Вас "майнять": як виявити і знешкодити прихований майнінг
Випадки прихованого майнінгу ростуть у геометричній прогресії. За даними антивірусної компанії Symantec, за 2017 рік вони почастішали у 340 разів.
Тільки в березні 2018 року антивірусна компанія Malwarebytes зафіксувала 16 млн спроб прихованого майнінгу криптовалют. За перші три місяці 2018 року кількість таких випадків зросла на 4000% порівняно з попереднім кварталом.
У той же час, відзначають дослідники, на 35% знизилося число атак за участю вірусів-вимагачів. Хоча ще недавно такі атаки були найбільш популярними — згадати хоча б резонансні віруси WannaCry і Petya.
За даними Національного центру кібербезпеки Великобританії, прихований майнінг буде головною загрозою для інтернет-користувачів, як мінімум, у найближчі два роки. ЕП з'ясовувала, як визначити, що на пристрої працює прихований майнер, і як убезпечити себе від цієї напасті.
Що це таке
Прихований майнер — stealth miner, майнер-бот, ботнет — програма, яка в автоматичному режимі веде майнінг непомітно для користувача. Це додаткове програмне забезпечення, яке встановлюється на комп'ютер, використовує його ресурси і переказує заробіток на гаманець розробника.
Робота майнера дуже схожа на дію вірусу. Він теж маскується під системний файл, робить певні операції і вантажить систему, але є одне "але".
Вірус — це програма, яка шкодить системі. Прихований майнер діє за іншою схемою. Він просто використовує ресурси процесора гаджета, щоб добувати криптовалюту і переказувати її в гаманець свого творця.
На відміну від класичних вірусів, які крадуть і пересилають дані з комп'ютера, віруси-майнери використовують його технічні потужності.
Хто може стати жертвою
Жертвою прихованого майнера може стати кожен користувач. Під загрозою — не тільки сервери великих компаній, а й домашні комп'ютери, особливо ігрові. Майнери працюють на всіх платформах, пристроях, операційних системах і браузерах. Таким чином, від них не захищений ніхто.
Свою роль у цьому відіграла поява монет, для видобування яких не потрібні майнінг-ферми. Для них достатньо середніх за потужністю пристроїв. Найпопулярнішими криптовалютами у шахраїв є Monero і Zcash.
За даними ESET, програми-майнери поширюються кількома шляхами.
Перший — коли користувач шукає інформацію і потрапляє на скомпрометований сайт, куди зловмисники помістили шкідливий код, або на сайт, адміністратори якого додали в код частину інфікованого коду для заробітку на відвідувачах.
При відвідуванні такого сайту спрацьовує скрипт, який починає використовувати ресурси пристрою. Цей метод найбільш поширений і працює майже на всіх пристроях та операційних системах.
Другий — соціальні мережі або файлообмінники.
Користувачеві можуть приходити повідомлення від інших користувачів або підроблених акаунтів-ботів про те, що він нібито став переможцем в акції або конкурсі. Для отримання призу користувачеві пропонується перейти за посиланням, яке завантажує небезпечне програмне забезпечення.
Залежно від пристрою відбувається завантаження шкідливих програм. Для комп'ютера або ноутбука це файл .exe, для мобільного пристрою — .apk.
Також шкідливе програмне забезпечення може поширюватися на ігрових форумах. Користувачеві пропонують завантажити вірус під виглядом оновлення до гри або неліцензійної версії для безкоштовного користування.
Як виявити
Згідно з рекомендаціями ISSP, слід перевірити "Диспетчер завдань". При наявності майнера там буде відображатися великий відсоток завантаження центрального або графічного процесорів — у межах від 70% до 100%.
Перші симптоми присутності майнера — збої в роботі інформаційної системи, швидка розрядка акумулятора, перегрівання пристрою, наявність запущених підозрілих процесів, нетипове підвищення гучності роботи відеокарти, високий рівень використання електроенергії.
Чому це небезпечно
Якщо у пристрої "селиться" майнер, це може призвести до зростання споживання електроенергії і поломки гаджета, адже його ресурси буде використовувати шкідливе ПЗ. Також стануть набагато повільніше запускатися програми.
Ще менш приємною знахідкою, ніж сам майнер, може стати несанкціоноване використання паролів, у тому числі для отримання фінансової вигоди.
Крім того, якщо ботнет отримав доступ до пристрою, це може загрожувати змінами у роботі гаджета. Наприклад, деякі майнери блокують панель управління пристрою, через що користувач не може їх позбутися.
Як знешкодити
Фахівці ESET радять використовувати актуальні версії антивірусів, які блокують загрози на етапі завантаження. Якщо комп'ютер інфіковано, слід виконати його повне сканування і видалити небажані та потенційно небезпечні програми.
При потраплянні на інфікований сайт його потрібно закрити й очистити кеш браузера. Якщо вказаний сайт був доданий у закладки, його слід видалити. Якщо користувач зіткнувся з ботнетом, який не піддається цим заходам, краще звернутися до фахівця, щоб не погіршити ситуацію.
Цілющі сервіси
Для сканування пристрою на наявність шкідливого ПЗ можна використовувати безкоштовну утиліту Malwarebytes та її доповнення AdwCleaner.
Перший додаток перевіряє жорсткий диск та оперативну пам'ять на наявність вірусів, другий — на рекламні програми. Регулярне сканування з великою імовірністю убезпечить гаджети від прихованого майнінгу.
У браузері можна використовувати розширення ScriptBlock, NoCoin і MinerBlock, які блокують піратські скрипти і зупиняють потенційно небезпечні алгоритми.