadać jego wyniki, tj. z konta w puli.

Jak już wspomniano, główną oznaką zainfekowania systemu przez górnika jest intensywne wykorzystanie zasobów przez jakiś program, któremu towarzyszy wzrost poziomu hałasu jednostki systemowej, a także temperatury komponentów. Co więcej, w środowisku wielozadaniowym wirus z reguły działa z najniższym priorytetem, wykorzystując zasoby systemowe tylko wtedy, gdy komputer jest bezczynny. Obraz wygląda tak: komputer nie jest zajęty niczym, jest bezczynny, a temperatura podzespołów i hałas emitowany przez wentylację przypominają tryb gry w jakiejś bardzo wymagającej strzelance komputerowej. Jednak w praktyce zdarzały się przypadki, gdy priorytet programów wydobywczych został ustawiony na wartość standardową, co doprowadziło do gwałtownego spadku wydajności użytecznej. Komputer zaczął strasznie „zwalniać” i korzystanie z niego było prawie niemożliwe.

Usuwanie górnika za pomocą przywracania do punktu przywracania

Najłatwiejszym sposobem pozbycia się niechcianego oprogramowania jest przywrócenie systemu Windows do poprzedniego stanu za pomocą punktów przywracania, często nazywane przywracaniem systemu. Wymaga to utworzenia punktu przywracania w momencie, gdy infekcja jeszcze nie wystąpiła. Aby uruchomić narzędzie do odzyskiwania, możesz użyć kombinacji klawiszy Win+r i wpisać polecenie rstrui.exe w otwartym polu wprowadzania. Lub skorzystaj z menu głównego – „Programy – Akcesoria – Narzędzia systemowe – Przywracanie systemu”. Następnie wybierz żądany punkt przywracania i wróć do niego. W większości przypadków po pomyślnym wycofaniu można pozbyć się wirusa bez większego wysiłku. Jeśli nie ma odpowiedniego punktu odzyskiwania lub wycofanie nie zneutralizowało wirusa, będziesz musiał poszukać bardziej złożonych sposobów rozwiązania tego problemu. Można w tym przypadku skorzystać ze standardowych narzędzi systemu operacyjnego lub specjalistycznych programów, które pozwalają wyszukiwać i kończyć procesy, uzyskiwać informacje o ich właściwościach, przeglądać i modyfikować punkty uruchamiania programu, sprawdzać podpisy cyfrowe wydawców itp. Taka praca wymaga pewnych kwalifikacji użytkownika i umiejętności korzystania z wiersza poleceń, edytora rejestru i innych narzędzi narzędziowych. Używanie kilku skanerów antywirusowych różnych producentów, programów do czyszczenia systemu i usuwania niechcianego oprogramowania może nie dać pozytywnego rezultatu, a w przypadku górnika zwykle tak się nie dzieje.

Znajdowanie i usuwanie górnika za pomocą narzędzi z pakietu Sysinternals

Trudność w identyfikacji programów używanych do eksploracji polega na tym, że większość programów antywirusowych nie wykrywa ich, ponieważ w rzeczywistości nie są wirusami. Istnieje możliwość, że program antywirusowy może uniemożliwić proces instalacji koparki, ponieważ wykorzystuje nietypowe narzędzia programowe, ale jeśli tak się nie stanie, najprawdopodobniej będziesz musiał wyszukać i usunąć złośliwe oprogramowanie (z punktu widzenia właściciel zainfekowanego komputera) program ręcznie. Dla Państwa informacji w czerwcu 2017 r średni poziom wykrywalności złośliwości takiego oprogramowania, na przykład przy użyciu dobrze znanego zasobu Virustotal wyniósł 15-20/62 - tj. z 62 programów antywirusowych tylko 15–20 uznało go za szkodliwy program. Co więcej, do tej grupy nie zaliczają się najpopularniejsze i wysokiej jakości programy antywirusowe. W przypadku wirusów dobrze znanych lub odkrytych stosunkowo niedawno poziom wykrywania złośliwego oprogramowania może być wyższy ze względu na sygnatury w antywirusowych bazach danych i dodatkowe środki podjęte przez twórców programów antywirusowych. Ale to wszystko nie zawsze pozwala pozbyć się wirusa górniczego bez dodatkowych wysiłków, które trzeba będzie podjąć, aby rozwiązać problem.

Poniżej znajduje się praktyczny przypadek zainfekowania systemu szkodliwym oprogramowaniem wydobywającym. Do infekcji doszło poprzez użycie zmodyfikowanych programów do gier pobranych z jednego z niezaufanych trackerów torrentów. Chociaż metoda infekcji może być inna, jak w przypadku każdego innego szkodliwego oprogramowania – korzystanie z linków do niezweryfikowanych zasobów, otwieranie załączników do wiadomości e-mail itp.

Zestaw złośliwego oprogramowania wydobywającego na korzyść atakujących realizuje następujące funkcje:

Zapewnienie automatycznego uruchomienia. Jeden lub więcej programów modyfikuje klucze rejestru, aby automatycznie uruchamiały się w przypadku nieoczekiwanego zamknięcia, ponownego uruchomienia lub awarii zasilania. Okresowo (mniej więcej raz na minutę) klucze rejestru są przeglądane i w przypadku ich naruszenia (usunięcia, zmiany) są przywracane.

Automatyczne uruchomienie programu wydobywczego. Program uruchamia się również automatycznie, a jego parametry automatycznego uruchamiania są monitorowane i przywracane przez jeden lub więcej programów pomocniczych.

Podczas gdy w pamięci komputera działają procesy zapewniające automatyczne uruchomienie, nie ma sensu usuwać plików wykonywalnych i wpisów rejestru - i tak zostaną przywrócone. Dlatego na pierwszym etapie konieczne jest zidentyfikowanie i wymuszenie zakończenia wszystkich procesów zapewniających automatyczne ponowne uruchomienie szkodliwych programów.

Aby znaleźć i wyeliminować wirusa górniczego w nowoczesnych systemach operacyjnych, możesz skorzystać ze standardowych narzędzi lub np. bardziej funkcjonalnego oprogramowania z pakietu Pakiet Sysinternals od Microsoftu

- Eksplorator procesów– umożliwia przeglądanie szczegółowych informacji o procesach, wątkach, zużyciu zasobów itp. Możesz zmienić priorytety, zawiesić (wznowić) pracę niezbędnych procesów, zabić procesy lub drzewa procesów. Narzędzie jest wygodne w użyciu do analizowania właściwości procesów i wyszukiwania złośliwego oprogramowania.

- Autoruns– wygodny sposób kontrolowania automatycznego uruchamiania programów. Kontroluje prawie wszystkie automatyczne punkty uruchamiania, od folderów startowych po zadania harmonogramu. Umożliwia szybkie wykrywanie i izolowanie programów, których nie chcesz uruchamiać.

Możesz także używać tego narzędzia jako oprogramowania pomocniczego Monitor procesu, który w trudnych przypadkach pozwala monitorować aktywność określonych programów za pomocą filtrów (dostęp do rejestru, systemu plików, sieci itp.) Oprócz narzędzia SearhMyfiles firmy Nirsoft, które jest wygodne do wyszukiwania plików i folderów, główny którego funkcją jest możliwość wyszukiwania plików i folderów przy użyciu znaczników czasu systemu plików NTFS (Time Stempel). Jako kryteria wyszukiwania możesz określić zakresy czasu tworzenia, modyfikacji i dostępu do plików i folderów (Utworzone, Zmodyfikowane, Dostęp). Jeśli znasz przybliżony czas infekcji lub naruszenia bezpieczeństwa, możesz zebrać pełną listę plików, które zostały utworzone lub zmodyfikowane w danym okresie.

Ale powtarzam, aby znaleźć i usunąć górników, z reguły wystarczy użyć standardowych narzędzi systemu Windows - menedżera zadań i edytora rejestru. Po prostu wymienione powyżej oprogramowanie jest łatwiejsze w użyciu i wygodniejsze w wyszukiwaniu złośliwego oprogramowania.

Informacje o wykorzystaniu zasobów systemowych wyświetlane przez Process Explorer:

Kolumna procesor Wyświetla stopień wykorzystania procesora przez różne procesy. Proces bezczynności systemu- to nie jest proces, ale wskazanie przez program stanu spoczynku (bezczynności). W rezultacie widzimy, że procesor znajduje się w trybie bezczynności przez 49,23% czasu, niektóre procesy zużywają setne części jego zasobów, a głównym konsumentem procesora jest proces system.exe- 49,90%. Nawet przy powierzchownej analizie właściwości procesu system.exe istnieją zauważalne fakty, które budzą uzasadnione podejrzenia:

Dziwny opis (Opis) – Centrum Microsoftu

Dziwna nazwa firmy – www.microsoft.com W opisie innych procesów, które są faktycznie powiązane z firmą Microsoft, znajduje się ten wiersz Korporacja Microsoft

Bardziej szczegółowej analizy dokonujemy poprzez menu kontekstowe, wywoływane prawym przyciskiem myszy - pozycja Właściwości:

Ścieżka wykonywalna ProgramDane\System32\system.exe jest również wyraźnie podejrzane i przechodzi do folderu z plikiem wykonywalnym po kliknięciu odpowiedniego przycisku Badać pokazało, że zarówno sam folder, jak i plik wykonywalny mają atrybuty „Ukryte”. No i parametry wiersza poleceń:

-o warstwa+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [e-mail chroniony]*-p x -t 2 –k wyraźnie wskazują, że proces system.exe jest programem eksplorującym (do korzystania z basenów Pool.minergate.com).

Pole Lokalizacja autostartu zawiera wartość nie dotyczy, co oznacza, że ​​proces ten nie ma automatycznych punktów startu. Proces nadrzędny dla system.exe ma PID=4928 i obecnie nie istnieje ( Nieistniejący proces), co najprawdopodobniej wskazuje, że proces został uruchomiony przy użyciu pliku wsadowego lub programu, który zakończył pracę po uruchomieniu. Przycisk Zweryfikować ma na celu wymuszenie sprawdzenia obecności procesu nadrzędnego.

Przycisk Zamknij proces pozwala zakończyć bieżący proces. Tę samą czynność można wykonać, korzystając z menu kontekstowego wyświetlanego prawym przyciskiem myszy dla wybranego procesu.

Patka TCP/IP pozwala uzyskać listę połączeń sieciowych procesu system.exe:

Jak widać, proces system.exe ma nawiązane połączenie między komputerem lokalnym a serwerem zdalnym static.194.9.130.94.clients.your-server.de:45560.

W tym rzeczywistym przypadku proces system.exe miał minimalny priorytet i prawie nie miał wpływu na działanie innych procesów, które nie wymagały zwiększonego zużycia zasobów. Aby jednak ocenić wpływ na zachowanie zainfekowanego systemu, można ustawić priorytet koparki równy priorytetowi legalnych programów i ocenić stopień pogorszenia użytecznej wydajności komputera.

Jeśli na siłę zakończysz proces systemowy exe, po kilku sekundach uruchomi się on ponownie. Dlatego ponowne uruchomienie jest zapewniane przez inny program lub usługę. Kontynuując przeglądanie listy procesów, podejrzany jest przede wszystkim proces Security.exe.

Jak widać, aby uruchomić program Bezpieczeństwo.exe wykorzystywany jest punkt automatycznego uruchamiania ze standardowego menu programów użytkownika oraz plik wykonywalny Bezpieczeństwo.exe znajduje się w tym samym ukrytym folderze C:\ProgramDane\System32

Następnym krokiem jest wymuszenie rezygnacji Bezpieczeństwo.exe, i wtedy - system.exe. Jeśli po tym procesie system.exe nie będzie już uruchamiany, możesz rozpocząć usuwanie złośliwych plików i ustawień systemowych związanych z funkcjonowaniem złośliwego oprogramowania. Jeśli proces system.exe zostanie ponownie uruchomiony, należy kontynuować poszukiwania programów pomocniczych zapewniających jego uruchomienie. W ostateczności możesz sekwencyjnie zakończyć wszystkie procesy, pojedynczo, kończąc za każdym razem plik system.exe, aż do momentu, gdy przestanie się uruchamiać ponownie.

Aby znaleźć i wyłączyć punkty automatycznego uruchamiania, wygodnie jest skorzystać z narzędzia Autoruns z pakietu Sysinternals:

W przeciwieństwie do standardowego narzędzia msconfig.exe, narzędzie Autoruns wyświetla prawie wszystkie możliwe opcje automatycznego uruchamiania programów istniejących w danym systemie. Domyślnie wyświetlane jest wszystko (zakładka Wszystko), ale w razie potrzeby można filtrować poszczególne rekordy według typu przechodząc do zakładek u góry okna (Znane biblioteki DLL, Winlogon,… Appinit).

Szukając wpisów umożliwiających automatyczne uruchamianie szkodliwych programów, pierwszą rzeczą, na którą należy zwrócić uwagę, jest brak podpisu cyfrowego programisty w kolumnie Wydawca. Prawie wszystkie współczesne legalne programy są podpisane cyfrowo, z nielicznymi wyjątkami, które z reguły obejmują oprogramowanie lub sterowniki/usługi innych firm firmy Microsoft. Drugą niepokojącą zasadą jest brak opisu w kolumnie Opis. W tym konkretnym przypadku podejrzany jest wpis otwierający skrót Security.lnk w folderze startowym użytkownika:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Skrót odnosi się do pliku c:\programdata\system32\security.exe

Znacznik czasu podaje datę i godzinę infekcji systemu - 23.06.2017 19:04

Każdy z wpisów wyświetlanych przez narzędzie Autoruns można usunąć lub wyłączyć, z możliwością dalszego przywrócenia. Aby usunąć, użyj menu kontekstowego lub klawisza Del. Aby wyłączyć, odznacz wybrany wpis.

Ukryty folder c:\programdata\system32\ można usunąć wraz z całą jego zawartością. Następnie uruchom ponownie komputer i sprawdź, czy nie ma złośliwych procesów.

Fakt, że firma antywirusowa ESET odnotowała wzrost częstości występowania kopaczy opartych na przeglądarce, wydobywających kryptowalutę bez wiedzy użytkownika. Co więcej, według danych za grudzień ubiegłego roku znalazł się na pierwszym miejscu rankingu białoruskich zagrożeń cybernetycznych. W naszym materiale podpowiemy Ci, jak rozpoznać, że ktoś używa Twojego komputera do celów osobistych i pozbyć się ukrytego wydobycia.

Przeglądarka lub komputer

Przypomnijmy, że kopanie to proces wydobywania kryptowaluty za pomocą skomplikowanych obliczeń, które odbywają się na komputerze. W tej chwili istnieją dwie główne metody „złośliwego wydobywania”.

W pierwszym przypadku program górniczy jest ukrytą instalacją na twoim komputerze i zaczyna stale korzystać z jego mocy - procesora i karty graficznej. W drugim przypadku, przed czym ostrzega ESET, eksploracja ma miejsce tylko wtedy, gdy odwiedzasz zainfekowaną witrynę („wydobywanie przez przeglądarkę”).

Oczywiście dla atakujących zdecydowanie preferowana jest pierwsza metoda, choć bardziej skomplikowana - w końcu komputer trzeba najpierw w jakiś sposób zainfekować. Drugie jest prostsze, a napastnicy „uzyskują” wymaganą moc ze względu na dużą liczbę użytkowników odwiedzających witrynę.

Główny objaw

Pierwszym (i głównym) objawem, dzięki któremu można podejrzewać eksplorację, jest to, że komputer zaczyna stale „zwalniać” w nieszkodliwych sytuacjach. Na przykład, gdy lodówka cały czas pracuje głośno, laptop nagrzewa się lub zawiesza, podczas gdy uruchomiona jest tylko przeglądarka z trzema kartami.

Oczywiste jest, że takie objawy są charakterystyczne nie tylko dla górnictwa - w tym momencie możesz po prostu mieć uruchomiony „ciężki” proces w tle (na przykład aktualizacja oprogramowania). Ale jeśli komputer stale działa w tak obciążonym trybie, jest to poważny powód do podejrzeń.

Niestety, nie należy tutaj polegać wyłącznie na oprogramowaniu antywirusowym. Oto, co na przykład Kaspersky Lab pisze o takich programach:

Koparki nie są złośliwymi programami. Dlatego zaliczają się one do zidentyfikowanej przez nas kategorii Riskware – oprogramowania, które samo w sobie jest legalne, ale może zostać wykorzystane do szkodliwych celów. Domyślnie Kaspersky Internet Security nie blokuje ani nie usuwa takich programów, ponieważ użytkownik mógł je zainstalować świadomie.

Program antywirusowy może nie działać w przypadku eksploracji ukrytej przeglądarki.

Jak wykryć górnika?

Najłatwiejszym sposobem zidentyfikowania szkodliwego procesu „pożerającego” wszystkie zasoby Twojego komputera jest uruchomienie wbudowanego w system menedżera zadań (w systemie Windows wywołuje się go skrótem klawiaturowym Ctrl+Shift+Esc) .

Menedżer zadań w systemie Windows

Jeśli widzisz, że jakiś niezrozumiały proces bardzo mocno obciąża procesor - o kilkadziesiąt procent - (kolumna CPU na obrazku powyżej), a nie uruchomiłeś „ciężkiej” gry lub nie edytujesz wideo, może to się odwrócić wyruszyć na wydobycie.

Nawiasem mówiąc, popularna wśród Białorusinów przeglądarka Chrome ma również własnego menedżera zadań - aby go uruchomić, należy kliknąć prawym przyciskiem myszy obszar wolny od zakładek nad paskiem adresu i wybrać odpowiedni element. Następnie zobaczysz, która karta powoduje uruchomienie komputera.

Niestety menedżer zadań nie zawsze jest przydatny. Współcześni górnicy wiedzą, jak na przykład wstrzymać rozpoczynającą się pracę lub „ukryć” ją w standardowych procesach, takich jak svchost. exe, chrom. exe lub steam.exe.

W takim przypadku możesz skorzystać z dodatkowego, bardziej zaawansowanego oprogramowania - na przykład programu AnVir Task Manager.

Z jego pomocą znacznie łatwiej jest zidentyfikować podejrzane procesy. Wszystkie niezdefiniowane linie są podświetlone na czerwono i możesz uzyskać maksimum informacji o każdym procesie (w tym ukrytym!), ale najważniejsze jest to, że każdy uruchomiony proces można sprawdzić na stronie VirusTotal.

I co z tym zrobić?

Najprostszym sposobem jest wydobycie podczas otwierania zainfekowanej witryny. W takim przypadku wystarczy zamknąć tę kartę przeglądarki.

Gorzej, jeśli program wydobywający dostanie się na twój komputer. W takim przypadku możesz najpierw spróbować zamknąć złośliwy proces w menedżerze zadań i usunąć go z uruchamiania, jednak z reguły nie wszystko jest takie proste.

Górnicy mogą mieć niestandardowe metody uruchamiania, rzObecność dwóch procesów, które wzajemnie się restartują, jeśli próbują je zakończyć. Ponadto można go zainicjować.

Tutaj na ratunek powinny przyjść programy antywirusowe. Jeśli z jakiegoś powodu program antywirusowy nie „łapie” górnika w trybie standardowym, możesz spróbować nagrać przenośny darmowy skaner na dysku flash, na przykład Web CureIt! lub Kaspersky Virus Removal Tool i uruchom komputer w trybie awaryjnym.

Aby go uruchomić (w systemie Windows, z wyjątkiem „dziesięciu”), podczas uruchamiania należy kilkakrotnie nacisnąć klawisz F8 i wybrać żądaną opcję. W systemie Windows 10 nie można tego zrobić podczas ponownego uruchamiania. Dlatego musisz otworzyć okno „Uruchom” (kombinacja klawiszy Win + R), wprowadzić tam polecenie msconfig, następnie wybrać sekcję „Konfiguracja systemu”, „Rozruch” i ustawić tryb awaryjny, a następnie ponownie uruchomić komputer.

Po uruchomieniu w trybie awaryjnym należy uruchomić skaner antywirusowy z dysku flash.

Jak pisaliśmy powyżej, programy antywirusowe nie zawsze uważają programy wydobywające za złośliwe oprogramowanie - w końcu możesz kopać dla siebie.

Ale na przykład Kaspersky Anti-Virus klasyfikuje je w kategorii Riskware (oprogramowanie stwarzające ryzyko). Aby wykryć i usunąć obiekt z tej kategorii, należy przejść do ustawień rozwiązania zabezpieczającego, znaleźć tam sekcję „Zagrożenia i wykrywanie” i zaznaczyć pole „Inne programy”. ESET oferuje podobne rozwiązanie - aby identyfikować górników (także na odwiedzanych stronach), należy włączyć w ustawieniach wykrywanie potencjalnie niechcianych aplikacji.

Jeśli po tych manipulacjach wydobywanie będzie kontynuowane, możesz wypróbować bardziej radykalną metodę - ponowną instalację systemu operacyjnego.

Jak się chronić?

Jeśli mówimy o eksploracji opartej na przeglądarce, to oprócz rozwiązań antywirusowych, które wykrywają złośliwy JavaScript na stronach, pojawiły się już rozszerzenia przeglądarki, które pozwalają wykryć górników - na przykład No Coin lub Mining Blocker.

Jeśli nie chcesz, aby program górniczy przedostał się na Twój komputer, regularnie instaluj aktualizacje oferowane przez system operacyjny i pamiętaj o korzystaniu z programów antywirusowych z włączonym monitorowaniem.

W tym miejscu należy pamiętać, że programy antywirusowe mogą nie wykryć programu wydobywającego, ale prawie na pewno wykryją program dropper, którego głównym celem jest potajemna instalacja koparki. Oprócz programu antywirusowego możesz dodać kilka starych, ale wciąż skutecznych porad - nie klikaj podejrzanych linków w Internecie i nie otwieraj wiadomości spamowych otrzymanych w poczcie.

Pamiętaj też, że przy instalacji legalnego oprogramowania prawdopodobieństwo zdobycia dodatkowo górnika jest znikome. Natomiast podczas pobierania zhakowanych programów lub „łamań oprogramowania” ryzyko to znacznie wzrasta.

A co ze smartfonami?

Smartfon to także komputer, więc schematy atakujących są podobne. Na przykład pod koniec ubiegłego roku eksperci ds. bezpieczeństwa odkryli w Google Play złośliwe oprogramowanie, które wykorzystywało gadżety mobilne do wydobywania kryptowalut bez wiedzy właściciela.