Майнинг-вирусы становятся глобальной проблемой

Дропперы могут содержаться:

• в письмах электронной почты, во вложенном документе - накладной, счете-фактуре, банковской выписке, архиве;
• в нелицензионной копии программного обеспечения;
• в программе-генераторе ключей для нелицензионной копии ПО;
• на сайтах, куда вы перенаправляетесь, кликая на рекламные баннеры, по ссылкам, полученным по электронной почте или в мессенджерах социальных сетей.

После скачивания дроппера начинается установка программы-майнера и сервисов, которые будут заниматься его запуском, настройкой и маскировкой.

Они регулируют загрузку оборудования, могут отключать антивирус, восстанавливают майнер, если пользователь его удалил, осуществляют автозапуск вредоносного ПО.

По оценкам компании Check Point, занимающейся кибербезопасностью, до 55% всех организаций в мире сейчас заражены майнинг-вирусами.

В прошлом году Лаборатория Касперского раскрыла ботнет, состоявший из нескольких тысяч компьютеров, хозяева которых ни о чем не подозревали. Сеть майнила криптовалюту для неизвестных хакеров. Специалистам Лаборатории удалось узнать, что за месяц данная сеть зарабатывала около $30 000. А всего на адрес кошелька поступило порядка $200 000.

Типы майнинг-вирусов

В первое время трояны были основными средствами заражения компьютеров майнинг-вирусами. Этот тип держит все свои файлы на атакованном компьютере. Кроме майнера, он запускает сценарии для подключения компьютера к серверу управления. Все действия происходят в фоновом режиме с маскировкой под системные процессы.

В случае успешной установки связи с Command & Control сервером, вирус получает дальнейшие инструкции, а зараженный компьютер становится частью ботнета, добывающего хакеру деньги.

Другим типом майнинг-вирусов являются приложения, написанные с помощью JavaScript. Такое программное обеспечение встраивается в браузер в качестве кода. У такого зловреда нет файлов на компьютере и поэтому его очень трудно обнаружить. Подобный вирус может установить несколько видов майнеров.

Вредоносное ПО начинает работать вместе с запуском браузера. Майнер отключается, когда пользователь закрывает браузер.

Еще одной разновидностью майнинговых вирусов считаются веб-майнеры, которые запускаются во время посещения сайтов. После закрытия страницы такого сайта, майнер перестает работать.

Этот тип вируса становится все более распространен. Эксперты антивирусных компаний говорят, что это связано с введением блокировок на веб-рекламу. Владельцы сайтов, которые зарабатывали на ней, понесли большие убытки. Чтобы восстановить доходность, они вводят скрипт майнеры в свои страницы. Пока человек находится на таком сайте, он зарабатывает, сам не зная этого, деньги владельцу ресурса.

Примеры майнинг-вирусов

• Coinminer.QO — троян, заражающий компьютер. Особенно распространен в Японии, Индонезии, на Тайване.
• Bitcoinmainer.sx — скрипт, прописывающийся в браузер жертвы.
• Upup.exe — вирус, аналогичный Bitcoinminer.sx. Также нагружает центральный и графический процессоры зараженного компьютера.
• Service.exe — использует поддельный системный процесс для добычи криптовалюты. Может украсть пароли и имена пользователей, предоставить доступ к удаленному управлению компьютером.
• WDF.exe — аналогичен Service.exe, но использует другой файл - taskmon.exe.
• AdylKuzz.Trojan — троян, максирующий свои файлы msiexev.exe и wuauser.exe под системные службы. Кроме запуска майнера, вирус ворует файлы, регистрационные данные, финансовую информацию. Может заразить компьютер другим вредоносным программным обеспечением, получить системную и сетевую информацию.
• Digmine — распространяется через facebook. Если зараженная учетная запись имеет автоматический вход в социальную сеть, то вирус рассылает себя всем контактам, указанным в друзьях данной учетной записи. Тот, кто откроет присланный файл, будет заражен этим вирусом. Основная задача зловреда - майнить криптовалюту на компьютере жертвы.

Пять наиболее часто встречающихся вредоносных программ

Компания Check Point ежегодно составляет список самых часто используемых вирусов.

По итогам 2017 года этот “рейтинг” выглядит следующим образом:

1. Coinhive — JavaScript, разработан для онлайн-добычи Monero без уведомления пользователя при посещении веб-сайта. Влияет на производительность системы.
2. Rig ek — эксплоит, который может применяться в разных средах. Заражение начинается с перехода на сайт, содержащий скрипт, который ищет возможность установить код в имеющиеся плагины.
3. Cryptoloot — Crypto-Miner, конкурент Coinhive.
4. Roughted — вредоносное рекламное ПО, используемое для мошенничества, установки эксплоитов и вымогательства. Может использоваться для атаки на любой тип платформы и операционной системы.
5. Fireball — китайский браузер-угонщик, постоянно открывающий рекламу или перебрасывающий вас на другие сайты. Может использоваться для многих задач — от кражи учетных данных до установки зловредов.

Что добывают крипто-майнеры

Первоначально майнинг-вирусы были нацелены на добычу биткоина. Но блокчейн этой криптовалюты функционирует таким образом, что в нем трудно выдержать конкуренцию с майнинговыми пулами и ASIC-устройствами. Вирусы имеют в своем распоряжении только центральный и графический процессоры. При существующем уровне сложности и хэшрейте сети биткоин, у них практически нет шансов что-то заработать.

Поэтому, примерно 2–3 года назад вирусы переключились на Monero и ZCash. В этих сетях конкуренция и сложность ниже. Здесь майнинг как раз и происходит с использованием CPU и GPU.

Обе эти криптовалюты являются анонимными, что делает невозможным определить истинных владельцев счетов. Это также играет на руку крипто-злоумышленникам.

Как защититься от майнинг-вирусов

Эксперты назвали виды операционных систем и устройств, подверженных заражению майнинговыми вирусами.

К ним относятся:

• компьютеры со всеми версиями Windows, MacOS, Ubuntu и его производными, такими как Debian Linux;
• смартфоны с iOS и Android.

Для компьютеров и смартфонов необходимо использовать антивирусы. Также важно проводить постоянное обновление их баз. Антивирусные программы помогут обнаружить и уничтожить установленные трояны и дропперы.

Что касается программ для майнинга, то сами по себе они не являются вредоносными. Пользователь может добровольно установить их на компьютер, поэтому антивирусные программы по умолчанию не борются с ними.

Такое программное обеспечение обычно попадает в категорию Riskware. Чтобы удалить майниговое ПО, нужно зайти в настройки и выбрать пункт, активирующий борьбу с такими программами.

Для запрещения браузерного майнинга можно использовать блокировщики рекламы. К таким относятся, например, AdBlock Plus, AdGuard.

В браузеры Opera и Яндекс уже встроена защита от несанкционированного майнинга.

Для Google Chrome созданы плагины Anti Miner, No Coin, miner Block, блокирующие браузерный майнинг.

В дополнение к перечисленным способам необходимо регулярно обновлять операционную систему.

Кроме программных способов, необходимо принимать самостоятельные меры:

• регулярно менять имена пользователей и пароли;
• использовать сложные пароли;
• отказаться от просмотра информации, полученной из сомнительных источников;
• обязательно проверять все присланные документы и архивы антивирусной программой, независимо от того, кто их прислал;
• не устанавливать программное обеспечение из непроверенных источников;
• отслеживать адреса сайтов, на которые вы попадаете в результате перенаправления;
• если вы получили ссылку для посещения, предварительно проверьте URL, например, с помощью virustotal.com;
• если в результате посещения веб-страницы у вашего компьютера упала производительность, покиньте этот ресурс и проверьте компьютер антивирусом.