Скрытый майнинг: найти и уничтожить
Скрытый майнер для криптовалют – уже не новая тема, хотя достойных технических инструкций по его обнаружению и ликвидации почти нет. Есть лишь масса разрозненной информации и статьи сомнительного содержания. Почему? Потому что всем выгоден майнинг криптовалют в мировых масштабах, кроме, конечно, того, кто копейки с этого не получает и даже не подозревает, что стал частью глобальной вычислительной сети. И действительно – ведь принцип скрытого майнинга может стать чем-то большим, чем просто добычей монеток в чужой карман.
Понятие скрытого майнинга
Речь здесь пойдёт не о майнинге, до поры скрытом от ЖКХ, но о скрытой добыче койнов на обычном компьютере, при том, что сам владелец компьютера об этом ни сном ни духом. Иными словами, для добычи криптовалюты возможно не только использование собственного компьютера, но и множества чужих машин.
И необязательно, что нагрузка на видеокарту или процессор должна возрасти до 100% – эти умники осторожны и не станут нагружать машину участника своей сети в неразумных пределах. Вы можете, в принципе, и не заметить большой разницы, если у вас достаточно мощная техника. Это важное условие для сохранения скрытой работы майнера.
Впервые официальные сообщения о явлении скрытого майнинга начали появляться в 2011 году, а в 2013 году уже произошло массовое заражение ПК в различных странах, посредством Скайпа. Причём трояны не только майнили, но и получали доступ к биткойн-кошелькам.
Самый известный случай – попытка разработчиков μTorrent таким образом дополнительно заработать на пользователях внедрив в софт скрытый майнер EpicScale.
Дополнительные сведения о ботнетах – эта информация даст общее представление о явлении.
Принципы работы
И всё же – как это конкретно работает? Всё просто – втайне от пользователя, например, при открытии любого файла, ему устанавливается программа-клиент, которая подключается к одному из майнинг-пулов и начинает добывать криптовалюту. Говорить что это именно Биткойн не стану – сейчас на простых машинах выгоднее добывать другие монеты. Майнинг-пулы часто сами подбирают для конкретной конфигурации оборудования наиболее подходящий вариант.
Выплаты производятся на указанные в аккаунте «предпринимателя» реквизиты, и он имеет право подключать к своей учётной записи любое количество ПК, и никто не требует с него доказательств, что они принадлежат именно ему или их владельцы одобрили это действие. Интересно почему? Хотя есть децентрализованные пулы, где точно никто ничего спрашивать не станет.
Поэтому пулы – идеальный вариант для создания собственной майнинг-сети (ботнета). И занимаются этим сейчас (или пытаются) все кому не лень – от профи до школьников, завсегдатаев всевозможных «дарк-форумов» со сливами «безотказных и проверенных» схем всего за 500 руб, а то и задаром. Оплата символическая – по той причине, что выстраивается схема, где распространитель такого майнера имеет определённый процент со своих «адептов». Их жертвами становятся, как правило, игроманы, у которых, естественно, установлены мощные видеокарты и процессоры. Но это не факт – кто угодно может получить в подарок такую «игрушку».
Заражение происходит различными способами:
- Через любые запущенные файлы;
- Прямой подсадкой на ПК (редкость);
- Посредством несанкционированного удалённого доступа.
Почему работа майнера возможна в скрытом режиме?
- Майнер распространется в связке с кряками, патчами, варезным софтом, торрентами или даже в виде простых файлов, таких как картинки или вордовские файлы, приложенные к сообщениям;
- Установка производится в тихом режиме;
- Процесс маскируется под одну из служб Windows или не отображается вовсе;
- Во время повышенной нагрузки на машину – майнер отключается, чтобы не вызывать заметное торможение.
Всё это позволяет существовать подобным троянам на тысячах машин и приносить стабильный доход владельцам. Для осуществления этого делаются специальные сборки, в которых есть всё необходимое.
В общих чертах, это устроено приблизительно так, но, по факту, это делают ещё сложнее, чтобы майнер было не так просто удалить. К примеру, в глубине системы сидит исходный файл, который постоянно восстанавливает майнер в случае его удаления вручную или антивирусом.
Методы обнаружения и удаления
Во всех инструкциях говорят об одном и том же – если ваш ПК стал тормозить, то, вероятно, это вирус-майнер, который загрузил центральный процессор и видеокарту. В этом случае нужно проверить диспетчер задач и просканировать систему антивирусами на трояны. Отчасти это верный подход, но если подумать – то это крайне поверхностные меры.
Полноценной инструкции от специалиста, например, из Касперского, к слову сказать, я не обнаружил – хотя найденные инструкции преимущественно были довольно старые и, судя по всему, созданные для древних майнеров 2010 года, сделанных на «коленке» неким Василием. Поэтому тогда этих мер было вполне достаточно.
Но для людей, которые, вероятно, имеют обо всём этом лишь слабое представление, вовсе не упоминается о подобных аспектах:
- Нестандартные способы запуска;
- Наличие двух процессов, которые перезапускают друг друга в случае попыток их завершить;
- Перезагрузка ПК при попытке получить доступ к файлам майнера или попытке удалить их из автозагрузки;
- Процессы, которые не дают нормально работать антивирусам.
Круто, правда? Это порой и не даёт избавиться от майнера детскими мерами, которые, не задумываясь, переписываются писателями инструкций в ключе «… и он больше не будет добывать какие-то там так называемые биткойны». Хотя подобную идею можно было бы пустить в положительное русло.
Алгоритм работы
Сразу отмечу – здесь нужен комплексный подход, и придётся немного потрудится. Алгоритм подходит не только для обнаружения и удаления скрытых майнеров, но и для любых троянских программ, в частности, шпионского ПО, которое скрытно сидит в процессах и делает своё дело.
Также упомяну, что эти действия могут не дать эффекта, но в состоянии всё же помочь. На крайний случай можно переустановить систему или обратиться к спецу, но это не лучший вариант. Хотя в итоге обновить операционку и организовать рабочий процесс несколько по-иному имеет смысл, но об этом позже.
Итак, с чего начать и нужно ли? Даже если вас всё устраивает в работе машины – лучше проделайте эти нехитрые манипуляции. Поверьте – вы можете обнаружить много чего любопытного и избавить себя от проблем в будущем. Я не специалист по кибербезопасности, но это логически оправданные действия. Возможно, все эти советы для некоторых покажутся банальными, но по собственному опыту знаю, что многие пренебрегают элементарными вещами и аудитория этого ресурса не состоит сплошь из прожжённых кул хацкеров.
У меня на данный момент установлена Windows, поэтому инструкция создана именно на её примере. Общепринятый совет перед подобной работой сохранить все данные с ПК на отдельный носитель/облако всерьёз не воспринимайте – это бред. Если вирусы есть – они попадут в бэкап. Выхода только два – переустановить винду или лечить её.
Итак, для начала берём контроль над всем, что творится на ПК, и скачиваем приложение для мониторинга всего, что есть на машине – AIDA64. Сразу замечу, что сам последнее время стараюсь пользоваться исключительно портативным софтом. Почему и зачем опишу ниже. Скачиваю в основном с сайта rsload – там чистый и рабочий софт, бери и пользуйся.
Запускаем приложение, открываем Настройки и находим пункт OSD окно – там отмечаем показатели температуры ядер процессора и видеокарты, а также уровень их загрузки и занятую оперативную память. Нажимаем применить и получаем гаджет на рабочий стол, где отображаются выбранные показатели. Выключаем всё, что только можно – если нагрузка остаётся (точные показатели сложно назвать) – есть смысл задуматься над тем, что создаёт напряг.
Продолжаем – стандартный диспетчер задач нам определённо не подходит. Скачиваем просто замечательную утилиту AnVir Task Manager. Это реально мощная вещь – с её помощью гораздо проще выявлять подозрительные процессы. Все неопределённые строки подсвечиваются красным и о каждом процессе можно получить максимальную информацию, чего нет в функционале похожих программ и тем более в стандартном диспетчере. Также софт ищет скрытые процессы.
Как уже сказано – майнер может маскироваться под любую службу или даже отключаться при открытии диспетчера. Но шанс выловить его – достаточно высок. Уберите оттуда всё лишнее – все, что можно отключить на данный момент, без ущерба для работы операционной системы. Теперь идите по всем процессам подряд и выясните, что они собой представляют. В этой утилите есть функция поиска информации о процессе в Сети, а самое главное его проверка на сайте VirusTotal. Обратите внимание, сколько он съедает памяти, насколько нагружает центральный процессор и GPU (видеокарту) и откуда он работает. Скрытые майнеры часто прописываются именно в пользовательской папке, хотя не факт, конечно. Кстати, сразу включите отображение скрытых файлов и папок и не выключайте его никогда.
Часто майнеры маскируются под процессы svchost.exe, chrome.exe и steam.exe. Ну, или вообще под нечто непонятное.
Для обнаружения процессов, нагружающих именно GPU можно воспользоваться дополнительным диспетчером – ProcessExplorer. Он без предварительных настроек отображает этот показатель. Если вы что-то нашли – не спешите убивать процесс и вычищать папки, ведь, вероятно, через некоторое время исходным вирусом, который сидит где-то в другом месте всё будет восстановлено. А часто отключение одного процесса запускает аналогичный и наоборот. В общем, просто приостановите процесс, запомните его и файлы с ним связанные, а также проверьте их на VirusTotal. Если сервис маякнул об угрозах – начинаем процесс ликвидации.
Кстати, а вы знаете, что и сколько занимает места на вашем жёстком диске? Особенно в разделе C:? Если нет, то рекомендую утилиту FolderSizes. Это отличная вещь. Если с помощью неё вы обнаружили на диске C: папки весом в несколько гигабайт – обязательно проверьте что там лежит! Часто авторами подобных статей упоминается о папке Ethash, который некоторые скрытые майнеры используют для хранения рабочих файлов. Но таким хранилищем может оказаться любая тяжёлая папка с любым названием.
Теперь, даже в случае, если до этого ничего не было найдено – приступайте к следующей фазе. Здесь вам потребуется полный комплект «боевого софта».
Для надёжности лучше проводить сканирование и удаление вероятных угроз в безопасном режиме. Часто подобные вирусы не дают себя обнаружить или удалить, но в безопасном режиме это становится возможным. Для его запуска нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант.
В Windows 10 при перезагрузке этого сделать нельзя, поэтому открываем окно «Выполнить» (Win+R), вбиваем команду Msconfig, выбираем раздел «Конфигурация системы», где в разделе «Загрузка» выставляем необходимый режим, после чего перезагружаем машину.
Если хотите «воевать по-чёрному» – создайте загрузочную флэшку с антивирусом Dr. Web или Касперским и дополнительно просканируйте систему с неё.
Теперь в безопасном режиме начинаем запускать следующие антивирусные утилиты, предварительно скачанные в портативном варианте (хотя многие и так изначально сделаны в портэйбле):
- Web CureIt! (качаем исключительно свежую версию с оф.сайта). Если смущает необходимость отправлять сведения о своём программном обеспечении – не используйте её, впрочем, как и остальные;
- Kaspersky Virus Removal Tool;
- COMODO Cleaning Essentials;
- Junkware Removal Tool;
- AdwCleaner (на всякий случай).
Многие сборки для скрытого майнинга используют руткиты – утилиты для сокрытия следов работы определённых процессов. Поэтому дополнительно стоит использовать TDSSKiller, который призван их убить.
Если вы уже уверены, что в системе работает скрытый майнер, и данные утилиты не помогли – воспользуйтесь программой AVZ и помощью профессионалов со специализированных форумов.
Для этого открываем AVZ и производим обновление баз через одноимённый пункт. Теперь запускаем «Исследование системы» и получаем файл avz_sysinfo.htm. Далее, заливаем его куда-нибудь и идём, например, на форум Касперского. Там находим нужную тему (она там есть) и обращаемся с просьбой помочь, обязательно приложив ссылку на полученный в AVZ файл. При хорошем раскладе, получаем скрипт, который необходимо выполнить в том же AVZ через функцию «Выполнить скрипт».
Если что-то из этих инструментов по каким-либо причинам не захочет работать в безопасном режиме – можно провести процедуры поиска и очистки в обычном режиме, но предварительно запустив утилиту RKill, которая по идее должна убить процессы, мешающие работе антивирусов.
Итак, после проверки и зачистки вирусами (если было что) – проверяем, продолжают ли работать те процессы, которые мы приметили в самом начале. Стоит учитывать, что они могут появиться несколько позже. Если антивирусы не удалили заражённые файлы – нужно сделать это вручную, предварительно использовав RKill.
Если всё прошло успешно – осталось почистить реестр от следов пребывания чужаков. Вручную – долго, и не все знают, что и как искать. Поэтому можно воспользоваться одним из чистильщиков реестра, например, CCleaner или AuslogicBootSpeed.
В случае если никакие меры не помогают (даже запуск скрипта в AVZ) – придётся либо обратиться за помощью, либо переустановить систему. А лучше сделать переустановку в любом случае.
Кстати, вот здесь находится «боевой» набор из мелких портативных утилит, которые я использовал. Но, Dr. Web CureIt, Kaspersky Virus Removal Tool и COMODO Cleaning Essentials скачайте с оф. сайтов в свежем виде. Все утилиты абсолютно бесплатны.
Между прочим, бизнес на вирусах и антивирусах – это очень прибыльная тема, точно такая же, как и торговля оружием. Иными словами, сначала нужно продать одному вирус для «тёмных дел», а потом продать жертве антивирус для защиты. И получается, что две стороны сражаются, а третья сторона греет на этом руки. Поэтому пытаясь выбить очередной вирус из системы – не приобретайте платный софт, рубите порочный круг.
Методы профилактики
За время работы любой операционной системы – в неё устанавливают множество софта с последующим удалением. Программы для деинсталляции и очистки реестра, честно говоря, плохо справляются со своими задачами. В итоге реестр превращается в помойку. К тому же каждое установленное приложение, особенно, серьёзное – запускает дополнительные процессы, порой совсем не нужные юзеру и прописывает в систему различные настройки. А порой от давно удалённых программ остаются отдельные модули, которые продолжают функционировать. Всё это позволяет незаметно для пользователя внедрять в систему любые процессы и он, вероятно, в этом бардаке ничего не заметит.
Поэтому заведите привычку пользоваться преимущественно портативным софтом. Да, это не очень удобно, да, программы хуже взаимодействуют с операционкой и между собой. Но есть масса преимуществ: вы не засоряете реестр, загрузка и выключение компа происходят быстрее, потому что в скрытом режиме не работает куча всего, о чём вы и не подозреваете, а главное, в процессах чистота и легче обнаружить что-то новое, например, новый процесс, которого раньше не было и который потребляет значительное количество ресурсов.
Вообще, будет очень хорошо, если люди начнут интересоваться, как работает их компьютерная техника и установленное на ней ПО, в частности, операционные системы. Будет прекрасно если границы познаний многих пользователей пойдут дальше торрентов, игр и порно. Стоит узнать, как устроена работа операционной системы, и какие процессы за что отвечают. Если не засорять пространство – ориентироваться будет гораздо легче.
Но, проще, конечно, не допускать проблему изначально. Я не сторонник таких антивирусных комбайнов, как Каспер или ESET NOD32 . Такой «секьюрити» – не ваша охрана, это ваш надсмотрщик. И отключить такого благодетеля очень тяжело, а я не собираюсь терпеть, чтобы какая-то «железка» указывала мне какие сайты посещать и что оттуда качать.
Кстати, по поводу вирусной и прочей, вполне обоснованной, паранойи – я стараюсь не хранить на ПК хоть сколько-то важную для меня информацию. Я всё держу на флэшках и дисках. На основной флэшке у меня собраны все рабочие файлы – всё, что касается моей работы.
Много программ, с которыми я работаю – также находятся там в портативном виде, в частности, браузер с важными закладками и биткойн-кошелёк Электрум. Каждый вечер я сканирую систему тремя портативными антивирусами из «боевого комплекта» и делаю резервный запароленный архив с флэшки. После чего выдёргиваю её из порта и кладу под подушку. Это мой гарант сохранности важной информации.
Все любимые фильмы, музыка и фото также находятся на отдельных носителях. По сути, у меня чистая система с минимальным набором программ и драйверов. Правда, стоит простой антивирус 360 Total Security – это, между прочим, очень занудный чувак, который постоянно что-то подозревает. Но мне это нравится – я к нему прислушиваюсь, но когда я устаю от него, то просто наживаю на «Выход». Этого достаточно чтобы выключить «заботливую мамочку». Но когда мне нужна подстраховка – он работает для меня на всю мощь, и я слежу, чтобы он почему-то вдруг не отключился.
Чтобы никакая «адтварь» и прочая нечисть не вздумала по-тихому устанавливаться – у меня включён стандартный брандмауэр и ещё одна маленькая, но чёткая утилита – WinPatrol Monitor. Когда что-то пытается прописаться в реестр без моего ведома – софтинка начинает реально тявкать и выдаёт окно, где описано что и куда пытается прорваться.
У меня довольно редко возникает вопрос, что и откуда скачать – большинство сайтов давно проверены. Поэтому пользоваться сомнительными ресурсами, на которые уже давно выработалось чутьё – нужды не вижу. Но если что-то и качаю, например, софт от неизвестного производителя, антивирусами, конечно, его не проверяю – но запускаю в песочнице, которая входит в комплект 360 Total Security. Меня даже не его поведение интересует – дело в том, что в некоторые вирусы вшит механизм самоуничтожения, на случай попытки его изучения в условиях песочницы. А мне это и нужно.
В завершение, скажу для тех, кто не считает скрытый майнинг чем-то вредоносным. Чтобы не говорили сторонники «серых методов» – это в любом случае нечестная игра. Некто, не спрашивая меня, что-то устанавливает на мою машину, не заплатив за неё перед этим ни копейки. Я бы может и сам понемногу майнил, так сказать, «на печеньки», но не хочу лишний раз нагружать технику, в которую немало вложил и собрал исключительно для ведения журналисткой деятельности. И меня не устраивает, что какой-то Вася будет по-тихому майнить на ней крипту (в копейках) и нагружать мне и без того уже подогретую когда-то видеокарту!
Дополнительные опасности
Подобные ботнеты, которые можно расширить до умопомрачительных масштабов, в сочетании с технологией ИИ и нейронных сетей могут принести как всеобщее благо так стать орудием разрушения и тотального контроля. Сегодня на моём ПК тайно добывают Монеро, а завтра военные начнут просчитывать траектории движения баллистических ракет дальнего поражения?
Если бы я был уверен, что мою технику используют во время простоя в благих целях и не для собственного обогащения – я бы с удовольствием дал на это согласие. А пока люди продолжают «бить друг друга дубинами по голове», лезть в чужой карман и пытаться доминировать над остальными – я постараюсь держать свои вычислительные ресурсы вне досягаемости от чужих волосатых лап.
Описанная инструкция была сделана после попадания в систему «некого» WannaCry FileDecrypor, которого каким-то образом успел перехватить работавший на тот момент ESET NOD32. Зашифровать у этой дряни ничего не получилось, но в системе она что-то нарушила, и после этого начались серьёзные проблемы. Пришлось удалять. После этого я всерьёз всё перекроил и обустроил вышеописанным способом.
Скрытого майнера у меня не было, хотя в процессе написания статьи соблазн запустить нечто похожее и выбить из системы был. Но мне потом это показалось самодурством – у меня всего одна рабочая машина. Поэтому гарантий, что изложенные выше меры окажутся эффективными, нет. Если у кого-то есть опыт в решении этой проблемы или он не согласен с чем-то – пожалуйста, я внесу правки в статью в любой момент, и мы вместе создадим полезную инструкцию.
А вот видео, где наглядно показывается, как на данный момент работают «настоящие» майнеры. У этих китайцев 3000 мощных майнеров только на одной ферме! А какая сеть потребуется очередному «дельцу», чтобы выйти на приличный доход, даже работая с альткойнами?
И устанавливая майнер на машину – какие гарантии, что его уже не опередили и сколько человек, по факту, могут нормально заработать на этом, если заразят все ПК без исключения? Посчитайте и подумайте. Вероятно, по этой схеме нормально зарабатывает сравнительно ограниченное количество людей – а остальные считают копейки и гордо называют себя майнерами, распространяя вирусню по всей Сети.
Автор: Slash
Подписывайтесь на CoinHunt в телеграмм