Как узнать, что ваш компьютер скрыто добывает криптовалюту для других

И что делать, чтобы остановить этот процесс.

СМИ уже писали о том, что антивирусная компания ESET отметила рост распространенности браузерного майнера, который добывает криптовалюту без ведома пользователя. Более того, по данным за декабрь прошлого года он возглавил рейтинг белорусских киберугроз. В материале tut.by рассказывается, как распознать, что кто-то использует ваш компьютер в корыстных целях, и избавиться от скрытого майнинга.

Браузер или компьютер

Напомним, майнинг — это процесс добычи криптовалюты с помощью сложных вычислений, которые проходят на компьютере. На данный момент есть есть два основных способа «зловредного майнинга».

В первом случае программа-майнер скрыто устанавливается на ваш компьютер и начинает постоянно использовать его мощности — процессор и видеокарту. Во втором случае, и именно об этом предупреждает ESET, майнинг происходит только тогда, когда вы заходите на зараженный сайт («браузерный майнинг»).

Разумеется, первый способ для злоумышленников гораздо предпочтительнее, пусть и более сложный — ведь компьютер для начала нужно как-то заразить. Второй — проще, а нужную мощность злоумышленники «добирают» за счет большого числа пользователей, заходящих на сайт.

Главный симптом

Самый первый (и главный) симптом, по которому вы можете заподозрить майнинг — компьютер начинает постоянно «подтормаживать» в безобидных ситуациях. Например, когда у вас всё время шумит кулер, нагревается или зависает ноутбук в то время, как на нем запущен лишь браузер с тремя вкладками.

Понятно, что такие симптомы характерны не только для майнинга — у вас в этот момент просто может быть запущен «тяжелый» фоновый процесс (например, обновляться ПО). Но если компьютер работает в подобном нагруженном режиме постоянно — это серьезный повод для подозрений.

К сожалению, только на антивирусы здесь полагаться не стоит. Вот, что, например, пишет по поводу таких программ «Лаборатория Касперского»:

Майнеры — программы не зловредные. Потому они входят в выделенную нами категорию Riskware — ПО, которое само по себе легально, но при этом может быть использовано в зловредных целях. По умолчанию Kaspersky Internet Security не блокирует и не удаляет такие программы, поскольку пользователь мог установить их осознанно.

Антивирус может не сработать и в случае скрытого браузерного майнинга.

Как обнаружить майнера?

Самый простой способ, который можно попробовать для выявления зловредного процесса, «съедающего» все ресурсы вашего компьютера, — запуск встроенного в систему диспетчера задач (В Windows он вызывается сочетанием клавиш Ctrl+Shift+Esc).

Если вы увидите, что какой-то непонятный процесс очень сильно — на десятки процентов — загружает процессор (колонка ЦП на картинке выше), а вы при этом не запустили «тяжелую» игру и не монтируете видео, — это вполне может оказаться майнингом.

Кстати, свой диспетчер задач есть и в популярном у белорусов Chrome — для его запуска нужно щелкнуть правой кнопкой мыши на свободной от вкладок области над адресной строкой и выбрать соответствующий пункт. Тогда вы и увидите, какая вкладка — виновник загрузки компьютера.

К сожалению, далеко не всегда диспетчер задач может оказаться полезным. Современные майнеры умеют, например, приостанавливать работу при его запуске или «прятаться» в стандартные процессы, вроде svchost. exe, chrome. exe или steam.exe.

В таком случае можно использовать дополнительный, более продвинутый софт — например, программу AnVir Task Manager.

С ее помощью гораздо проще выявлять подозрительные процессы. Все неопределенные строки подсвечиваются красным и о каждом процессе (в том числе скрытом!) можно получить максимальную информацию, но самое главное — любой запущенный у вас процесс можно проверить на сайте VirusTotal.

И что с ним делать?

Проще всего, если майнинг происходит при открытии зараженного сайта. В этом случае вам просто нужно закрыть эту вкладку в браузере.

Хуже, если программа-майнер попала на ваш компьютер. В этом случае можно для начала попробовать закрыть вредоносный процесс в диспетчере задач и удалить его из автозагрузки, однако, как правило, не всё так просто.

У майнеров могут быть нестандартные способы запуска, наличие двух процессов, которые перезапускают друг друга в случае попыток их завершить. Кроме того, может быть инициирована перезагрузка компьютера при попытке получить доступ к файлам майнера или попытке удалить их из автозагрузки.

На помощь здесь должны прийти антивирусные программы. Если по каким-то причинам антивирус не «отлавливает» майнера в стандартном режиме, можно попробовать записать на флешку портативный бесплатный сканер, например, Web CureIt! или Kaspersky Virus Removal Tool и загрузить компьютер в безопасном режиме.

Для его запуска (на Windows старше «десятки») нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант. В Windows 10 при перезагрузке этого сделать нельзя. Поэтому нужно открыть окно «Выполнить» (сочетание клавиш Win+R), ввести там команду msconfig, затем выбрать раздел «Конфигурация системы», «Загрузка» и выставить безопасный режим, после чего перезагрузить компьютер.

Загрузившись в безопасном режиме, нужно запустить антивирусный сканер с флешки.

Не всегда антивирусы считают программы-майнеры вредоносным софтом — ведь вы можете майнить и для себя.

Но, например, «Антивирус Касперского» выделяет их в категорию Riskware (ПО с риском). Чтобы обнаружить и удалить объект из этой категории, необходимо зайти в настройки защитного решения, найти там раздел «Угрозы и обнаружение» и поставить галочку напротив пункта «Другие программы». Схожее решение предлагает и ESET — для выявления майнеров (в том числе и на посещаемых сайтах) нужно включить в настройках обнаружение потенциально нежелательных приложений.

Если майнинг продолжается и после этих манипуляций, можно попробовать и более радикальный метод — переустановку операционной системы.

Как предохраниться?

Если речь идет о браузерном майнинге, то помимо антивирусных решений, определяющих зловредные Java-скрипты на сайтах, уже появились расширения браузера, позволяющие засечь майнеров — например, No Coin или Mining Blocker.

Если вы не хотите, чтобы программа-майнер попала на ваш компьютер, то регулярно устанавливайте обновления, предлагаемые операционной системой, и обязательно используйте антивирусные программы с включенным мониторингом.

Здесь нужно помнить, что антивирусы могут не обнаружить программу-майнер, но почти наверняка зафиксируют программу-дроппер, главная цель которой — скрыто установить майнер. В дополнение к антивирусу можно добавить пару старых, но по-прежнему эффективных советов — не кликайте на подозрительные ссылки в Сети и не открывайте приходящий в почту спам.

Также помните, что с установкой легального софта вероятность получить в довесок майнер ничтожна мала. Тогда как при скачивании взломанных программ или «краков» этот риск сильно увеличивается.

А что со смартфонами?

Смартфон — это тоже компьютер, поэтому и схемы злоумышленников здесь схожи. Например, в конце прошлого года специалисты по безопасности обнаружили в Google Play вредоносное ПО, которое использовало мобильные гаджеты для майнинга криптовалют без ведома владельца.

Здесь также можно порекомендовать использование антивирусных программ, а также обязательно обращать внимание на рейтинг скачиваемых приложений.