Мы уже писали о том, что антивирусная компания ESET отметила рост распространенности браузерного майнера, который добывает криптовалюту без ведома пользователя. Более того, по данным за декабрь прошлого года он возглавил рейтинг белорусских киберугроз. В нашем материале мы расскажем, как распознать, что кто-то использует ваш компьютер в корыстных целях, и избавиться от скрытого майнинга.
Браузер или компьютер
Напомним, майнинг — это процесс добычи криптовалюты с помощью сложных вычислений, которые проходят на компьютере. На данный момент есть два основных способа «зловредного майнинга».
В первом случае программа-майнер скрыто устанавливается на ваш компьютер и начинает постоянно использовать его мощности — процессор и видеокарту. Во втором случае, и именно об этом предупреждает ESET, майнинг происходит только тогда, когда вы заходите на зараженный сайт («браузерный майнинг»).
Разумеется, первый способ для злоумышленников гораздо предпочтительнее, пусть и более сложный — ведь компьютер для начала нужно как-то заразить. Второй — проще, а нужную мощность злоумышленники «добирают» за счет большого числа пользователей, заходящих на сайт.
Главный симптом
Самый первый (и главный) симптом, по которому вы можете заподозрить майнинг — компьютер начинает постоянно «подтормаживать» в безобидных ситуациях. Например, когда у вас всё время шумит кулер, нагревается или зависает ноутбук в то время, как на нем запущен лишь браузер с тремя вкладками.
Понятно, что такие симптомы характерны не только для майнинга — у вас в этот момент просто может быть запущен «тяжелый» фоновый процесс (например, обновляться ПО). Но если компьютер работает в подобном нагруженном режиме постоянно — это серьезный повод для подозрений.
К сожалению, только на антивирусы здесь полагаться не стоит. Вот, что, например, пишет по поводу таких программ «Лаборатория Касперского»:
Майнеры — программы не зловредные. Потому они входят в выделенную нами категорию Riskware — ПО, которое само по себе легально, но при этом может быть использовано в зловредных целях. По умолчанию Kaspersky Internet Security не блокирует и не удаляет такие программы, поскольку пользователь мог установить их осознанно.
Антивирус может не сработать и в случае скрытого браузерного майнинга.
Как обнаружить майнера?
Самый простой способ, который можно попробовать для выявления зловредного процесса, «съедающего» все ресурсы вашего компьютера, — запуск встроенного в систему диспетчера задач (В Windows он вызывается сочетанием клавиш Ctrl+Shift+Esc).
Диспетчер задач в Windows
Если вы увидите, что какой-то непонятный процесс очень сильно — на десятки процентов — загружает процессор (колонка ЦП на картинке выше), а вы при этом не запустили «тяжелую» игру и не монтируете видео, — это вполне может оказаться майнингом.
Кстати, свой диспетчер задач есть и в популярном у белорусов Chrome — для его запуска нужно щелкнуть правой кнопкой мыши на свободной от вкладок области над адресной строкой и выбрать соответствующий пункт. Тогда вы и увидите, какая вкладка — виновник загрузки компьютера.
К сожалению, далеко не всегда диспетчер задач может оказаться полезным. Современные майнеры умеют, например, приостанавливать работу при его запуске или «прятаться» в стандартные процессы, вроде svchost. exe, chrome. exe или steam.exe.
В таком случае можно использовать дополнительный, более продвинутый софт — например, программу AnVir Task Manager.
С ее помощью гораздо проще выявлять подозрительные процессы. Все неопределенные строки подсвечиваются красным и о каждом процессе (в том числе скрытом!) можно получить максимальную информацию, но самое главное — любой запущенный у вас процесс можно проверить на сайте VirusTotal.
И что с ним делать?
Проще всего, если майнинг происходит при открытии зараженного сайта. В этом случае вам просто нужно закрыть эту вкладку в браузере.
Хуже, если программа-майнер попала на ваш компьютер. В этом случае можно для начала попробовать закрыть вредоносный процесс в диспетчере задач и удалить его из автозагрузки, однако, как правило, не всё так просто.
У майнеров могут быть нестандартные способы запуска, наличие двух процессов, которые перезапускают друг друга в случае попыток их завершить. Кроме того, может быть инициирована перезагрузка компьютера при попытке получить доступ к файлам майнера или попытке удалить их из автозагрузки.
На помощь здесь должны прийти антивирусные программы. Если по каким-то причинам антивирус не «отлавливает» майнера в стандартном режиме, можно попробовать записать на флешку портативный бесплатный сканер, например, Web CureIt! или Kaspersky Virus Removal Tool и загрузить компьютер в безопасном режиме.
Для его запуска (на Windows старше «десятки») нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант. В Windows 10 при перезагрузке этого сделать нельзя. Поэтому нужно открыть окно «Выполнить» (сочетание клавиш Win+R), ввести там команду msconfig, затем выбрать раздел «Конфигурация системы», «Загрузка» и выставить безопасный режим, после чего перезагрузить компьютер.
Загрузившись в безопасном режиме, нужно запустить антивирусный сканер с флешки.
Как мы писали выше, не всегда антивирусы считают программы-майнеры вредоносным софтом — ведь вы можете майнить и для себя.
Но, например, «Антивирус Касперского» выделяет их в категорию Riskware (ПО с риском). Чтобы обнаружить и удалить объект из этой категории, необходимо зайти в настройки защитного решения, найти там раздел «Угрозы и обнаружение» и поставить галочку напротив пункта «Другие программы». Схожее решение предлагает и ESET — для выявления майнеров (в том числе и на посещаемых сайтах) нужно включить в настройках обнаружение потенциально нежелательных приложений.
Если майнинг продолжается и после этих манипуляций, можно попробовать и более радикальный метод — переустановку операционной системы.
Как предохраниться?
Если речь идет о браузерном майнинге, то помимо антивирусных решений, определяющих зловредные Java-скрипты на сайтах, уже появились расширения браузера, позволяющие засечь майнеров — например, No Coin или Mining Blocker.
Если вы не хотите, чтобы программа-майнер попала на ваш компьютер, то регулярно устанавливайте обновления, предлагаемые операционной системой, и обязательно используйте антивирусные программы с включенным мониторингом.
Здесь нужно помнить, что антивирусы могут не обнаружить программу-майнер, но почти наверняка зафиксируют программу-дроппер, главная цель которой — скрыто установить майнер. В дополнение к антивирусу можно добавить пару старых, но по-прежнему эффективных советов — не кликайте на подозрительные ссылки в Сети и не открывайте приходящий в почту спам.
Также помните, что с установкой легального софта вероятность получить в довесок майнер ничтожна мала. Тогда как при скачивании взломанных программ или «краков» этот риск сильно увеличивается.
А что со смартфонами?
Смартфон — это тоже компьютер, поэтому и схемы злоумышленников здесь схожи. Например, в конце прошлого года специалисты по безопасности обнаружили в Google Play вредоносное ПО, которое использовало мобильные гаджеты для майнинга криптовалют без ведома владельца.
Здесь также можно порекомендовать использование антивирусных программ, а также обязательно обращать внимание на рейтинг скачиваемых приложений.
Добро пожаловать в реальность!