Kryptopriemysel naďalej udivuje svojou všestrannosťou, a to tak z hľadiska spôsobov, ako dosiahnuť zisk, ako aj pohybmi cien, ktoré neumožňujú kompetentnú analýzu.

Ťažba sa stala pre mnohých používateľov hlavným zdrojom príjmov a pre niektorých sa stala plnohodnotným biznisom.

Ako v každom odvetví, ani tu sa biznis nevedie vždy poctivo, baníctvo nie je výnimkou.

V jednom z predchádzajúcich materiálov sme hovorili o využívaní prostriedkov PC alebo notebooku, kým je návštevník na stránke.

Zatvorenie karty okamžite odstráni všetky problémy.

V tomto článku budeme hovoriť o škodlivejšej možnosti profitovať z cudzincov, konkrétne o baníkovi zabudovanom do vírusového programu.

Akonáhle je v systéme, táto symbióza sa celkom kompetentne skrýva pred antivírusovými programami, najmä bezplatnými verziami, ktoré používa väčšina RuNetu a využíva časť výpočtového výkonu na ťažbu kryptomeny v prospech útočníkov.

Ako prebieha ťažba vírusov?

Počas cestovania po internete používateľ vykoná nejakú akciu, ktorá sa dá zamaskovať ako stiahnutie súboru/obrázku alebo kliknutie na externý odkaz na sociálnej sieti, výsledkom čoho je stiahnutie škodlivého programu do počítača.

Aktivuje sa, automaticky sa pripojí k fondu určenému vývojárom a začne ťažba.

Hlavné mince, ktoré sa ťažia nelegálne, takpovediac ťažbou, sú a.

Jedným z dôvodov je vysoká anonymita prevádzky v týchto sieťach. Kancelárske počítače takouto činnosťou veľmi trpia, keďže sú masívne infikované z jedného zdroja cez interné siete.

Samostatne je potrebné poznamenať, že nie všetky programy sú obmedzené na ťažbu.

Mnohé z nich majú funkciu vyhľadávania a kopírovania adries peňaženiek rôznych krypto-služieb, registračných údajov búrz, tajných fráz a kľúčov, ktoré si mnohí ukladajú tu na PC.

Antivírusové programy sú maskované ako oficiálne programy pre baníkov, pre ktoré mnohí nastavujú výnimky v systéme ochrany.

Nezávislé vyhľadávanie v zozname nainštalovaných programov alebo preskúmaním obsahu priečinka "Programové súbory" nie je vždy efektívne, pretože väčšina používateľov jednoducho nevie, čo hľadať.

Počas obdobia aktívneho rozvoja tohto odvetvia sa podarilo identifikovať a odstrániť množstvo škodlivých programov, pretože aktivovali všetky nevyužité zdroje počítača, čo často viedlo k prehriatiu a jednoducho narúšalo prácu.

Moderní baníci vírusov sa stali skromnejšími a zaberajú 2 až 5 % voľných zdrojov bez toho, aby zvlášť zaťažovali zariadenia a bez toho, aby zasahovali do schopnosti používateľa pracovať potichu.

Prečo sa to deje?

Vyššie bolo spomenuté, že malvér sa pripája k fondu, ktorý je v ňom zaregistrovaný.

Nainštalujte si kvalitný antivírusový softvér a pravidelne ho aktualizujte.

Pravidelne vykonávajte hĺbkové kontroly, napríklad každú noc alebo každé tri dni, aby ste odstránili všetky nečistoty.

V ideálnej situácii vyberte množstvo spoľahlivých zdrojov na sledovanie filmov, počúvanie hudby a podobne a obmedzte aj sťahovanie obsahu z pirátskych portálov.

Pre tých, ktorí myslia z vlastného botnetu

Vývojári a predajcovia vírusových baníkov odpovedajú na otázky o zákonnosti ich aktivít: „pre ťažbu neexistuje jasný právny základ, preto nie je možné brať za ňu zodpovednosť, vrátane skrytých.“

To je pravda, nemali by sme však zabúdať, že inštalácia programov akéhokoľvek charakteru bez vedomia majiteľa zariadenia, hackovanie súkromných a firemných sietí má zákonný základ, ako aj pomerne výrazné tresty odňatia slobody.

Používatelia, ktorí distribuujú škodlivé programy na skrytú ťažbu, dúfajú v anonymitu siete a mincí, ktoré je možné ťažiť, no množstvo prípadov, keď bezpečnosť spoločností, do ktorých baníci vírusov prenikli, rýchlo našla iniciátora procesu, ukazuje, že táto anonymita má limity.

Konečne

Aj keď nie ste spojení s kryptopriemyslom, nepracujete online a neprijímate veľké sumy peňazí do elektronických peňaženiek, nemali by ste zanedbávať bezpečnostné opatrenia a stať sa novou obeťou podvodníkov.

Vírusový baník (baník, bitcoinový baník) je škodlivý softvér, ktorého hlavným účelom je ťažba – zarábanie kryptomien pomocou zdrojov počítača obete. V ideálnom prípade by takýto softvér mal fungovať čo najtajnejšie, mal by mať vysokú životnosť a nízku pravdepodobnosť odhalenia antivírusovými programami. „Vysokokvalitný“ vírusový baník je sotva viditeľný, takmer nezasahuje do práce používateľa a je ťažké ho odhaliť antivírusovým softvérom. Hlavným vonkajším prejavom vírusovej infekcie je zvýšená spotreba počítačových zdrojov a v dôsledku toho dodatočné zahrievanie a zvýšený hluk ventilátorov chladiaceho systému. V prípade „nekvalitného“ baníckeho vírusu sa okrem uvedených príznakov prejavuje aj pokles celkového výkonu počítača, krátkodobé zamrznutia či dokonca nefunkčnosť niektorých programov.

čo je ťažba?

Slovo „ťažba“ pochádza z anglického „mining“, čo znamená „vývoj nerastov“. Ťažba nie je nič iné ako proces vytvárania nových jednotiek kryptomeny (kryptocoinov) pomocou špeciálneho algoritmu. Dnes existuje asi tisíc druhov kryptomien, hoci všetky používajú algoritmy a protokoly najslávnejšieho začiatočníka - Bitcoin .

Proces ťažby je riešením zložitých problémov náročných na zdroje na získanie jedinečného súboru údajov potvrdzujúcich pravosť platobných transakcií. Rýchlosť hľadania a počet jednotiek kryptomeny získaných ako odmena sa v rôznych menových systémoch líši, no v každom prípade si vyžadujú značné výpočtové zdroje. Výkon ťažobného hardvéru sa zvyčajne meria v megahashe (MHash) a gigahashe (GHash). Keďže zložitosť ťažby najdrahších kryptomien je už dlho nedosiahnuteľná na jednom počítači, špeciálne farmy, čo sú výkonné výpočtové systémy na priemyselnej úrovni a bazényťažba - počítačové siete, v ktorých je proces ťažby rozdelený medzi všetkých účastníkov siete. Ťažba v spoločnom fonde je pre bežného užívateľa jediným spôsobom, ako sa podieľať na získaní aspoň malého zisku z procesu vytvárania kryptomien. Bazény ponúkajú rôzne modely rozdeľovania zisku, vrátane výkonu klientskeho zariadenia. Je celkom jasné, že nahnaním desiatok, stoviek a dokonca tisícok počítačov infikovaných baníkom do bazéna získajú útočníci určitý zisk z využívania počítačového vybavenia iných ľudí.

Ťažobné vírusy sú zamerané na dlhodobé používanie počítača obete a v prípade infekcie zvyčajne nainštalujú pomocný softvér, ktorý obnoví hlavný ťažobný program, ak je poškodený, odstránený antivírusom alebo z nejakého dôvodu zlyhá. Prirodzene, hlavný program je nakonfigurovaný tak, že výsledky ťažby sú prepojené s účtami útočníkov v použitom fonde. Hlavný program využíva legálny ťažobný softvér, ktorý sa sťahuje z oficiálnych webových stránok o kryptomenách alebo špeciálnych zdrojov a v skutočnosti nejde o škodlivý softvér (vírus, vírusový softvér – softvér). Rovnaký softvér si môžete stiahnuť a nainštalovať sami do svojho počítača bez toho, aby ste vyvolali zvláštne podozrenie na antivírus používaný vo vašom systéme. A to nesvedčí o nízkej kvalite antivírusového softvéru, ale skôr o opaku – absencii falošných poplachových udalostí, pretože celý rozdiel medzi ťažbou užitočnou pre používateľa a ťažbou užitočnou pre útočníka spočíva v tom, kto bude vlastniť jeho výsledky, t.j. z účtu v bazéne.

Ako už bolo spomenuté, hlavným znakom infikovania systému baníkom je intenzívne využívanie zdrojov nejakým programom sprevádzané zvýšením hladiny hluku systémovej jednotky, ako aj teploty komponentov. Okrem toho v prostredí multitaskingu vírus spravidla pracuje s najnižšou prioritou a využíva systémové prostriedky iba vtedy, keď je počítač nečinný. Obrázok vyzerá takto: počítač nie je ničím zaneprázdnený, je nečinný a jeho teplota komponentov a hluk vydávaný ventiláciou pripomínajú herný režim v nejakej veľmi náročnej počítačovej strieľačke. V praxi sa však vyskytli prípady, keď priorita ťažobných programov bola nastavená na štandardnú hodnotu, čo viedlo k prudkému poklesu užitočného výkonu. Počítač sa začal strašne „spomalovať“ a bolo takmer nemožné ho používať.

Odstránenie baníka pomocou návratu do bodu obnovenia

Najjednoduchší spôsob, ako sa zbaviť nechceného softvéru, je vrátiť systém Windows do predchádzajúceho stavu pomocou bodov obnovenia, čo sa často nazýva vrátenie systému. To si vyžaduje, aby bol vytvorený bod obnovenia v čase, keď infekcia ešte nenastala. Ak chcete spustiť nástroj na obnovenie, môžete použiť kombináciu klávesov Win + r a zadať príkaz rstrui.exe vo vstupnom poli, ktoré sa otvorí. Alebo použite hlavné menu – „Programy – Príslušenstvo – Systémové nástroje – Obnovenie systému“. Potom vyberte požadovaný bod obnovenia a vráťte sa k nemu. Pri úspešnom návrate je vo väčšine prípadov možné zbaviť sa vírusu bez veľkého úsilia. Ak neexistuje vhodný bod obnovy alebo vrátenie vírusu neneutralizovalo, budete musieť hľadať zložitejšie spôsoby, ako tento problém vyriešiť. V tomto prípade môžete použiť štandardné nástroje operačného systému alebo špecializované programy, ktoré umožňujú vyhľadávať a ukončovať procesy, získavať informácie o ich vlastnostiach, prezerať a upravovať spúšťacie body programu, kontrolovať digitálne podpisy vydavateľov atď. Takáto práca si vyžaduje určitú používateľskú kvalifikáciu a zručnosti pri používaní príkazového riadka, editora registra a iných pomocných programov. Používanie niekoľkých antivírusových skenerov od rôznych výrobcov, programov na čistenie systému a odstránenie nežiaduceho softvéru nemusí priniesť pozitívny výsledok a v prípade baníka to zvyčajne nie je.

Nájdenie a odstránenie baníka pomocou nástrojov z balíka Sysinternals Suite

Problémom pri identifikácii programov používaných na ťažbu je, že väčšina antivírusových programov ich nezistí, pretože v skutočnosti nejde o vírusy. Existuje možnosť, že antivírus môže zabrániť procesu inštalácie baníka, pretože používa neobvyklé softvérové ​​​​nástroje, ale ak sa tak nestane, pravdepodobne budete musieť vyhľadať a odstrániť škodlivý (z pohľadu vlastník infikovaného počítača) program manuálne. Pre vašu informáciu, v júni 2017 priemerná úroveň detekcie škodlivosti takéhoto softvéru, napríklad pomocou dobre známeho zdroja Virustotal zosumarizované do celkovej sumy 15-20/62 – t.j. zo 62 antivírusov ho len 15-20 považovalo za škodlivý program. Okrem toho do tejto skupiny nie sú zahrnuté najobľúbenejšie a najkvalitnejšie antivírusové programy. V prípade známych vírusov alebo vírusov objavených relatívne nedávno môže byť úroveň detekcie škodlivého softvéru vyššia v dôsledku podpisov v antivírusových databázach a niektorých dodatočných opatrení, ktoré prijali vývojári antivírusových programov. Ale to všetko nie vždy umožňuje zbaviť sa vírusu baníkov bez ďalšieho úsilia, ktoré bude potrebné vynaložiť na vyriešenie problému.

Nižšie je uvedený praktický prípad infikovania systému banským malvérom. K infekcii došlo použitím upravených herných programov stiahnutých z jedného z nedôveryhodných sledovačov torrentov. Aj keď spôsob infekcie môže byť odlišný, ako pri akomkoľvek inom malvéri – sledovanie odkazov na neoverené zdroje, otváranie príloh e-mailov atď.

Sada ťažobného malvéru v prospech útočníkov implementuje nasledujúce funkcie:

Zabezpečenie vášho automatického spustenia. Jeden alebo viacero programov upravuje kľúče databázy Registry tak, aby sa automaticky spustili v prípade neočakávaného vypnutia, reštartu alebo výpadku napájania. Pravidelne (približne raz za minútu) sa kľúče databázy Registry kontrolujú a v prípade ich porušenia (odstránenia, zmeny) sa obnovia.

Automatické spustenie ťažobného programu. Program sa tiež spúšťa automaticky a jeho parametre automatického spúšťania sú monitorované a obnovované jedným alebo viacerými pomocnými programami.

Zatiaľ čo v pamäti počítača bežia procesy, ktoré zabezpečujú automatické spustenie, nemá zmysel odstraňovať spustiteľné súbory a položky registra – aj tak sa obnovia. Preto je v prvej fáze potrebné identifikovať a násilne ukončiť všetky procesy, ktoré zabezpečujú automatický reštart škodlivých programov.

Na nájdenie a odstránenie baníckeho vírusu v moderných operačných systémoch môžete použiť štandardné nástroje alebo napríklad funkčnejší softvér z balíka Suita Sysinternals od spoločnosti Microsoft

- Process Explorer– umožňuje zobraziť podrobné informácie o procesoch, vláknach, využití zdrojov atď. Môžete zmeniť priority, pozastaviť (obnoviť) prácu potrebných procesov, zabíjať procesy alebo spracovávať stromy. Nástroj je vhodný na analýzu vlastností procesov a vyhľadávanie škodlivého softvéru.

- Autoruns– pohodlný spôsob ovládania automatického spúšťania programov. Ovláda takmer všetky automatické spúšťacie body, od spúšťacích priečinkov až po úlohy plánovača. Umožňuje rýchlo odhaliť a izolovať programy, ktoré nechcete spúšťať.

Pomôcku môžete použiť aj ako pomocný softvér Monitor procesu, ktorý v zložitých prípadoch umožňuje sledovať aktivitu konkrétnych programov pomocou filtrov (prístup do registra, súborového systému, siete atď.) Rovnako ako utilita SearhMyfiles od Nirsoft, ktorá je vhodná na vyhľadávanie súborov a priečinkov, hlavná ktorého vlastnosťou je schopnosť vyhľadávať súbory a priečinky pomocou časových pečiatok súborového systému NTFS (Time stamp). Ako kritériá vyhľadávania môžete zadať časové rozsahy vytvorenia, úpravy a prístupu pre súbory a priečinky (Vytvorené, Upravené, Sprístupnené). Ak poznáte približný čas infekcie alebo ohrozenia, môžete zhromaždiť úplný zoznam súborov, ktoré boli vytvorené alebo upravené počas daného obdobia.

Ale opakujem, na nájdenie a odstránenie baníkov spravidla stačí použiť štandardné nástroje Windows - správcu úloh a editor registra. Vyššie uvedený softvér sa jednoducho používa a je pohodlnejší na vyhľadávanie škodlivého softvéru.

Informácie o využití systémových prostriedkov zobrazené v Process Explorer:

Stĺpec CPU Zobrazuje mieru využitia CPU rôznymi procesmi. Proces nečinnosti systému- nejde o proces, ale o indikáciu nečinného režimu (nečinnosti) programom. V dôsledku toho vidíme, že procesor je v nečinnom režime 49,23 % času, niektoré procesy využívajú stovky jeho zdrojov a hlavným spotrebiteľom CPU je proces system.exe- 49,90 %. Dokonca aj pri povrchnej analýze vlastností procesu system.exe, existujú zjavné skutočnosti, ktoré vyvolávajú dôvodné podozrenie:

Podivný popis (Description) – Microsoft Center

Zvláštny názov spoločnosti - www.microsoft.com Ostatné procesy, ktoré v skutočnosti súvisia so spoločnosťou Microsoft, majú riadok ako popis Microsoft Corporation

Podrobnejšiu analýzu vykonáte cez kontextové menu vyvolané pravým tlačidlom myši - položka Vlastnosti:

Spustiteľná cesta ProgramData\System32\system.exe je tiež zjavne podozrivý a kliknutím na príslušné tlačidlo prejdete do priečinka so spustiteľným súborom Preskúmajte ukázal, že samotný priečinok aj spustiteľný súbor majú atribúty „Skryté“. No a parametre príkazového riadku:

-o stratum+tcp://xmr.pool.minergate.com:45560 --donate-level=1 -u [e-mail chránený]*-p x -t2 –k jasne naznačujú, že proces system.exe je banícky program (na používanie pools pool.minergate.com).

Lúka Miesto automatického spustenia obsahuje hodnotu n/a, čo znamená, že tento proces nemá žiadne automatické počiatočné body. Rodičovský proces pre system.exe má PID=4928 a momentálne neexistuje ( Neexistujúci proces), čo s najväčšou pravdepodobnosťou naznačuje, že proces bol spustený pomocou dávkového súboru alebo programu, ktorý dokončil svoju prácu po spustení. Tlačidlo Overiť je navrhnutý tak, aby vynútil kontrolu prítomnosti nadradeného procesu.

Tlačidlo Proces zabíjania umožňuje ukončiť aktuálny proces. Rovnakú akciu možno vykonať pomocou kontextového menu po kliknutí pravým tlačidlom myši pre vybraný proces.

Tab TCP/IP umožňuje získať zoznam sieťových pripojení procesu system.exe:

Ako vidíte, proces system.exe má vytvorené spojenie medzi lokálnym počítačom a vzdialeným serverom static.194.9.130.94.clients.your-server.de:45560.

V tomto reálnom prípade mal proces system.exe minimálnu prioritu a nemal takmer žiadny vplyv na fungovanie iných procesov, ktoré nevyžadovali zvýšenú spotrebu zdrojov. Aby ste však mohli posúdiť vplyv na správanie infikovaného systému, môžete nastaviť prioritu baníka na rovnakú úroveň ako priorita legálnych programov a posúdiť stupeň zhoršenia užitočného výkonu počítača.

Keď násilne ukončíte systémový exe proces, po niekoľkých sekundách sa znova spustí. Preto reštart zabezpečuje nejaký iný program alebo služba. Keď budete pokračovať v prezeraní zoznamu procesov, proces Security.exe je v prvom rade podozrivý.

Ako vidíte, na spustenie programu Security.exe používa sa bod automatického spustenia zo štandardnej ponuky používateľských programov a spustiteľný súbor Security.exe nachádza v rovnakom skrytom priečinku C:\ProgramData\System32

Ďalším krokom je vynútenie ukončenia Security.exe, a potom - system.exe. Ak po tomto procese system.exe sa už nespustí, potom môžete začať odstraňovať škodlivé súbory a systémové nastavenia spojené s fungovaním malvéru. Ak proces system.exe sa opäť spustí, potom treba pokračovať vo vyhľadávaní pomocných programov, ktoré zabezpečia jeho spustenie. Ako poslednú možnosť môžete postupne ukončiť všetky procesy jeden po druhom, pričom vždy ukončíte system.exe, kým sa nezastaví reštart.

Ak chcete nájsť a zakázať body automatického spustenia, je vhodné použiť pomôcku Autoruns z balíka Sysinternals Suite:

Na rozdiel od štandardného nástroja msconfig.exe nástroj Autoruns zobrazuje takmer všetky možné možnosti automatického spúšťania programov, ktoré existujú v danom systéme. Štandardne je zobrazené všetko (záložka Všetko), no v prípade potreby je možné jednotlivé záznamy filtrovať podľa typu prepnutím na záložky v hornej časti okna (Známe DLL, Winlogon, ... Appinit).

Pri hľadaní záznamov, ktoré umožňujú automatické spustenie škodlivých programov, prvá vec, ktorú musíte venovať pozornosť, je absencia digitálneho podpisu vývojára v stĺpci Vydavateľ. Takmer všetky moderné právne programy sú digitálne podpísané, až na zriedkavé výnimky, ktoré spravidla zahŕňajú softvérové ​​produkty tretích strán alebo ovládače/služby od spoločnosti Microsoft. Druhým alarmujúcim princípom je chýbajúci popis v stĺpci Popis. V tomto konkrétnom prípade je podozrivá položka, ktorá otvára odkaz Security.lnk v spúšťacom priečinku používateľa:

C:\Users\Student\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Skratka odkazuje na súbor c:\programdata\system32\security.exe

Časová pečiatka uvádza dátum a čas infekcie systému - 23.06.2017 19:04

Ktorúkoľvek z položiek zobrazených obslužným programom Autoruns je možné odstrániť alebo deaktivovať s možnosťou ďalšej obnovy. Ak chcete odstrániť, použite kontextové menu alebo kláves Del. Ak chcete zakázať, zrušte začiarknutie vybranej položky.

Skrytý priečinok c:\programdata\system32\ možno odstrániť spolu s celým jeho obsahom. Potom reštartujte a skontrolujte neprítomnosť škodlivých procesov.

Ako nájsť skrytého baníka?

Skrytý baník je trójsky kôň, ktorý využíva procesorový výkon obete na ťažbu digitálnej meny s názvom Monera. Po nainštalovaní tento trójsky kôň nainštaluje Monero pod menom NsCpuCNMiner32.exe A NsCpuCNMiner64.exe, ktorý sa pokúša spustiť Monero pomocou zdrojov CPU vášho počítača, spotrebuje zdroje vášho počítača.

Baník CNMiner funguje po spustení programu tzv CNMiner.exe ktorý potom beží NsCpuCNMiner32.exe A NsCpuCNMiner64.exe v závislosti od toho, či je nainštalovaný počítač 32-bitový alebo 64-bitový. Po spustení začne baník využívať všetok výpočtový výkon počítača na ťažbu meny Monero v banskom fonde mine.moneropool.com. Na obrázku nižšie môžete vidieť, koľko zdrojov CPU baník využíva.

CNMiner pracuje v správcovi úloh
CNMiner bežiaci v Správcovi úlohNa tejto infekcii je obzvlášť alarmujúce, že na neurčito spotrebuje všetok výpočtový výkon vášho procesora. To spôsobí, že váš procesor bude dlhší čas pracovať pri veľmi vysokých teplotách, čo môže skrátiť životnosť procesora.

Keďže neexistuje žiadny náznak, že program beží, tu je zoznam príznakov, ktoré môže používateľ použiť na zistenie, či je infikovaný Miner Mining:
NsCpuCNMiner32.exe, NsCpuCNMiner64.exe alebo C NMiner spustiteľný v správcovi úloh.
Windows sa minimalizuje a maximalizuje pomaly, hry bežia pomalšie a videá sa zasekávajú.

Programy sa nespúšťajú tak rýchlo.
Všeobecná pomalosť pri používaní počítača.
Ako to bolo nainštalované Banícky baníctvo na mojom počítači?

V súčasnosti neznámy ako baník CNMiner je nainštalovaný na počítači obete. Dá sa nainštalovať manuálne hacknutím vývojára do počítača alebo spolu s iným malvérom. Preto je dôležité mať vždy nainštalovaný dobrý bezpečnostný program na monitorovanie neoprávnených a škodlivých programov. Ako môžete vidieť, CNMiner baník je program, ktorý kradne zdroje vášho počítača a vašu elektrinu a profituje z toho. Ak chcete, aby váš počítač opäť normálne fungoval a chránil váš počítač, mali by ste použiť nižšie uvedenú príručku na bezplatné odstránenie tohto trójskeho koňa.

24-bodový sprievodca! odstránením Minera

1 Tento sprievodca odstránením môže byť zdĺhavý kvôli počtu krokov a početným programom, ktoré budú použité. Článok bol napísaný s cieľom poskytnúť jasné, podrobné a ľahko pochopiteľné pokyny, ktoré môže ktokoľvek použiť na odstránenie tohto vírusu zadarmo. Pred použitím tejto príručky vám odporúčame, aby ste si ju raz prečítali a stiahli si všetky potrebné nástroje na plochu. Po dokončení si túto stránku vytlačte, pretože možno budete musieť zavrieť okno prehliadača alebo reštartovať počítač.

2 Ak chcete prerušiť všetky programy, ktoré môžu narúšať proces odinštalovania, musíme si daný program najskôr stiahnuť Rkill. Rkill bude hľadať aktívne malvérové ​​infekcie vo vašom počítači a pokúsi sa ich zastaviť, aby nezasahovali do procesu odstraňovania. Ak to chcete urobiť, stiahnite si RKill na pracovnú plochu pomocou nasledujúceho odkaz.

Na stránke sťahovania kliknite na tlačidlo Prevziať teraz s nápisom iExplore.exe. Keď sa zobrazí výzva na uloženie, uložte ho na plochu.

3 Po stiahnutí dvakrát kliknite na ikonu iExplore.exe automaticky pokúsiť zastaviť všetky súvisiace procesy CNMiner Monero Miner a ďalší malvér. Buďte trpezliví, kým program vyhľadá rôzne malware a dokončí ich. Po dokončení sa čierne okno automaticky zatvorí a otvorí sa súbor denníka. Skontrolujte súbor denníka a zatvorte ho, aby ste mohli pokračovať ďalším krokom. Ak máte problémy so štartovaním RKill, môžete si stiahnuť ďalšie premenované verzie RKill zo stránky sťahovania Rkill. Všetky súbory sú premenované na kópie RKill, ktorú môžete namiesto toho vyskúšať. Upozorňujeme, že stránka na stiahnutie sa otvorí v novom okne alebo karte prehliadača. Po spustení počítač nereštartujte RKill, pretože malvér začne znova fungovať.

4 Teraz stiahnite Emsisoft Anti-Malware, ktorý skenuje a odstraňuje akýkoľvek iný adware, ktorý môže byť súčasťou tohto adwaru. Stiahnite si a uložte inštalačný program Emsisoft Anti-Malware na vašu plochu pomocou odkazu

5 Po stiahnutí súboru dvakrát kliknite na ikonu EmsisoftAntiMalwareSetup_bc.exe na spustenie programu. Ak Inteligentná obrazovka systému Windows dáva varovanie, aj tak ho nechajte bežať. Ak inštalačný program zobrazí varovanie o núdzovom režime, kliknite "Áno", pokračovať. Teraz by sa malo zobraziť dialógové okno so žiadosťou o súhlas s licenčnou zmluvou. Zadajte zmluvu a kliknutím na tlačidlo Inštalovať pokračujte v inštalácii.

6 Nakoniec sa zobrazí obrazovka s otázkou, s akým typom licencie chcete používať Emsisoft Anti-Malware.

Obrazovka výberu licencie Ak máte existujúci licenčný kľúč alebo si chcete kúpiť nový licenčný kľúč, vyberte príslušnú možnosť. V opačnom prípade vyberte Freeware alebo Test za 30 dní, bezplatná možnosť. Ak po kliknutí na toto tlačidlo dostanete varovanie, jednoducho kliknite na tlačidlo "Áno" prepnite do režimu voľného prístupu, ktorý vám tiež umožňuje vyčistiť infikované súbory.

7 Teraz sa pozrite na obrazovku a vyberte, či sa chcete pripojiť k sieti Anti-Malware Emsisoft. Prečítajte si popisy a pokračujte výberom svojho výberu.

8 Emsisoft Anti-Malware sa teraz začne aktualizovať.

Buďte trpezliví, pretože sťahovanie aktualizácií môže trvať niekoľko minút.

9 Po dokončení aktualizácií sa na obrazovke zobrazí otázka, či chcete povoliť zisťovanie PUP. Dôrazne odporúčame vybrať si " Povoliť detekciu mláďat» na ochranu vášho počítača pred nepríjemnými programami takýto adware neodporúčame.

10 Teraz na obrazovke vidíme konečnú ponuku inštalácie. Kliknite na tlačidlo "pripravený" na dokončenie nastavenia a automatické spustenie Emsisoft Anti-Malware.

11 Emsisoft Anti-Malware teraz sa spustí a zobrazí úvodná obrazovka.

Po zobrazení úvodnej obrazovky antivírusu Emsisoft, kliknite ľavým tlačidlom myši na sekciu "skenovanie".

12 Teraz vyberte, aký typ skenovania chcete vykonať.

Obrazovka výberu skenovania Výberom možnosti skenovania malvéru spustíte skenovanie počítača na prítomnosť infekcií. Možnosť Skenovanie škodlivého softvéru bude trvať dlhšie ako Rýchla kontrola ale bude aj najdôkladnejšia. Keďže ste tu, aby ste vyčistili infekcie, oplatí sa počkať, aby ste sa uistili, že váš počítač je skontrolovaný správne.

13 Emsisoft Anti-Malware teraz začne skenovať váš počítač na prítomnosť rootkitov a malvéru. Upozorňujeme, že zistené infekcie na obrázku nižšie sa môžu líšiť od toho, na čo je určená táto príručka.

Obrazovka skenovania Buďte opatrní, kým Emsisoft Anti-Malware skenuje váš počítač.

14 Po dokončení kontroly program zobrazí výsledky kontroly, ktoré ukazujú, ktoré infekcie boli zistené. Upozorňujeme, že z dôvodu aktualizovanej verzie Emsisoft Anti-Malware sa snímka obrazovky nižšie môže líšiť od zvyšku príručky.

Výsledky kontroly Teraz kliknite na tlačidlo Karanténa, čím sa odstránia infekcie a umiestnia sa do karantény v programe. Teraz budete na poslednej obrazovke inštalačného programu Emsisoft Anti-Malware, ktorý môžete zavrieť. Ak vás Emsisoft vyzve na reštartovanie počítača na dokončenie procesu čistenia, povoľte mu to. V opačnom prípade môžete program zatvoriť.

15 Teraz si stiahnite AdwCleaner a uložte ho na plochu. AdwCleaner vyhľadá vo vašom počítači adware programy, ktoré mohli byť nainštalované na vašom počítači bez vášho vedomia. AdwCleaner si môžete stiahnuť z nasledujúcej adresy URL

16 Keď AdwCleaner dokončí sťahovanie, dvakrát kliknite na ikonu AdwCleaner.exe, ktorá sa teraz zobrazí na vašej pracovnej ploche. Po dvojitom kliknutí na ikonu sa otvorí program AdwCleaner a bude vám poskytnutá licenčná zmluva programu. Po prečítaní kliknite na tlačidlo Súhlasím, ak chcete pokračovať. V opačnom prípade zatvorte program kliknutím na tlačidlo Nesúhlasím. Ak sa vás systém Windows opýta, či chcete spustiť AdwCleaner, povoľte jeho spustenie.

Ak sa rozhodnete pokračovať, zobrazí sa úvodná obrazovka, ako je uvedené nižšie.

17 Teraz kliknite na tlačidlo Skenovať v programe AdwCleaner. Program teraz začne hľadať známe adware programy, ktoré môžu byť nainštalované na vašom počítači. Po dokončení sa zobrazia všetky položky nájdené v sekcii Výsledky na obrazovke vyššie. Skontrolujte výsledky a pokúste sa zistiť, či uvedené programy obsahujú programy, ktoré nechcete inštalovať. Ak nájdete programy, ktoré si chcete ponechať, zrušte začiarknutie príslušných položiek. Pre mnohých ľudí sa môže obsah sekcie Výsledky zdať mätúci. Ak nevidíte názov programu, o ktorom viete, že by sa nemal odstraňovať, pokračujte ďalším krokom.

18 Ak chcete odstrániť adware programy zistené v predchádzajúcom kroku, kliknite na tlačidlo Clean na obrazovke AdwCleaner. AdwCleaner vás teraz vyzve na uloženie všetkých otvorených súborov alebo údajov, pretože program musí pred začatím čistenia ukončiť všetky otvorené programy. Uložte svoju prácu a kliknite na tlačidlo OK. Teraz AdwCleaner odstráni všetok zistený adware z vášho počítača. Keď to urobíte, zobrazí sa varovanie, ktoré vysvetľuje, čo sú PUP (potenciálne nechcené programy) a adware. Prečítajte si tieto informácie a kliknite na tlačidlo OK. Teraz sa vám zobrazí varovanie, ktoré vám povie, že AdwCleaner potrebuje reštartovať počítač.

Tip na reštartovanie AdwCleaner Kliknite na OK, aby AdwCleaner reštartoval váš počítač.

19 Keď sa váš počítač reštartuje a vy ste prihlásení, AdwCleaner automaticky otvorí súbor denníka obsahujúci súbory, kľúče registra a programy, ktoré boli odstránené z vášho počítača.

Protokol AdwCleaner Skontrolujte tento protokolový súbor a zatvorte okno Poznámkový blok.

Napíšte do komentárov svoje problémy týkajúce sa trójskych koní a či je potrebný nový článok o iných typoch skrytých baníkov.

Skryté ťažiari kryptomien nie sú novou témou, aj keď neexistujú takmer žiadne slušné technické návody na ich odhalenie a odstránenie. Existuje len množstvo roztrúsených informácií a článkov pochybného obsahu. prečo? Pretože z ťažby kryptomien v globálnom meradle profitujú všetci, samozrejme okrem tých, ktorí z nej nedostanú ani cent a ani len netušia, že sa stali jej súčasťou. A skutočne, princíp skrytej ťažby sa môže stať niečím viac než len dostať mince do vrecka niekoho iného.

Koncept skrytej ťažby

Nehovoríme tu o ťažbe, ktorá je zatiaľ skrytá pred bývaním a komunálnymi službami, ale o skrytej ťažbe mincí na bežnom počítači, a to aj napriek tomu, že sám majiteľ počítača o tom nemá tmy. . Inými slovami, na ťažbu kryptomien je možné použiť nielen svoj vlastný počítač, ale aj stroje mnohých iných ľudí.

A nie je potrebné, aby sa zaťaženie grafickej karty alebo procesora zvýšilo na 100% - títo inteligentní chlapci sú opatrní a nezaťažia stroj člena svojej siete na neprimerané limity. V zásade si nemusíte všimnúť veľký rozdiel, ak máte dosť výkonnú techniku. To je dôležitá podmienka pre zachovanie skrytej práce baníka.

Prvýkrát sa oficiálne správy o fenoméne skrytej ťažby začali objavovať v roku 2011 a v roku 2013 už došlo k masívnej infekcii PC v rôznych krajinách cez Skype. Navyše, trójske kone nielen ťažili, ale získali aj prístup k bitcoinovým peňaženkám.

Najznámejším prípadom je pokus vývojárov μTorrent získať peniaze navyše od používateľov zavedením skrytého baníka EpicScale do softvéru.

Alexej Russkikh

Téma baníctva sa v posledných rokoch stala aktívne populárnou. Čoraz viac ľudí sa zaujíma o kryptomeny, ich ťažbu a výhody, ktoré môžu priniesť. A čím viac ľudí je do niečoho zapojených, tým väčšia je pravdepodobnosť, že sa objaví niečo škodlivé. Jedným z príkladov škodlivého softvéru je skrytý ťažobný program.

V tomto článku vám povieme, ako nájsť skrytého baníka v počítači.

Čo je skrytý baník

Skrytý baník (stealth miner, miner bot, botnet) je program, ktorý automaticky vykonáva ťažbu bez toho, aby si to používateľ všimol. To znamená, že ide o softvér tretej strany, ktorý je nainštalovaný v počítači, využíva svoje zdroje a prenáša všetky zarobené prostriedky do peňaženky vývojára.

Banícke roboty sa stali rozšírenými, pretože ťažba neustále rastie v popularite. Vývojári malvéru sa preto rozhodli zarobiť peniaze aj týmto spôsobom.

Fóra tvorcov vírusov sú plné ponúk na vytvorenie, kúpu alebo predaj skrytého baníka.

Botnety sú zamerané výlučne na kancelárske počítače. Zvyčajne majú slabú grafickú kartu, takže nemôžu využívať zdroje procesora GPU. Preto musíte ťažiť na centrálnom procesore.

Najzaujímavejšie je, že ľudia, ktorí sa zaoberajú skrytou ťažbou, z toho majú relatívne malé výhody. Približne 200 infikovaných kancelárskych počítačov prinesie tvorcovi softvéru približne 30 dolárov mesačne. A aby ste dosiahli nejaký slušný príjem, budete musieť infikovať niekoľko tisíc počítačov.

Tvorcov softvéru zachraňuje to, že nájsť skrytého baníka nie je také jednoduché a neexistujú žiadne dobré online manuály na nájdenie a odstránenie škodlivého softvéru. Ale predtým, ako sa porozprávame o tom, ako nájsť a odstrániť baníckeho robota, poďme zistiť, ako to môže byť nebezpečné pre priemerného používateľa PC.

Prečo je skrytý baník nebezpečný pre počítač

Práca stealth baníka je na prvý pohľad veľmi podobná vírusu. Tiež sa maskuje ako systémový súbor, tiež vykonáva niektoré operácie a načítava systém. Je tu len jedna vec. Vírus je škodlivý program, ktorý priamo poškodzuje systém a váš počítač.

Skrytý baník funguje podľa inej schémy. Jednoducho využíva zdroje vášho CPU na ťažbu kryptomeny (bitcoinov) do peňaženky svojho tvorcu. A väčšina antivírusových programov nemôže nájsť a preto neutralizovať tento program.

Hlavný problém a nebezpečenstvo spočíva v tom, že botnet je pre väčšinu antivírusových programov neviditeľný. To znamená, že si musíte poradiť sami, čo je pre bežného používateľa dosť ťažké. Väčšina ľudí netuší, kde je register, nehovoriac o tom, ako proces sledovať, ako ho úplne „zabiť“, aby sa nemohol obnoviť.

A ak k tomu pridáme skutočnosť, že vývojárom ťažobných robotov sa často podarí urobiť svoj program úplne neviditeľným v štandardnom správcovi úloh, potom detekcia vo väčšine prípadov závisí od vášho „pocitu“, či je počítač silne zaťažený. Len málokto si predsa len nainštaluje špeciálny softvér, bude hľadať problémy a snažiť sa ich riešiť.

Ako nájsť botnet v počítači

Ak máte podozrenie, že sa vo vašom počítači nachádza program „skrytý baník“, mali by ste:

• skontrolujte, ako sa počítač správa pri bežnom zaťažení (práca v jednoduchých programoch, sedenie v prehliadači);
• uvidíte, čo sa zmení pri vysokom zaťažení grafickej karty a procesora (spúšťajte náročné hry);
• spustite program AIDA64 a pozrite si zaťaženie grafickej karty a procesora;
• porovnať všetky údaje.

Stealth baníci reagujú, keď spustíte správcu úloh. Okamžite zastavia svoju prácu a ukazovatele sa vrátia do normálu. Preto takýto softvér nemožno zistiť pomocou správcu úloh.

Niektorí ťažobní roboti môžu po určitom čase vypnúť správcu úloh. Často je tento čas asi 5 minút. A ak si všimnete, že sa váš správca úloh vypne, keď ho zapnete a odídete, vedzte, že tu niečo nie je v poriadku.

Skrytý baník môžete jednoducho odstrániť bez inštalácie ďalších programov. Toto sa vykonáva nasledovne (stručné pokyny):

1. Ideme po ceste: Ovládací panel > Správa počítača > Správca úloh > Podrobnosti.
2. Hľadáme úlohu, ktorá sa líši od štandardných. Často je to len kopa náhodných postáv.
3. Na karte „Akcie“ táto úloha spustí súbor ako „64gdfgsd2f.exe“ (názov sa môže líšiť).
4. Botnet sa zvyčajne skrýva za súbormi aktualizácie systému. Ideme do vyhľadávača a uvidíme, čo tento súbor spúšťa.
5. Používame vyhľadávanie v registri. Odstraňujeme všetky presné zhody.

Najčastejšie sa tieto škodlivé súbory nachádzajú v C:\users\username\appdata.

Toto je jednoduchý spôsob, ako odstrániť stealth baníka sami. Rovnaký algoritmus môžete použiť, ak má váš prehliadač príliš veľa reklám tretích strán, otvára sa automaticky alebo sa jednoducho správa zvláštne.

Ako sa chrániť v budúcnosti

Úplne sa chrániť pred robotom baníkov je nemožné. Koniec koncov, nič na internete nie je úplne bezpečné. Tvorcovia malvéru hrajú „preteky v zbrojení“ s tvorcami antivírusového softvéru a bežní používatelia často nechápu, kam idú a aký druh súboru je nainštalovaný na pozadí ich počítača.

Hlavnou zraniteľnosťou každého systému je ľudský faktor. Aby ste sa ochránili pred botnetom, musíte sa dôkladne pozrieť na to, aké stránky navštevujete, čo si sťahujete a inštalujete do svojho počítača. Ak prehliadač neustále hovorí, že táto stránka nie je bezpečná, je lepšie ju nenavštevovať alebo aspoň odtiaľ nič nesťahovať.

Je tiež užitočné hľadať príčiny oneskorení a spomalení na vašom PC. Ak váš počítač náhle začne „zaostávať“ a musíte znížiť nastavenia, aby ste mohli hrať pohodlne, potom má zmysel pozrieť sa na to, aké procesy bežia, a ak medzi nimi existujú nejaké, ktoré jasne vynikajú, musíte skontrolovať svoje počítač na prítomnosť baníckeho robota.

Ľudia, ktorí vytvárajú malvér, neustále aktualizujú programy, aby ich bolo ťažšie odhaliť. Zakaždým je čoraz ťažšie odhaliť botnet. Aktualizujte vírusové databázy v počítači. Antivírusové programy, aj keď nezaručujú ochranu pred skrytými ťažiarmi, tomu teraz venujú oveľa väčšiu pozornosť, aby zabránili rozsiahlemu šíreniu softvéru, ktorý využíva počítačové zdroje na svoje účely.

Záver

Hidden miner je škodlivý softvér. Nespôsobuje síce priame poškodenie systému, ale pomerne výrazne spomaľuje počítač.

A ak nechcete, aby niekto používal zdroje vášho počítača na osobný zisk, použite jednoduché tipy v tomto článku. S ich pomocou môžete odhaliť baníckeho robota a odstrániť ho.