Abrir
Fechar

Como detectar e remover um mineiro oculto - instruções passo a passo em imagens. Detalhes sobre mineração oculta, sua detecção e remoção Como criar um minerador de bitcoin oculto

10.03.2024 -
Processadores e memória

Olá a todos. Hoje falarei sobre mineradores de vírus. O que é isso? Onde você pode pegá-los? O que acontecerá ao computador se estiver infectado por um mineiro? Como se livrar do vírus mineiro?

O que é um vírus mineiro?

Este é um vírus que usa os recursos de computação do seu computador para ganhar criptomoedas. Ou seja, o golpista, utilizando os recursos do seu computador e da sua energia elétrica, ganha dinheiro de verdade! Muitos computadores estão agora infectados com este vírus, a maioria dos computadores que são trazidos ao nosso serviço também estão infectados com o vírus mineiro e os utilizadores nem sequer sabem que estão infectados. Existem centenas de milhares ou até milhões desses computadores, imagine quanto ganha o dono desse vírus. A propósito, em um dos meus vídeos mostrei como você pode ganhar dinheiro sozinho - extraindo criptomoedas no seu PC.

Mineração em um computador doméstico


É muito fácil pegar um vírus mineiro agora, e é aqui que você pode pegá-lo:

Baixando programas de recursos duvidosos

Anteriormente, os chamados softwares adicionais eram incorporados aos programas, para que todo tipo de porcaria não fosse instalada no computador, era necessário realizar a instalação com cuidado e desmarcar todas as caixas que, sem a sua permissão, poderiam instalar programas adicionais, muitas vezes maliciosos software no computador, acho que todo mundo se lembra disso. Hoje em dia, o software de mineração também está integrado ao instalador do programa. Às vezes, ao instalar um vírus mineiro, você nem verá uma mensagem sobre sua instalação. O minerador se instalará sem o seu conhecimento ou demanda. Para evitar que isso aconteça, use um antivírus, baixe programas apenas de fontes confiáveis ​​​​e siga cuidadosamente todas as caixas de seleção ao instalar software adicional ou usar o programa Uncheky. E como já disse várias vezes, todos os arquivos devem ser verificados no site do Virustotal.

Baixando jogos piratas

Outro dia nos trouxeram um computador, o computador foi atendido por nós, o dono reclamou que o jogo, que antes produzia 100 FPS, passou a produzir 20-30 FPS, embora o hardware do computador não tenha mudado, nem os drivers ou Windows. Uma pessoa instalou uma versão mais recente do jogo baixando-o de um torrent, o chamado repack. Começamos a verificar e descobrimos que com um computador suficientemente potente o jogo carregava 100%. Todo o processador e placa de vídeo foram carregados. Começamos a procurar o motivo dessa atividade e descobrimos que junto com o jogo a pessoa instalou um vírus mineiro. Funcionou de forma extremamente astuta, apenas durante o jogo e foi muito difícil entender que o mineiro estava carregando o PC, pois o jogo também carrega. Muito provavelmente, os golpistas foram simplesmente gananciosos e definiram as configurações do minerador para uma porcentagem muito alta da carga do cartão e da porcentagem. Se esta percentagem fosse menor, o proprietário não teria notado que o seu computador estava infectado com um vírus mineiro. Seus jogos começaram a apresentar falhas que costumavam funcionar bem? Talvez seja um mineiro! E você mesmo pode procurar esses casos na Internet.

Apenas visitando seu site favorito

A história é engraçada e como tocou meu site. Meu site possui vários moderadores que monitoram o site e respondem aos comentários. Então, um dos meus moderadores instalou um código no site que inicia a mineração de criptomoedas diretamente pelo seu navegador, sem o seu conhecimento ou permissão. Você só precisa abrir qualquer página do site. Todo o seu processador funciona para o proprietário do site. Claro que tudo no meu site já foi corrigido e o moderador foi para um local conhecido. Quer ver como funciona? Criei um separado no qual deixei este script. A propósito, se quiser ajudar meu projeto, você pode abrir esta página e seu computador funcionará para mim). E já notei esse script de mineração em muitos sites onde você pode assistir a um filme ou série, é assim que os proprietários de sites monetizam seus sites. Muitas pessoas instalam adblocks e sites não são lucrativos; esta é a única maneira de ganhar dinheiro em um site.

O que acontecerá ao computador se estiver infectado por um mineiro?

É simples, seu computador funcionará sempre com carga máxima. Isso pode causar superaquecimento e falha do equipamento; caso você não monitore a temperatura, recomendo monitorar a temperatura do computador através do programa. Além disso, a uma temperatura elevada constante, as peças do computador terão uma vida útil reduzida. Sob carga constante, o computador consumirá muita eletricidade.

Como se livrar do vírus mineiro?

É muito simples, tenho um bom vídeo sobre como remover todos os vírus do seu computador, vai servir para você:

Remova todos os vírus do seu computador


Basta limpar seu computador e ficar atento no futuro!

Bem, o que fazer com sites que possuem um script de minerador? Você precisa instalar um plugin em seu navegador que desative JS em sites. Para navegadores baseados no Chrome, este plugin é Tampermonkey, e para Firefox é NoScript. Instale o complemento e desative a execução de scripts em sites indesejados.

Apresento a sua atenção meu vídeo

Se o seu computador estiver constantemente lento e funcionando na capacidade máxima, esse é um motivo para verificar a presença de vírus mineradores. Vejamos como detectar um mineiro oculto em um computador e removê-lo.

O que é e por que é perigoso?

Um minerador oculto é um programa antivírus que usa o desempenho do seu PC para extrair criptomoedas. A infecção ocorre através de:

  • mensagens maliciosas;
  • arquivos baixados;
  • correspondência de spam.

O vídeo explica com mais detalhes o que é mineração e como funciona.

As primeiras menções à mineração oculta surgiram em 2011, mas foram casos isolados. No início de 2018, esse problema ocupava uma das posições de liderança nos feeds de notícias.

O mineiro Trojan representa um grande perigo para o PC:

  1. Reduz a vida útil do hardware.
    O PC funciona com carga máxima por muito tempo, o que afeta negativamente a vida útil máxima:
    • processador;
    • placas de vídeo;
    • sistemas de refrigeração.
  2. Limita o desempenho.
    Ao usar um computador infectado para suas tarefas, o usuário obtém um desempenho escasso, porque a maior parte dele vai para a mineração oculta.
  3. Fornece acesso a dados pessoais.
    Como o mineiro é um Trojan, ele obtém acesso às informações pessoais do usuário. Recentemente, os casos de roubo de carteiras eletrônicas e senhas tornaram-se mais frequentes. O invasor não apenas usa o desempenho do seu PC, mas também rouba dados confidenciais.

Observação! A última atualização do Windows recebeu proteção contra mineração. Você pode conhecer as informações clicando no link “O Windows 10 protege seu PC contra mineração oculta”.

Como detectar e remover

Conselho! Faça uma varredura em seu sistema com um antivírus, você pode encontrar um minerador comum que não esconde sua presença. Neste caso, será detectado e removido automaticamente pelo software antivírus.

Geralmente é muito difícil para um usuário detectar um Trojan, porque os desenvolvedores do software antivírus tentaram ocultar sua operação tanto quanto possível. Novos mineradores conseguem disfarçar suas atividades:

  • Desative enquanto o usuário estiver trabalhando com aplicativos exigentes.
  • Disfarce-se de outros aplicativos no Gerenciador de Tarefas.
  • Trabalhe apenas quando o PC estiver ocioso.

Seu computador pode estar infectado sem você perceber. Tudo depende da engenhosidade dos hackers. Tentaremos explicar com o máximo de detalhes possível como identificar malware.

Importante! Tenha cuidado ao excluir qualquer arquivo, principalmente se não tiver certeza de sua finalidade. Você faz todas as ações por sua própria conta e risco!

Através do Gerenciador de Tarefas

Vamos falar um pouco sobre mineração na Internet. Existem sites que, por meio de um script especial, obtêm acesso ao desempenho do seu PC. O hacker, contornando a proteção do recurso da Internet, carrega lá seu código malicioso, que extrai criptomoedas enquanto você está no site.

É muito fácil entender que você encontrou um, pois ao visitá-lo seu computador começará a ficar lento e o Gerenciador de Tarefas mostrará uma carga pesada no hardware. Basta simplesmente sair do local para interromper o processo de mineração.

Para detectar malware no sistema:

  1. Vá para o Gerenciador de Tarefas mantendo pressionadas “Ctrl + Shift + Esc” ao mesmo tempo.
  2. Observe os processos durante 10 minutos de inatividade completa (incluindo movimentos do mouse e pressionamentos de teclas).

    Importante! Alguns vírus fecham ou bloqueiam o Gerenciador de Tarefas para ocultar suas atividades.
    Se o despachante fechou sozinho ou algum programa começou a carregar o sistema, isso significa que o PC está infectado pelo mineiro.

  3. Se o vírus não for detectado, vá para a aba “Detalhes”.
  4. Encontre um processo diferente do padrão (por exemplo, símbolos estranhos) e anote o nome.

  6. “Editar” → “Encontrar”.

  7. Importante! Se você não tem certeza se o arquivo pode ser excluído, escreva-nos nos comentários, tentaremos ajudar.


  8. Faça uma varredura no sistema com um antivírus (por exemplo, usamos um antivírus padrão, que está localizado em “Iniciar” → “Configurações” → “Atualização e Segurança” → “Windows Defender”).
  9. Reinicie o seu PC.

Através do Gerenciador de Tarefas AnVir

O gerenciador de processos multifuncional AnVir irá ajudá-lo a detectar um vírus oculto.

  1. Baixe e instale o utilitário.
  2. Inicie-o e visualize os processos em execução.
  3. Se você suspeitar, passe o cursor sobre um aplicativo para exibir informações sobre ele.

    Observação! Alguns Trojans se disfarçam como aplicativos de sistema, mas não podem falsificar detalhes.

  4. Então RMB → “Informações detalhadas” → “Desempenho”.

  5. Ao selecionar “1 dia”, visualize a carga do seu PC durante esse período.

  6. Se um processo carregou muito o sistema, passe o cursor sobre ele → anote o nome e o caminho.

  7. Clique com o botão direito no processo → “Finalizar processo”.
  8. Na pesquisa do Windows, digite “regedit” → vá para o registro.
  9. “Editar” → “Encontrar”.
  10. Digite um nome de arquivo → remova todas as correspondências.
  11. Se ameaças forem detectadas, confirme sua remoção.
  12. Reinicie o seu PC.

Os mineradores de criptomoedas ocultos não são um tópico novo, embora quase não existam instruções técnicas decentes para detectá-los e eliminá-los. Existe apenas uma grande quantidade de informações dispersas e artigos de conteúdo duvidoso. Por que? Porque todos se beneficiam da mineração de criptomoedas em escala global, exceto, é claro, aqueles que não recebem um centavo com isso e nem sequer suspeitam que se tornaram parte dela. E, de facto, o princípio da mineração oculta pode tornar-se algo mais do que apenas colocar moedas no bolso de outra pessoa.

O conceito de mineração oculta

Não estamos a falar aqui de mineração, que por enquanto está escondida da habitação e dos serviços comunitários, mas de mineração oculta de moedas num computador normal, apesar de o próprio proprietário do computador não ter noção disso. . Ou seja, para minerar criptomoedas é possível não apenas usar o seu próprio computador, mas também as máquinas de muitas outras pessoas.

E não é necessário que a carga da placa de vídeo ou processador aumente para 100% - esses espertos são cuidadosos e não vão carregar a máquina de um membro de sua rede a limites excessivos. Você pode, em princípio, não notar muita diferença se tiver uma técnica bastante poderosa. Esta é uma condição importante para a manutenção do trabalho oculto do mineiro.

Pela primeira vez, relatórios oficiais sobre o fenômeno da mineração oculta começaram a aparecer em 2011, e em 2013 já havia uma infecção massiva de PCs em vários países via Skype. Além disso, os Trojans não apenas mineraram, mas também obtiveram acesso às carteiras Bitcoin.

O caso mais famoso é uma tentativa dos desenvolvedores do μTorrent de ganhar dinheiro extra dos usuários introduzindo o minerador EpicScale oculto no software.

Um minerador de vírus (minerador, minerador de Bitcoin) é um software malicioso cujo objetivo principal é a mineração - ganhar criptomoedas usando os recursos do computador da vítima. Idealmente, esse software deve operar o mais secretamente possível, ter alta capacidade de sobrevivência e baixa probabilidade de detecção por programas antivírus. Um minerador de vírus de “alta qualidade” é quase imperceptível, quase não interfere no trabalho do usuário e é difícil de ser detectado por software antivírus. A principal manifestação externa de uma infecção por vírus é o aumento do consumo de recursos do computador e, como resultado, aquecimento adicional e aumento do ruído dos ventiladores do sistema de refrigeração. No caso de um vírus mineiro de “baixa qualidade”, além dos sintomas listados, há diminuição do desempenho geral do computador, travamentos de curto prazo ou mesmo incapacidade de alguns programas.

O que é mineração?

A palavra “mineração” vem do inglês “mining”, que significa “desenvolvimento mineral”. A mineração nada mais é do que o processo de criação de novas unidades de criptomoeda (criptomoedas) por meio de um algoritmo especial. Hoje existem cerca de mil variedades de criptomoedas, embora todas usem os algoritmos e protocolos do iniciante mais famoso - Bitcoin .

O processo de mineração é uma solução para problemas complexos que exigem muitos recursos para obter um conjunto único de dados que confirmam a autenticidade das transações de pagamento. A velocidade de descoberta e o número de unidades de criptomoeda recebidas como recompensa são diferentes em diferentes sistemas monetários, mas em qualquer caso requerem recursos computacionais significativos. A potência do hardware de mineração geralmente é medida em megahashes (MHash) e gigahashes (GHash). Como a complexidade da mineração das criptomoedas mais caras há muito tempo é inatingível em um único computador, fazendas, que são poderosos sistemas de computação de nível industrial e piscinas mineração - redes de computadores nas quais o processo de mineração é distribuído entre todos os participantes da rede. A mineração em um pool comum é a única maneira de um usuário comum participar e receber pelo menos um pequeno lucro do processo de criação de criptomoedas. Os pools oferecem uma variedade de modelos de distribuição de lucros, incluindo o poder dos equipamentos do cliente. Bem, é bastante claro que, ao conduzir dezenas, centenas e até milhares de computadores infectados com o mineiro para um pool, os atacantes recebem um certo lucro da exploração do equipamento informático de outras pessoas.

Os vírus de mineração têm como objetivo o uso prolongado do computador da vítima e, quando infectados, geralmente instalam software auxiliar que restaura o programa de mineração principal caso ele seja danificado, excluído por um antivírus ou trave por algum motivo. Naturalmente, o programa principal está configurado de forma que os resultados da mineração fiquem vinculados às contas dos invasores no pool utilizado. O programa principal usa software de mineração legal, que é baixado de sites oficiais de criptomoedas ou de recursos especiais de pool e, na verdade, não é software malicioso (vírus, software viral - software). Você mesmo pode baixar e instalar o mesmo software em seu próprio computador, sem causar nenhuma suspeita especial ao antivírus usado em seu sistema. E isso não indica a baixa qualidade do software antivírus, mas sim o contrário - a ausência de eventos de alarme falso, porque toda a diferença entre a mineração que é útil para o usuário e a mineração que é útil para o invasor está em quem irá possuir seus resultados, ou seja, de uma conta no pool.

Como já mencionado, o principal sinal de infecção de um sistema por um minerador é o uso intensivo de recursos por algum programa, acompanhado de um aumento no nível de ruído da unidade do sistema, bem como na temperatura dos componentes. Além disso, em um ambiente multitarefa, via de regra, o vírus funciona com a menor prioridade, utilizando recursos do sistema apenas quando o computador está ocioso. A imagem fica assim: o computador não está ocupado com nada, está ocioso, e a temperatura dos componentes e o ruído emitido pela ventilação lembram o modo de jogo de algum jogo de tiro de computador muito exigente. Mas, na prática, houve casos em que a prioridade dos programas de mineração foi definida como o valor padrão, o que levou a uma queda acentuada no desempenho útil. O computador começou a “desacelerar” terrivelmente e era quase impossível usá-lo.

Removendo um minerador usando uma reversão para um ponto de restauração

A maneira mais fácil de se livrar de software indesejado é retornar o Windows a um estado anterior usando pontos de restauração, geralmente chamados de reversão do sistema. Isso exige que haja um ponto de restauração criado em um momento em que a infecção ainda não havia ocorrido. Para iniciar a ferramenta de recuperação, você pode usar a combinação de teclas Win+r e digitar o comando rstrui.exe no campo de entrada que é aberto. Ou use o menu principal – “Programas – Acessórios – Ferramentas do Sistema – Restauração do Sistema”. Em seguida, selecione o ponto de restauração desejado e volte para ele. Com uma reversão bem-sucedida, na maioria dos casos, é possível se livrar do vírus sem muito esforço. Se não houver um ponto de recuperação adequado ou a reversão não neutralizou o vírus, você terá que procurar maneiras mais complexas de resolver esse problema. Neste caso, você pode usar ferramentas padrão do sistema operacional ou programas especializados que permitem pesquisar e encerrar processos, obter informações sobre suas propriedades, visualizar e modificar pontos de inicialização de programas, verificar assinaturas digitais de editores, etc. Esse trabalho requer certas qualificações e habilidades do usuário no uso da linha de comando, editor de registro e outros utilitários. Usando vários antivírus de diferentes fabricantes, programas para limpar o sistema e remover software indesejado podem não dar um resultado positivo e, no caso de um minerador, geralmente não dá.

Encontrar e remover um minerador usando utilitários do Sysinternals Suite

A dificuldade em identificar os programas utilizados para mineração é que eles não são detectados pela maioria dos programas antivírus, uma vez que na verdade não são vírus. Existe a possibilidade de o antivírus impedir o processo de instalação do minerador, pois utiliza ferramentas de software incomuns, mas se isso não acontecer, muito provavelmente você terá que procurar e remover o malicioso (do ponto de vista do proprietário do computador infectado) programa manualmente. Para sua informação, em junho de 2017 nível médio de detecção de maldade de tal software, por exemplo, usando um recurso bem conhecido Virustotal totalizando 15-20/62 – ou seja de 62 antivírus, apenas 15 a 20 o consideraram um programa malicioso. Além disso, os programas antivírus mais populares e de alta qualidade não estão incluídos neste grupo. Para vírus bem conhecidos ou descobertos há relativamente pouco tempo, o nível de detecção de malware pode ser maior devido às assinaturas em bancos de dados de antivírus e a algumas medidas adicionais tomadas pelos desenvolvedores de programas antivírus. Mas tudo isso nem sempre permite que você se livre do vírus mineiro sem esforços adicionais que serão necessários para resolver o problema.

Abaixo está um caso prático de um sistema infectado por malware de mineração. A infecção ocorreu através do uso de programas de jogos modificados baixados de um dos rastreadores de torrent não confiáveis. Embora o método de infecção possa ser diferente, como acontece com qualquer outro malware - seguir links em recursos não verificados, abrir anexos de e-mail, etc.

Um conjunto de malware de mineração para benefício dos invasores implementa as seguintes funções:

Garantindo seu lançamento automático. Um ou mais programas modificam as chaves do registro para serem iniciados automaticamente no caso de desligamento inesperado, reinicialização ou falha de energia. Periodicamente (aproximadamente uma vez por minuto) as chaves de registro são revisadas e, se forem violadas (excluídas, alteradas), são restauradas.

Lançamento automático do programa de mineração. O programa também inicia automaticamente e seus parâmetros de execução automática são monitorados e restaurados por um ou mais programas auxiliares.

Embora os processos que garantem a inicialização automática estejam em execução na memória do computador, não faz sentido excluir arquivos executáveis ​​​​e entradas de registro - eles ainda serão restaurados. Portanto, numa primeira fase, é necessário identificar e encerrar à força todos os processos que garantam o reinício automático de programas maliciosos.

Para encontrar e eliminar um vírus mineiro em sistemas operacionais modernos, você pode usar ferramentas padrão ou, por exemplo, software mais funcional do pacote Suíte Sysinternals da Microsoft

- Explorador de processos– permite visualizar informações detalhadas sobre processos, threads, uso de recursos, etc. Você pode alterar prioridades, suspender (retomar) o trabalho dos processos necessários, encerrar processos ou processar árvores. O utilitário é conveniente para analisar as propriedades dos processos e procurar malware.

- Execuções automáticas– um meio conveniente de controlar a execução automática de programas. Controla quase todos os pontos de inicialização automática, desde pastas de inicialização até tarefas do agendador. Permite detectar e isolar rapidamente programas que você não deseja executar.

Você também pode usar o utilitário como software auxiliar Monitor de Processo, que em casos difíceis permite monitorar a atividade de programas específicos por meio de filtros (acesso ao registro, sistema de arquivos, rede, etc.), bem como o utilitário SearhMyfiles da Nirsoft, que é conveniente para pesquisar arquivos e pastas, o principal cuja característica é a capacidade de pesquisar arquivos e pastas usando carimbos de data / hora do sistema de arquivos NTFS (carimbo de data / hora). Como critério de pesquisa, você pode especificar intervalos de tempo de criação, modificação e acesso para arquivos e pastas (Criado, Modificado, Acessado). Se você souber o tempo aproximado de infecção ou comprometimento, poderá coletar uma lista completa de arquivos que foram criados ou modificados durante um determinado período.

Mas repito, para localizar e remover mineradores, via de regra, basta usar ferramentas padrão do Windows - gerenciador de tarefas e editor de registro. Acontece que o software listado acima é mais fácil de usar e mais conveniente para encontrar malware.

Informações de uso de recursos do sistema exibidas pelo Process Explorer:

Coluna CPU Exibe a taxa de utilização da CPU de vários processos. Processo ocioso do sistema- este não é um processo, mas uma indicação do modo inativo (inação) do programa. Como resultado, vemos que o processador fica em modo inativo 49,23% do tempo, alguns processos utilizam centésimos de seus recursos, e o principal consumidor da CPU é o processo sistema.exe- 49,90%. Mesmo com uma análise superficial das propriedades do processo sistema.exe, existem fatos visíveis que dão origem a suspeitas razoáveis:

Descrição estranha (Descrição) – Centro Microsoft

Nome estranho da empresa – www.microsoft.com Outros processos realmente relacionados à Microsoft têm a linha como descrição Corporação Microsoft

Uma análise mais detalhada é realizada através do menu de contexto, acessado com o botão direito do mouse - item Propriedades:

Caminho executável ProgramData\System32\system.exe também é claramente suspeito, e ir para a pasta com o arquivo executável ao clicar no botão correspondente Explorar mostrou que tanto a pasta em si quanto o arquivo executável possuem os atributos “Ocultos”. Bem, e os parâmetros da linha de comando:

-o estrato+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [e-mail protegido]*-p x -t 2 –k indicar claramente que o processo system.exe é um programa minerador (para usar pools pool.minergate.com).

Campo Localização de inicialização automática contém o valor n / D, o que significa que este processo não possui pontos de início automáticos. Processo pai para sistema.exe tem PID = 4928 e não existe atualmente ( Processo inexistente), o que provavelmente indica que o processo foi iniciado usando um arquivo em lote ou programa que completou seu trabalho após o lançamento. Botão Verificar foi projetado para forçar uma verificação da presença de um processo pai.

Botão Matar Processo permite que você encerre o processo atual. A mesma ação pode ser executada usando o menu de contexto do botão direito para o processo selecionado.

Aba TCP/IP permite que você obtenha uma lista de conexões de rede do processo system.exe:

Como você pode ver, o processo system.exe possui uma conexão estabelecida entre o computador local e o servidor remoto static.194.9.130.94.clients.your-server.de:45560.

Neste caso real, o processo system.exe tinha prioridade mínima e quase não afetava o funcionamento de outros processos que não exigiam maior consumo de recursos. Mas, para avaliar o impacto no comportamento do sistema infectado, você pode definir a prioridade do mineiro igual à prioridade dos programas legais e avaliar o grau de deterioração no desempenho útil do computador.

Quando você encerra à força o processo exe do sistema, ele reinicia após alguns segundos. Portanto, a reinicialização é fornecida por algum outro programa ou serviço. Quando você continua a visualizar a lista de processos, o processo Security.exe é suspeito em primeiro lugar.

Como você pode ver, para executar o programa Segurança.exe o ponto de execução automática do menu padrão dos programas do usuário é usado e o arquivo executável Segurança.exe localizado na mesma pasta oculta C:\ProgramData\System32

O próximo passo é forçar o encerramento Segurança.exe, e então - sistema.exe. Se depois deste processo sistema.exe não será mais iniciado, você poderá começar a excluir arquivos maliciosos e configurações do sistema associadas ao funcionamento de malware. Se o processo sistema.exe será lançado novamente, então a busca por programas auxiliares que garantam seu lançamento deve ser continuada. Como último recurso, você pode encerrar sequencialmente todos os processos, um de cada vez, encerrando system.exe todas as vezes até que ele pare de reiniciar.

Para localizar e desabilitar pontos de execução automática, é conveniente usar o utilitário Autoruns do Sysinternals Suite:

Ao contrário da ferramenta msconfig.exe padrão, o utilitário Autoruns exibe quase todas as opções possíveis para iniciar automaticamente programas existentes em um determinado sistema. Por padrão, tudo é exibido (guia Tudo), mas se necessário, você pode filtrar registros individuais por tipo alternando para as guias na parte superior da janela (DLLs conhecidas, Winlogon, ... Appinit).

Ao pesquisar entradas que permitem a execução automática de programas maliciosos, a primeira coisa que você precisa prestar atenção é a ausência da assinatura digital do desenvolvedor na coluna Editor. Quase todos os programas jurídicos modernos são assinados digitalmente, com raras exceções, que, via de regra, incluem produtos de software de terceiros ou drivers/serviços da Microsoft. O segundo princípio alarmante é a falta de descrição na coluna Descrição. Neste caso específico, a entrada que abre o atalho Security.lnk na pasta de inicialização do usuário é suspeita:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Inicializar

O atalho se refere a um arquivo c:\programdata\system32\security.exe

O Time Stamp informa a data e hora da infecção do sistema - 23/06/2017 19:04

Qualquer uma das entradas exibidas pelo utilitário Autoruns pode ser excluída ou desabilitada, com possibilidade de restauração posterior. Para excluir, use o menu de contexto ou a tecla Del. Para desativar, desmarque a entrada selecionada.

A pasta oculta c:\programdata\system32\ pode ser excluída junto com todo o seu conteúdo. Em seguida, reinicie e verifique a ausência de processos maliciosos.

O fato de a empresa de antivírus ESET ter notado um aumento na prevalência de mineradores baseados em navegador que exploram criptomoedas sem o conhecimento do usuário. Além disso, de acordo com os dados de Dezembro do ano passado, liderou a classificação das ameaças cibernéticas bielorrussas. Em nosso material iremos lhe ensinar como reconhecer que alguém está usando seu computador para ganho pessoal e se livrar da mineração oculta.

Navegador ou computador

Lembramos que mineração é o processo de extração de criptomoeda por meio de cálculos complexos realizados em um computador. No momento, existem dois métodos principais de “mineração maliciosa”.

No primeiro caso, o programa minerador é instalado ocultamente em seu computador e passa a usar constantemente sua energia - o processador e a placa de vídeo. No segundo caso, e é sobre isso que a ESET alerta, a mineração só ocorre quando você vai a um site infectado (“mineração por navegador”).

É claro que o primeiro método é muito preferível para os invasores, embora seja mais complicado - afinal, primeiro o computador precisa ser infectado de alguma forma. A segunda é mais simples, e os invasores “conseguem” a potência necessária devido ao grande número de usuários que visitam o site.

Sintoma principal

O primeiro (e principal) sintoma pelo qual você pode suspeitar de mineração é que o computador começa a “desacelerar” constantemente em situações inofensivas. Por exemplo, quando seu cooler faz barulho o tempo todo, seu laptop esquenta ou congela enquanto apenas um navegador com três guias está em execução.

É claro que tais sintomas não são característicos apenas da mineração - neste momento você pode simplesmente ter um processo “pesado” em segundo plano (por exemplo, atualização de software). Mas se o computador funciona constantemente nesse modo carregado, esse é um sério motivo para suspeita.

Infelizmente, você não deve confiar apenas em software antivírus aqui. Aqui está o que, por exemplo, a Kaspersky Lab escreve sobre esses programas:

Os mineiros não são programas maliciosos. Portanto, eles estão incluídos na categoria Riskware que identificamos – software que é legal em si, mas pode ser usado para fins maliciosos. Por padrão, o Kaspersky Internet Security não bloqueia nem remove esses programas, pois o usuário pode tê-los instalado conscientemente.

O antivírus pode não funcionar no caso de mineração oculta do navegador.

Como detectar um mineiro?

A maneira mais fácil de tentar identificar um processo malicioso que está “consumindo” todos os recursos do seu computador é iniciar o gerenciador de tarefas embutido no sistema (no Windows, ele é chamado pelo atalho de teclado Ctrl+Shift+Esc) .


Gerenciador de tarefas no Windows

Se você perceber que algum processo incompreensível está carregando muito o processador - em dezenas de por cento - (a coluna CPU na imagem acima), e você não iniciou um jogo “pesado” ou não está editando um vídeo, isso pode muito bem virar para ser mineração.

A propósito, o Chrome, popular entre os bielorrussos, também possui seu próprio gerenciador de tarefas - para iniciá-lo, você precisa clicar com o botão direito em uma área livre de guias acima da barra de endereço e selecionar o item apropriado. Então você verá qual guia está causando a inicialização do computador.

Infelizmente, o gerenciador de tarefas nem sempre é útil. Os mineradores modernos sabem, por exemplo, pausar o trabalho quando ele é iniciado ou “ocultar-se” em processos padrão, como o svchost. exe, cromo. exe ou steam.exe.

Nesse caso, você pode usar software adicional e mais avançado - por exemplo, o programa AnVir Task Manager.

Com sua ajuda fica muito mais fácil identificar processos suspeitos. Todas as linhas indefinidas são destacadas em vermelho e você pode obter o máximo de informações sobre cada processo (inclusive os ocultos!), mas o mais importante é que qualquer processo que você esteja executando pode ser verificado no site do VirusTotal.

E o que fazer com isso?

A maneira mais fácil é se a mineração ocorrer ao abrir um site infectado. Neste caso, basta fechar esta aba do navegador.

É pior se um programa de mineração entrar no seu computador. Nesse caso, você pode primeiro tentar fechar o processo malicioso no gerenciador de tarefas e removê-lo da inicialização, porém, via de regra, nem tudo é tão simples.

Os mineiros podem ter métodos de lançamento não padrão, nA presença de dois processos que se reiniciam se tentarem encerrá-los. Além disso, pode ser iniciado.

Os programas antivírus devem ajudar aqui. Se por algum motivo o antivírus não “pegar” o mineiro no modo padrão, você pode tentar gravar um scanner portátil gratuito em uma unidade flash, por exemplo, Web CureIt! ou Kaspersky Virus Removal Tool e inicialize seu computador no modo de segurança.

Para iniciá-lo (no Windows, exceto “dez”), você precisa pressionar a tecla F8 várias vezes durante a inicialização e selecionar a opção desejada. No Windows 10, isso não pode ser feito durante a reinicialização. Portanto, você precisa abrir a janela “Executar” (combinação de teclas Win + R), inserir o comando msconfig lá, selecionar a seção “Configuração do sistema”, “Boot” e definir o modo de segurança e, em seguida, reiniciar o computador.

Depois de inicializar no modo de segurança, você precisa iniciar um antivírus a partir de uma unidade flash.

Como escrevemos acima, os antivírus nem sempre consideram os programas de mineração como software malicioso - afinal, você mesmo pode minerar.

Mas, por exemplo, o Kaspersky Anti-Virus os classifica na categoria Riskware (software com risco). Para detectar e remover um objeto desta categoria, você precisa ir até as configurações da solução de segurança, encontrar a seção “Ameaças e detecção” e marcar a caixa ao lado de “Outros programas”. A ESET oferece uma solução semelhante - para identificar mineradores (inclusive nos sites que você visita), você precisa ativar a detecção de aplicativos potencialmente indesejados nas configurações.

Se a mineração continuar após essas manipulações, você pode tentar um método mais radical - reinstalar o sistema operacional.

Como se proteger?

Se estamos falando de mineração baseada em navegador, além de soluções antivírus que detectam javascript malicioso em sites, já surgiram extensões de navegador que permitem detectar mineradores - por exemplo, No Coin ou Mining Blocker.

Se você não deseja que o programa minerador entre no seu computador, instale regularmente as atualizações oferecidas pelo sistema operacional e certifique-se de usar programas antivírus com monitoramento ativado.

Aqui você precisa lembrar que os antivírus podem não detectar um programa minerador, mas quase certamente detectarão um programa dropper, cujo objetivo principal é instalar secretamente o minerador. Além do antivírus, você pode adicionar algumas dicas antigas, mas ainda eficazes - não clique em links suspeitos na Internet e não abra mensagens de spam recebidas em seu e-mail.

Lembre-se também que com a instalação de software legal, a probabilidade de conseguir um minerador adicional é insignificante. Já ao baixar programas hackeados ou “cracks”, esse risco aumenta muito.

E os smartphones?

Um smartphone também é um computador, por isso os esquemas dos atacantes são semelhantes. Por exemplo, no final do ano passado, especialistas em segurança descobriram malware no Google Play que usava dispositivos móveis para minerar criptomoedas sem o conhecimento do proprietário.

Internet
Smartphones