Как не стать жертвой скрытого майнинга криптовалют
Майнинг криптовалют сегодня завоевал просто ошеломительную популярность. В Сети существует масса роликов, объясняющих как это делать в домашних условиях. Однако, сегодня мы предлагаем взглянуть на процесс добычи криптовалюты несколько в иной плоскости.
Современный трейдинг невозможен без использования компьютеров. Каждый трейдер начинает рабочий день с включения своей машины, запуска торговых терминалов, необходимых приложений и вкладок в браузере. И именно в эти моменты он рискует превратиться в жертву того самого майнинга, только скрытого.
Скрытый майнинг: как это выглядит
Для персональных компьютеров, которыми пользуются практически все трейдеры, на данный момент существует три самых распространенных операционных системы: Windows, Linux и OS X.
Последние две обладают своеобразной архитектурой, которая существенно снижает вероятность «подцепить» какой-то вирус. К тому же, количество пользователей Linux и OS X достаточно мало, поэтому написание вирусов для этих ОС – дело совершенно непопулярное и носит эпизодический характер.
Другое дело – ОС Windows, которым пользуется 9 из 10 трейдеров. Написание всевозможных вредоносных программ «под винду» очень распространено – достаточно вспомнить попадающие в папку «Спам» электронные письма о миллионном наследстве и пр. Запуск на своей машине любого незнакомого файла несет в себе потенциальные риски и может установить на нее вирус-майнер.
Как выявить и удалить вирус скрытого майнинга
Самые простые и незамысловатые вирусы начинают полностью использовать мощности вашего ПК для майнинга. В итоге, компьютер начинает жутко тормозить.
Выявить такой примитивный вирус-майнер, объясняют технический отдел журнала Фортрейдер, достаточно просто – необходимо открыть Диспетчер задач и посмотреть, какой из процессов больше всего использует ресурсов системы. Именно он и будет являться вирусом, который майнит криптовалюту на вашем ПК для злоумышленников.
Естественно, такой вирус вряд ли будет называться cryptominer. Скорее всего, он будет замаскирован под какой-то системный процесс или достаточно известную программу: opera.exe, skype.exe и т.д.
Чтобы выявить подделку, нужно проверить место расположения этого файла. Для этого нужно кликнуть правой кнопкой мышки по процессу и нажать «Открыть место хранения файла».
Если процесс является замаскированным вирусом-майнером, то его файл будет расположен не в оригинальной папке.
Еще одним признаком скрытого майнера является права пользователя, от имени которого он работает. Как вы понимаете, системный процесс не может работать под правами обычного пользователя.
Если вы стали жертвой скрытого майнинга в такой форме, то «вылечится» проще простого. Необходимо завершить процесс, почистить компьютером эффективным антивирусом, а самое главное – вспомнить, где вы могли этот майнер подхватить, и сделать для себя соответствующие выводы.
Как вирусы майнеры маскируются и как с этим бороться
Наверное, даже начинающий пользователь знает, что если компьютер начинает тормозить, то, скорее всего, на нем вирус, и его необходимо почистить. По этой причине авторы вирусов-майнеров используют для своих темных делишек разные способы маскировки. Вот три самых распространенных из них.
1 способ: маскировка вируса под какую-то службу
Если вирус-майнер маскируется под службу, то в Диспетчере задач вы не увидите никакого отдельного процесса. Ресурсы системы будет использовать какой-нибудь svchost.exe, являющийся абсолютно легальным системным процессом. Если его завершить, то, скорее всего, ваш Windows попросту зависнет.
Что делать в такой ситуации? Можно искать службу с подозрительным названием через msconfig.exe, но существует способ выявления скрытого майнера намного эффективнее. Для этого используется бесплатная программа Process Explorer.
С помощью программы Process Explorer находим самый ресурсозатратный процесс и находим связанные с ним службы. После этого с помощью поисковых ресурсов Google или Yandex находим информацию о каждой службе и выявляем скрытый вирус-майнер.
2 способ: не жадный майнер
Второй способ направлен не на быстрый майнинг криптовалюты, а на как можно большее время жизни вируса-майнера. Такой майнер не спешит набрасываться на все доступные системные ресурсы, а расходует их умеренно. При этом, если запускается какая-то ресурсоемкая программа, такой вирус останавливает свою работу, чтобы не тормозить ОС и затруднить свое обнаружение.
Более того, продвинутые вирусы-майнеры даже отслеживают, например, частоту вращения вентилятора, чтобы не выдать себя при простое системы чрезмерным использованием вычислительных мощностей.
Что делать в такой ситуации? Опять же, можно искать подозрительные процессы в Диспетчере задач, однако, существуют такие вирусы-майнеры, которые полностью прекращают свою работу, если запущен Диспетчер задач, так что выявить его таким образом вряд ли получится.
Эффективнее всего использовать сторонние аналоги Диспетчера задач в Windows – например, все тот же Process Explorer. Также хорошо подойдут для этой цели и бесплатные программы типа Everest или AIDA64, с помощью которых можно установить на Рабочий стол виджеты для мониторинга нагрузки системы.
Третий вариант: маскировка 80 lvl
Третий вариант маскировки вируса-майнера является самым малораспространенным и, в то же время, самым опасным. Это майнеры, использующие rootkit.
Для тех, кто не знает, руткит (rootkit) – это набор программных средств, маскирующих вирус с помощью получения на вашем компьютере прав Администратора.
Все, без исключения программы на компьютере используют для своей работы некоторые функции системы. Так вот, для примера, майнер-руткит может заменить функцию «Показывать все процессы» на «Показывать все процессы кроме cryptominer.exe». Соответственно, ни Диспетчер задач, ни самый эффективный антивирус такой вирус-майнер обнаружить не смогут.
Что делать в такой ситуации? Демаскирующим свойством майнера-руткита является его сетевая активность. При этом, отслеживать такую активность необходимо непосредственно на роутере или специально организованном на другой машине прокси-сервере.
Смысл в том, руткиту необходимо поддерживать постоянную связь с майнинговым пулом. Обычный компьютер, если его оставить включенным в режиме простоя, в Интернет практически не обращается. Именно на этом фоне и будет заметно наличие в вашей системе скрытого вируса-майнера. Если вы засекли что-то подобное, самому с этим справиться вряд ли удастся – придется обращаться к специалистам.
Заключение
От ошибок не застрахован никто, но вооружен – значит, предупрежден. Помните, что не стоит скачивать из Интернета все подряд, а если вдруг ваш компьютер начал дико тормозить или вы обнаружили еще какую-то подозрительную деятельность на вашей машине – это повод призадуматься, а не майнит ли кто-то для себя криптовалюту, используя ваш ПК?