February 8, 2019

Скрытый майнинг.

Наверняка многие из вас знают про каналы в телеграмме, которые бесплатно делятся различными кейсами или курсами по заработку. Так вот, в некоторых таких каналов, автор рассказывает про метод заработка и прикладывает какой нибудь сервис для работы, например tooligram. Автор предлагает скачать взломанную версию tooligram, что бы вам не приходилось платил деньги за пользование программой.

Вы скачиваете и начинаете пользоваться сервисом бесплатно, не подозревая, что теперь ваш компьютер занимается скрытым майнингом криптовалют.

Скрытый майнер - программа для добычи (майнинга) криптовалюты при помощи вашего компьютера в фоновом режиме. Насилует ваше устройство, мешает жить.

Скрытый майнер становится только хитрее, он уже умеет прятаться от антивиросов, отключаются когда вы включаете диспетчер задач, сам повторно включаются. Я хочу поделиться с вами как бороться с майнером.

Для начала список полезных программ:

  • IObit Uninstaller 5.4 - позволяет нам очень удобно удалять все приложения на компьютере и ищет все оставшиеся после их удаления файлы. В общем удобный инструмент для работы с хранилищем компьютера.
  • Advanced SystemCare 9 - во-первых, это удобный инструмент для чистки RAM, а во-вторых, у данной программы есть так называемый Perfomance Monitor. Сам Perf. monitor будет отображаться в любом месте экрана, выводя загрузку цп, озу, диска и сети.
  • Майнеры умеют прятаться от диспетчера и от многих других программ для мониторинга загрузки компьютера, а от Perf. monitor - нет. Данное приложение, считаю, просто необходимым!
  • CCleaner - самый обычный ССleaner, позволяет нам отслеживать процессы и автозагрузку. Чистит RAM.
  • GlassWire - приложение поможет нам отслеживать весь трафик. (так можно обнаружить вирус)

С приложениями разобрались, теперь разберемся с процессом отлова майнера. 

Если после установки приложения вам показалось, что компьютер начал показывать повышенную нагрузку процессора в простое, то скорее всего вы поймали вирус.

Обнаружить повышенную нагрузку процессора можно с помощью программы perf. monitor’ом, при запуске диспетчера задач или других программ для мониторинга загрузки компьютера, некоторые майнеры умеют отключается.

По идее когда диспетчер задач открыт, можно "победить" майнер, но он просто сам закрывает диспетчер и возобновляет работу, давая понять, кто тут хозяин)

Остановить майнер можно старым способом, найдя его в диспетчере задач и остановив. Что бы найти вредоносный процесс, можно навести мышкой на процесс и посмотреть его расположение (все, что не находится в папке system 32 - скорее всего вирус). Есть процессы, которые запускаются только от имени системы, если этот процесс запущен «от моего имени», то это вирус (например svchost.exe).

Остановка процесса помогает не всегда, через несколько секунд он запускается по новой. И папку, в которую установлен данный процесс, нельзя отследить - он появляется на секунду и сразу же выключается, даже кликнуть мышкой не получается.

Тут нам поможет программа CCleaner. Заходим в раздел "Удаление программ" и находим там нашу вредоносную программу, например Tooligram.

Нажимаем «деинсталляция», возможно появится ошибка, просто игнорируем ее.

После окончания деинсталляции, IObit Uninstaller выдает окошко, в котором сообщает, остались ли файлы связанные с Tooligram после его удаления. Если такие имеются, то приложение оставило о себе напоминания, которые скрыты от простого удаления. 

Нажимаем кнопку Clean manually и IObit Uninstaller чистит компьютер от остатков программы, которые были созданы на компьютере вместе с установкой данного вирусного приложения.

Закрываем все приложения, перезагружаем компьютер и проверяем показатели загрузки компьютера с помощью программы perf. monitor. Если нагрузка от манера пропала, майнер побежден.

Также проверяем в GlassWire, чтобы окончательно убедиться.

Это один из примеров отлова скрытого майнера, ситуации могут сильно отличаться от описанной, но используя данные программы, вы существенно снизите риск появления вредоносных программ у себя на компьютере.

P.S.: Проверяйте все скачиваемые приложения, файлы и ссылки на VirusTotal.

Подписывайся на группу ВК: https://vk.com/ka4aemdengi

Telegram канал: https://t.me/Ka4aemDengi