Випадки прихованого майнінгу ростуть у геометричній прогресії. Як визначити, що на пристрої працює прихований майнер, і як убезпечити себе від цієї напасті.
За даними антивірусної компанії Symantec, за 2017 рік вони почастішали у 340 разів.
Тільки в березні 2018 року антивірусна компанія Malwarebytes зафіксувала 16 млн спроб прихованого майнінгу криптовалют. За перші три місяці 2018 року кількість таких випадків зросла на 4000% порівняно з попереднім кварталом.
У той же час, відзначають дослідники, на 35% знизилося число атак за участю вірусів-вимагачів. Хоча ще нещодавно такі атаки були найбільш популярними — згадати хоча б резонансні віруси WannaCry і Petya.
За даними Національного центру кібербезпеки Великобританії, прихований майнінг буде головною загрозою для інтернет-користувачів, як мінімум, у найближчі два роки.
Антивірусна компанія ESET відзначила зростання поширеності браузерного майнера, який видобуває криптовалюту без відома користувача. Більш того, за даними за грудень минулого року він очолив рейтинг білоруських кіберзагроз.
Компанія ESET представила основні тенденції розповсюдження комп'ютерних загроз за липень 2018 року. Найбільш активними в Україні залишаються загрози для прихованого видобутку криптовалюти, програмне забезпечення, яке перенаправляє жертву на інфіковані сайти, та рекламне програмне забезпечення.
- Лідером в українському рейтингу шкідливих програм у липні 2018 року стала загроза JS/CoinMiner. Ця троянська програма використовує апаратні ресурси інфікованого комп'ютера для прихованого видобутку криптовалюти. Також поширеними шкідливими програмами з подібним функціоналом є Win32/CoinMiner та Win64/CoinMiner.
- Другу позицію зайняла загроза HTML/ScrInject, що з початку року була лідером у рейтингу загроз в Україні. Код HTML/ScrInject перенаправляє користувачів на веб-ресурси зі шкідливим програмним забезпеченням, і, зазвичай, вбудований у HTML-сторінки.
- Замикає трійку найбільш активних програм загроза SMB/Exploit.DoublePulsar, яка запобігає використанню уразливих систем шкідливим програмним забезпеченням Win32/Exploit.CVE-2017-0147.A та Win32/Filecoder.WannaCryptor.
- Четверту позицію зайняло шкідливе програмне забезпечення Win32/MediaGet. Після потрапляння на комп’ютер жертви загроза може встановлювати розширення браузера, додавати файли для запуску під час завантаження системи та проникати в інші процеси пристрою. Кіберзлочинці найчастіше використовують загрозу для завантаження шкідливих додатків, наприклад, рекламного програмного забезпечення.
- Активними також залишаються шкідливі програми, призначені для показу рекламних повідомлень. Зокрема найвищий рівень поширення продемонстрували загрози Win32/AdWare.FileTour (4,64%), Android/Hiddad (1,94%) та JS/Adware.Agent.AA (1,7%). Це шкідливе програмного забезпечення також може встановлювати додаткові програми, що містять рекламу. Інфікування подібними загрозами, зазвичай, відбувається в процесі інсталяції безкоштовного програмного забезпечення (програм для завантаження, запису та поширення відео та програм для перегляду PDF-файлів).
Що це таке майнер
Майнінг криптовалют - це процес обробки даних, результатом якого є хеш-сума, за обчислення якої користувач отримує винагороду у вигляді певної кількості криптовалюти. Цей процес вимагає великих витрат електрики й дорогого обладнання (материнські плати, високопродуктивні процесори і відеокарти).
Популярність і дорожнеча цього процесу призвела до того, що шахраї знайшли спосіб без витрат на обладнання та електроенергію добувати криптовалюти на пристроях користувачів мережі по всьому світу.
Прихований майнер — stealth miner, майнер-бот, ботнет — програма, яка в автоматичному режимі веде майнінг непомітно для користувача. Це додаткове програмне забезпечення, яке встановлюється на комп'ютер, використовує його ресурси і переказує заробіток на гаманець розробника.
Робота майнера дуже схожа на дію вірусу. Він теж маскується під системний файл, робить певні операції і завантажить систему, але є одне "але".
На відміну від класичних вірусів, які крадуть і пересилають дані з комп'ютера, віруси-майнери використовують його технічні потужності.
Хто може стати жертвою
Жертвою прихованого майнера може стати кожен користувач. Під загрозою — не тільки сервери великих компаній, а й домашні комп'ютери, особливо ігрові. Майнери працюють на всіх платформах, пристроях, операційних системах і браузерах. Таким чином, від них не захищений ніхто.
Свою роль у цьому відіграла поява монет, для видобування яких не потрібні майнінг-ферми. Для них достатньо середніх за потужністю пристроїв. Найпопулярнішими криптовалютами у шахраїв є Monero і Zcash.
Схем завантаження майнера — сотні. Як-то його навіть вшили в іграшку, яку виклали на торент за два дні до релізу, і яку гравці тут же кинулися завантажувати і ставити. Для користувачів діють всі звичайні правила інтернет-безпеки: обов’язкова наявність антивіруса класу Intertet Security, розуміння соціальної інженерії (не відкривати підозрілі посилання, посилання на те, чого не очікували отримати) і здорова параноя.
Також читайте: Майнінговий сервіс Coinhive закриється 8 березня 2019 року
Програми-майнери поширюються кількома шляхами
Перший - коли користувач шукає інформацію і потрапляє на скомпрометований сайт, куди зловмисники помістили шкідливий код, або на сайт, адміністратори якого додали в код частину інфікованого коду для заробітку на відвідувачах.
При відвідуванні такого сайту спрацьовує скрипт, який починає використовувати ресурси пристрою. Цей метод найбільш поширений і працює майже на всіх пристроях та операційних системах.
Другий - соціальні мережі або файлообмінники.
Користувачеві можуть приходити повідомлення від інших користувачів або підроблених акаунтів-ботів про те, що він нібито став переможцем в акції або конкурсі. Для отримання призу користувачеві пропонується перейти за посиланням, яке завантажує небезпечне програмне забезпечення.
Залежно від пристрою відбувається завантаження шкідливих програм. Для комп'ютера або ноутбука це файл .exe, для мобільного пристрою — .apk.
Також шкідливе програмне забезпечення може поширюватися на ігрових форумах. Користувачеві пропонують завантажити вірус під виглядом оновлення до гри або неліцензійної версії для безкоштовного користування.
В більшості випадків використовується CoinHive, причому його відкрито рекламують в мережі під слоганом Monetize Your Business With Your Users’ CPU Power, а також наводять детальні мануали. При цьому VirusTotal цей скрипт не виявляє (у всякому разі поки що).
Скрипти помічено і на деяких онлайн кінотеатрах. Так що поки ви дивитеся піратський фільм безкоштовно, не спокушайтеся — хтось на вас все одно заробляє.
Чому це небезпечно
Якщо у пристрої "селиться" майнер, це може призвести до зростання споживання електроенергії і пошкодження гаджета, адже його ресурси буде використовувати шкідливе ПЗ. Також стануть набагато повільніше запускатися програми.
Ще менш приємною знахідкою, ніж сам майнер, може стати несанкціоноване використання паролів, у тому числі для отримання фінансової вигоди.
Крім того, якщо ботнет отримав доступ до пристрою, це може загрожувати змінами у роботі гаджета. Наприклад, деякі майнери блокують панель управління пристрою, через що користувач не може їх позбутися.
Антивірус може не спрацювати і в разі прихованого браузерного майнінгу.
Головний симптом
Перегрівання пристрою, наявність запущених підозрілих процесів, швидка розрядка акумулятора, нетипове підвищення гучності роботи відеокарти, кулера, високий рівень використання електроенергії, процесор вашого комп'ютера або ноутбука завантажено на 100%, то можливо на ваших пристроях добувають криптовалюти.
Зрозуміло, що такі симптоми характерні не тільки для майнінгу - у вас в цей момент просто може бути запущений «важкий» фоновий процес (наприклад, оновлюватися ПЗ). Але якщо комп'ютер працює в подібному навантаженому режимі постійно - це серйозний привід для підозр.
Найпростіший спосіб, який можна спробувати для виявлення шкідливого процесу, який «з'їдає» всі ресурси вашого комп'ютера, - запуск вбудованого в систему диспетчера завдань (В Windows він викликається поєднанням клавіш Ctrl + Shift + Esc).
До речі, свій диспетчер задач є і в популярному у браузері Chrome - для його запуску потрібно натиснути правою кнопкою миші на вільній від вкладок області над адресним рядком і вибрати відповідний пункт. Тоді ви і побачите, яка вкладка - винуватець завантаження комп'ютера.
На жаль, далеко не завжди диспетчер задач може виявитися корисним. Сучасні майнери вміють, наприклад, припиняти роботу при його запуску або «ховатися» в стандартні процеси, на кшталт svchost.exe, chrome.exe або steam.exe.
"Симптоми" майнінгу через веб-браузер такі ж, як і у випадку зі шкідливими програмами, тільки перевантажувати систему буде вкладка з браузером. Часто майнери вбудовують Java-скрипти в рекламні блоки і добувають криптовалюту через них.
Як знешкодити
При потраплянні на інфікований сайт його потрібно закрити й очистити кеш браузера. Якщо вказаний сайт був доданий у закладки, його слід видалити. Якщо користувач зіткнувся з ботнетом, який не піддається цим заходам, краще звернутися до фахівця, щоб не погіршити ситуацію.
Бажано також провести більш ретельну перевірку. Перевірити вихідний код сторінки, яка «завантажує» комп’ютер. Прямо з менеджера можна відкрити розташування файлу, пошукати його за назвою у Google, перевірити в базі VirusTotal і видалити, якщо він здасться підозрілим.
Гірше, якщо програма-майнер потрапила на ваш комп'ютер. В цьому випадку можна для початку спробувати закрити шкідливий процес в диспетчері завдань і видалити його з автозавантаження, однак, як правило, не все так просто.
Просканувати свій комп'ютер або гаджети на наявність шкідливого ПЗ використовуючи безкоштовну утиліту Malwarebytes та її доповнення AdwCleaner. Перший додаток перевіряє жорсткий диск й оперативну пам'ять на наявність вірусів, другий - на рекламні програми. Регулярне сканування з великою імовірністю убезпечить гаджети від прихованого майнінгу.
Не завжди антивіруси вважають програми-майнінгу шкідливим софтом - адже майнери - програми не шкідливі, які самі по собі легальні, ви можете майнити для себе, при цьому, можуть бути використані в шкідливих цілях. Антивірусні програми можуть виділяти їх в категорію Riskware (ПЗ з ризиком). Щоб виявляти і видаляти ці об'єкти, необхідно зайти в налаштування антивірусної програми, включити виявлення потенційно небажаних програм.
Якщо майнінг триває і після цих маніпуляцій, можна спробувати і більш радикальний метод - перевстановлення операційної системи.
Також читайте: Інноваційний браузер Brave 1.0
Як вберегтися?
Якщо мова йде про браузерний майнінг, то крім антивірусних рішень, що визначають шкідливі javascript на сайтах, вже з'явилися розширення браузера, що дозволяють засікти майнер - наприклад, No Coin або Mining Blocker, ScriptBlock, які блокують піратські скрипти і зупиняють потенційно небезпечні алгоритми.
Оскільки шахраї часто поміщають скрипти в рекламні блоки, то частково захистити від майнінгу може навіть популярний блокувальник реклами AdBlock.
Також читайте: Реліз Firefox 69
Браузер Opera
Компанія Opera Software стала першим розробником, який впровадив в мобільний браузер вбудований захист від майнінгу. Він працює разом з іншими корисними опціями, наприклад, блокувальником реклами, вбудованою підтримкою VPN і шифруванням трафіку за допомогою протоколів SSL 3 або TLS.
Якщо ви не хочете, щоб програма-майнер потрапила на ваш комп'ютер, то регулярно встановлюйте оновлення, пропоновані операційною системою, і обов'язково використовуйте антивірусні програми з включеним моніторингом.
Тут потрібно пам'ятати, що антивіруси можуть не виявити програму-майнер, але майже напевно зафіксують програму-дроппер, головна мета якої - приховано встановити майнер. Та не клацайте на підозрілі посилання в мережі і не відкривайте спам що приходить на пошту.
Використовуйте актуальні версії антивірусів, які блокують загрози на етапі завантаження. Якщо комп'ютер інфіковано, слід виконати його повне сканування і видалити небажані та потенційно небезпечні програми.
Також пам'ятайте, що з установкою легального софту ймовірність отримати в доважок майнер мізерно мала. Тоді як при завантаженні зламаних програм або «кряків», цей ризик сильно збільшується.
А що зі смартфонами?
Також читайте: Доступний браузер Firefox Preview 2.0 для Android
Смартфон - це теж комп'ютер, тому і схеми зловмисників тут схожі. Наприклад, в кінці минулого року фахівці з безпеки виявили в Google Play шкідливе ПЗ, яке використовувало мобільні гаджети для майнінгу криптовалюти без відома власника.
Також читайте: Інноваційний браузер Brave 1.0
Тут також можна порекомендувати використання антивірусних програм, а також обов'язково звертати увагу на рейтинг скачуваних додатків.