- У нашому розслідуванні:
- Як це працює
- як заразитися
- Захист від прихованого Майнінг в браузері
- Прихований Майнінг на комп'ютері
- Як це працює
- як заразитися
- Захист від прихованого Майнінг на комп'ютері
- Прихований Майнінг через смартфон
- Прихований Майнінг через Wi-Fi
- Як це працює
- як заразитися
- Захист від прихованого Майнінг через Wi-Fi
Прихований Майнінг - явище не нове, процес Майнінг витратний, а обладнання коштує великих грошей. Ось шахраї і шукають постійно нові способи видобутку криптовалюта за допомогою потужностей мільйонів пристроїв -. Такими справами займаються не тільки бажаючі збагатитися виключно на видобутку крипти, а й великі проекти на кшталт торрент-трекерів, популярних сайтів з торрентами, сайтів з відео контентом для дорослих, сайтів з онлайн переглядами фільмів. Підчепити такого Майнера можна десятками способів.
Причому якісної інформації по тому, як виявити прихованого Майнера, знищити його назавжди і не заразитися новим, дуже мало, тому що всім вигідно приховано Майні валюту. Ось тільки заробляють на цьому шахраї, а користувачі розплачуються зіпсованої технікою і нервами через довгої завантаження програм і сторінок в інтернеті.
Ми спробували провести своє розслідування по тому, яким буває прихований Майнінг, як можна заразитися шахрайським ПО, як знешкодити Майнера і захиститися від шахраїв.
У нашому розслідуванні:
Прихований Майнінг в браузері.
Прихований Майнінг на комп'ютері.
Прихований Майнінг через смартфон.
Про браузер Майнінг стало відомо ще в далекому 2011 році, коли з'явився сервіс BitcoinPlus (не плутати з XBC). Розробники пропонували власникам сайтів вбудовувати код JavaScript для того, щоб користувачі Майні для них криптовалюта через відкриті сторінки браузера. Тоді біткоіни коштував недорого, а Майнінг не складав особливих зусиль, тому для заробітку битків досить було домашнього комп'ютера.
У 2013 році з'явився Майнінг за допомогою ASIC, який з часом став настільки популярним, що заробіток користувачів зменшувався в геометричній прогресії, а вимоги до потужностей все росли. У цьому ж році вийшов сервіс Tidbit, також пропонував заробляти власникам сайтів на Майнінг через браузери користувачів. Сервіс незабаром визнали шахрайським, а браузерні Майнінг практично вмер.
Історія отримала новий виток у 2017 році з виходом сервісу Coinhive , Який пропонував JavaScript для власників сайтів, майнящій НЕ біткоіни, як у попередників, а Monero через браузери користувачів.
У Coinhive пропагували ідею дозволу користувачем використовувати потужність свого пристрою для Майнінг валюти замість перегляду реклами. Власник сайт отримує гроші, користувач -безпечне сайти з якісним контентом і без реклами. І, начебто, всі задоволені. Але заповзятливі сайтовладельцев швидко зметикували, що добре заробити можна при великій відвідуваності, а користувачів, всупереч рекомендаціям Coinhive, повідомляти про Майнінг не обов'язково.
Перше гучне шахрайство відбулося з боку торрент-трекера The Pirate Bay з відвідуваністю більше 290 млн. Користувачів за півроку. Заробити адміністрації вдавалося $ 47 000 в місяць! Користувачі ресурсу швидко виявили скрипт Coinhive і змусили трекер прикрити лавочку. Потім скрипти знайшли на платному Showtime і віджеті LiveHelpNow, а потім і на інших ресурсах і в розширеннях для браузерів.
Як це працює
Так як транзакції Monero анонімні, а відстежити учасників не можна, Майнінг цієї валюти за допомогою браузерів знаходить небувалу популярність. Для того, щоб браузери користувачів почали Майні Monero, власнику досить вбудувати кілька рядків коду скрипта в код сайту.
Користувач відкриває будь-яку сторінку сайту, в якій є код, і його браузер починає видобувати криптовалюта для ресурсу. При цьому завантажувати та встановлювати ніякі файли не потрібно, Майнінг починається без зайвого шуму. Єдиний момент - Майнінг може створити додаткове навантаження на процесор, тоді його можна виявити.
Coinhive - найвідоміший проект, але далеко не єдиний. В стадії бета-тестування випустили Crypto Loot і JSEcoin . Не будемо забувати про умільців, які можуть розробити подібний скрипт на коліні, і він буде Майні.
як заразитися
Незважаючи на те, що багато великих ресурси вже були викриті в шахрайстві і прибрали рядки скрипта з коду, промишляють прихованим браузерні Майнінг багато проектів.
Підчепити прихованого Майнера можна на сайтах з безкоштовним онлайн переглядом фільмів і серіалів, сайтах з відео для дорослих, доменах, написаних з помилками, торрент-трекерах і сайтах з браузерних іграми. Найімовірніше це проекти з великою відвідуваністю, так як саме великий трафік дає хороший дохід власникам ресурсів.
Недобросовісні розробники сайтів також можуть вбудувати ін'єкції коду Майнера на сайт.
Захист від прихованого Майнінг в браузері
Перш за все для інтернет-серфінгу варто користуватися перевіреними ресурсами, що, звичайно, не дає стовідсоткової гарантії від прихованого Майнінг, але є ефективним заходом профілактики.
Ймовірно, через ваш браузер Майні, якщо ви помітили занадто повільне завантаження сторінок, проблеми з відображенням графічного контенту і велике навантаження на процесор. У цьому випадку спробуйте звернути увагу на роботу браузера при закритті підозрілої сторінки. Якщо при закритті будь-якої вкладки сторінки починають завантажуватися швидше, значить проблема була в домені сторінки. Відразу ж блокуйте цей домен і відключайте на ньому JavaScript (зробити це можна в налаштуваннях браузера, відключати краще вибірково для кожного підозрілого домену, щоб не виникало проблем при відображенні контенту на якісних сайтах).
Якщо ситуація з закритими підозрілими вкладками не змінюється, спробуйте закрити браузер і поспостерігати за роботою програм на ПК, якщо швидкість роботи зросла, значить майнер робив свою роботу.
Крім вибіркового відключення JavaScript обов'язково варто встановити спеціальні розширення, що блокують Майнера Coinhive і подібні розробки.
Ми рекомендуємо:
Можна користуватися одним-двома.
Користуйтеся тільки перевіреними розширеннями, в неперевірені також може бути вбудований скрипт
встановіть утиліту Anti-WebMiner на ПК, яка блокує завантаження скрипта в файлі hosts.
Прихований Майнінг на комп'ютері
Такий вид шахрайського Майніг найнебезпечніший, схопити Майнера легко, виявити складно, а видалити без переустановлення системи практично не можна. При цьому програма швидко зносить техніку, суттєво скоротивши термін її роботи. Але, якщо дотримуватися запобіжних заходів і скористатися всіма нашими рекомендаціями, у вас є великий шанс на успіх.
Найвідоміший випадок подібного шахрайства був з боку популярного торрент-трекера μTorrent, розробники якого впроваджували в ПК користувачів прихованого Майнера EpicScale.
Як це працює
Зараження ПК відбувається за допомогою ботнетів - комп'ютерної мережі з запущеними ботами на автономному програмному забезпеченні, які встановлюють поза відома користувача програму, що займається Майнінг.
Самі по собі ботнети не є вірусами, але можуть складатися з вірусів (троянів, хробаків), брандмауерів і програм для віддаленого управління комп'ютером. При цьому впровадили ботнет самостійно вибирає валюту, яка буде Майні, виходячи з характеристик техніки, щоб процес був максимально непомітний для користувача. Займаються створенням Майнінг-мереж (ботнетів) і професіонали, і навіть школярі, які за копійки продають свою розробку на дарк-форумах, маючи при цьому відсоток від видобутку валют мережею.
Помітити такого ботнету не можна, тому що він йде у зв'язці з картинками, текстовими документами, кряками, патчами, відео, торрентами, встановлюється самостійно по-тихому, маскується під службу windows і інших систем або взагалі ніде не відображається, якщо ПК сильно навантажений майнер відключається , щоб не викликати зайвих підозр.
Це дуже в загальних рисах, в реальності робота ботнетів набагато складніше, тому що приховані Майнер оновлюються постійно, намагаючись бути максимально непомітними і видаляються.
як заразитися
Найчастіше жертвами шахраїв стають завзяті гравці, тому що мають в своєму арсеналі потужну техніку. Багато з них встановлюють зламані гри, отримуючи ось такі «подарунки». Але це не єдиний спосіб схопити Майнера.
Заразитися можна через будь-які запущені файли (викачані з сайтів або електронної пошти), віддалений доступ без дозволу, для якого створено документ Word відео-файл з неперевіреного джерела (вразливість програми), через спам-лист по електронній пошті, будь-які встановлені зламані програми.
Захист від прихованого Майнінг на комп'ютері
Як знайти прихований майнер на комп'ютері? Для цього є цілий алгоритм роботи. Не факт, що це вирішить проблему, але допомогти може.
Не варто просто видаляти підозрілі файли вручну або антивірусом, це лише поверхнева міра, яка не дасть результату зовсім. Майнер запрограмований так, що відновлює всі віддалені таким чином файли і продовжує роботу.
Перший крок - завантажуємо програму моніторингу AIDA64. Програма показує завантаження процесора відеокарти, і оперативної пам'яті. Вимикаємо абсолютно все, що можна, якщо навантаження залишилася, потрібно шукати винуватця цього.
Далі викачуємо AnVir Task Manager, він підсвічує всі невизначені процеси червоним, допомагає побачити приховані процеси і дає повну інформацію про них з можливістю знайти її в мережі і перевірити на сайті VirusTotal .
Далі ProcessExplorer допоможе вам обчислити що саме завантажує відеокарту, навіть якщо ви щось виявили, не зупиняйте процес, інакше вірус все відновить назад. Заходи тут потрібні більш серйозні. Знайшли підозрілий процес, перевіряємо на VirusTotal, загроза виявлена, починаємо ліквідувати.
До речі, утиліта FolderSizes допоможе знайти папки з великим об'ємом даних, обов'язково варто перевірити ці папки, до питання про те, як виявити прихований майнер на комп'ютері.
Далі викачуємо наступні утиліти і перевіряємо ПК в безпечному режимі:
- Web CureIt! (Тільки з офіційного сайту!)
- COMODO Cleaning Essentials
- Junkware RemovalTool
- Adw Cleaner
- TDSSKiller
Якщо весь цей набір не впорався з вірусом, викачуємо AVZ (як користуватися можна дізнатися на професійних форумах).
Якщо якісь з утиліт не зможуть працювати в безпечному режимі, то попередньо краще перевірити RKill всі процеси в звичайному, щоб зупинити всі перешкоди антивірусів.
Вийшло? Тепер чистимо реєстр від слідів присутності шкідників. Для цього використовуємо CCleaner і Auslogics BoostSpeed.
Якщо ж всі вжиті заходи не допомогли, єдиний спосіб порятунку від вірусу - перевстановлення системи.
Встановлені, потім віддалені програми створюють безліч сміття, за рахунок решти модулів і записів, тому вірусу нічого не варто сховатися і замаскуватися. При цьому чистильниками реєстру не завжди вдається до кінця видалити весь непотрібне сміття.
В якості профілактики від зірвати Майнер можна користуватися виключно переносними програмами, залишивши на ПК мінімальний набір програм і драйверів. Як захист можна встановити антивірус 3 60 Total Security, який постійно «Параноя» і не довіряє нічому. При бажанні його можна відключити.
Прихований Майнінг через смартфон
Зростаюча продуктивність мобільних телефонів теж дозволяє зловмисникам Майні через пристрої. Причому схопити прихованого Майнера можна як браузерного, так і вбудованого.
Заразитися зі смартфона можна через сайти для дорослих, зламані програми, спам в смс і на електронній пошті.
Ми рекомендуємо в браузер вбудувати блокують Майнер розширення, наприклад, uBlock , А на смартфон встановити антивірус.
Однак мобільний Майнінг буде легко виявити за рахунок великого навантаження на акумулятор. На жаль, чи на щастя, продуктивність смартфонів пішла далеко вперед на відміну від стійкості батареї.
Прихований Майнінг через Wi-Fi
Ранок 2 грудня стало для Starbucks в Буенос-Айресі викриває. Один з відвідувачів зауважив, як нехарактерно почав перегріватися його ноутбук, коли він пив каву в цьому кафе. Відвідувач глянув в код однієї з html-сторінок і виявив підозрілий скрипт. Виявилося, що керівництво кафе вирішило підзаробити на гостях, що підключаються до їх безкоштовного Wi-Fi, використовуючи прихованого Майнера. Новина швидко облетіла світові ЗМІ, а власникам Starbucks довелося зізнатися і усунути проблему. А технологія з символічною назвою CoffeeMiner стала різко популярною.
Як це працює
Зловмисники працюють у віртуальному просторі кафе, в якому є роутер, що роздає Wi-Fi декількох пристроїв. Вони встановлюють ПО (наприклад, дисковий образ Linux) на віртуальну машину і перехоплюють інтернет-трафік, підсаджуючи JavaScript ін'єкції в Популярні гостями html-сторінки. Найчастіше скрипт - це майнер CoinHive, який працює на видобуток Monero. Вся концепція працює в автономному режимі.
Складного в здійсненні подібного шахрайства немає нічого. У мережі є багато докладних і працюють схем, посилань на програми, віртуальних машин і скриптів, відео-інструкцій, як перехопити трафік і Майн через пристрої відвідувачів.
як заразитися
По суті, жертвою прихованого Майнера може стати абсолютно будь-який користувач, що підключився до будь-якого безкоштовного Wi-Fi в кафе, ресторанах, торгових центрах, аеропортах, громадському транспорті, магазинах, бібліотеках і т.д. Чи не врятують навіть запаролених мережі в деяких закладах, тому що зловмисник точно також може отримати пароль, щось замовивши.
Захист від прихованого Майнінг через Wi-Fi
Заходи профілактики та захисту від подібного шахрайства аналогічні заходам проти прихованого Майнінг в браузері. Різниця в тому, що код може бути вбудований навіть на сторінки безпечних ресурсів. Перш за все, не рекомендуємо підключатися до громадських мереж, а якщо все ж така необхідність є, то на браузер встановлюйте розширення, що блокують скрипт Anti-WebMiner, NoScript (Firefox), ScriptBlock, ScriptSafe (Chrome), uBlock (Chrome), NoCoin, MinerBlock , на смартфоні можна скористатися uBlock для браузера і антивірусом.
Вийшло?