Шкідники - Криптомайнери
September 16, 2023
Coin Miner – це зловмисне програмне забезпечення, яке використовує апаратні елементи комп’ютера жертви для майнінгу криптовалюти. Найчастіше шахраї, які контролюють такий криптомайнер обирають Monero (XMR) або Litecoin, оскільки вони найпростіші для майнінгу. Вони можуть використовувати програмне забезпечення, яке подібне або навіть повністю повторює те, який використовується для легального майнінгу. Ключова відмінність у тому, що люди, чиє апаратне забезпечення використовується для криптомайнінгу, ніколи не погоджувалися на це.
Зловмисне програмне забезпечення для криптомайнінгу зазвичай спрямоване на здійснення своєї діяльності на процесорі користувача. Це відбувається тому, що досить велика кількість ПК, особливо в офісних, де немає відеокарт. Навіть незважаючи на те, що GPU-майнінг ефективніший на порядки, шахраям важливо успішно запускати на кожному комп’ютері, на який вони атакують. Вони замінюють якість кількістю, що досить ефективно з обраними монетами.
Як працюють шкідники-криптомайнери?
Як було зазначено, криптомайнери виконують майже те саме ПЗ, що й нормальні майнери, або використовують ту саму кодову базу – із інструментів з відкритим кодом. Вони зосереджуються на проведенні обчислень хешу транзакції за допомогою обчислювальних потужностей комп'ютера. Залежно від криптотокена, хеш може складатися з 64, 128, 256 або більше символів. Ця операція потрібна для додавання інформації про транзакції до блокчейну – глобальної книги обліку, унікальної для кожної криптовалюти.
Графічні процесори набагато ефективніші, ніж ЦП, для цього завдання, оскільки вони мають сотні і тисячі обчислювальних ядер, на відміну від ЦП, які зазвичай мають від 4 до 8 ядер. Через це, як ви мабуть чули, відбувся стрибок цін на відеокарти під час останнього криптобуму. Ви все ще можете виконувати майнінг за допомогою процесора, але завдання обчислення хешу часо-чутливе. Якщо ви не завершите його вчасно, то хтось інший отримає винагороду за те, що зробить це швидше. Щоб пом’якшити цю проблему з обох сторін, шахраї обирають криптовалюти, які легко майняться, і застосовують злам сотень комп’ютерів, щоб додати їх до своєї мережі . Таким чином, навіть використання старих і слабких процесорів буде компенсована їх кількістю.
Зловмисне ПЗ для криптомайнінгу зазвичай підпорядковується командному серверу, маючи лише дрібні повноваження щодо самостійного вибору. Однак початкове налаштування криптомайнера майже завжди відбувається незалежно від сервера, оскільки розповсюдження має величезний масштаб. Після налаштування шкідник підключається до сервера, отримує уніфіковані інструкції та починає працювати. Щоб зробити це з’єднання більш схожим на нормальне, шахраї орендують сервер на відомому хостингу – на їхнє щастя, сьогодні вони приймають платежі у криптовалюті.
Зразки Trojan CoinMiner у 2024 році:
| Trojan.Win32.CoinMiner.ns | de2d17dcc2b8c55cc0c100c93b19d5b8e73896f67bcc7b144244bfbb809af513 |
| Trojan.Win64.CoinMiner.oa!s1 | af36bb1797146886b03ff5c1baaa112e5a096fe44fdaeb8c3697c69312cd5611 |
| Trojan.Win64.CoinMiner.dd!s1 | e138a195780a9d12308a70be78d4f796aa0718f5c3017a31f6785382bf56c9f4 |
| Trojan.Win64.CoinMiner.ca | 41de08416967de58073203a4a231c2b6d93511a1880d1ec5786a3cb0c1b63f42 |
| Trojan.Win32.CoinMiner.cld | dfc306f2b44e1bc8a7e7a8a69ae2e8d369b20d80bd69b8193c204d1ef5b622e8 |
| Risk.Win64.CoinMiner.sd!ni | bb2a99f47c0b61fdb158b13ea673cdc2661a665c1a201ed7d0a9dca89db2d110 |
| Trojan.Win64.CoinMiner.ca | 00748d7ea4ccfb6fc6ff59e3fe24c46b862ab3dd9c562ff6b13b5dfb31326bc6 |
| Trojan.Win32.CoinMiner.ns | bc2c60349051bed87ef9a8cea28984a498f1b0f3b868868315b67c0dfd9ecf81 |
| Trojan.Win64.CoinMiner.ca | a67109836839f25002d6a6e56666d6f94f7aafbd9a57c344b03b7ce55c69a32e |
| Trojan.Win32.CoinMiner.ns | 0dd4434fe34de41c317a14592a1b6a3dcc4eb7450125cfa6f843caddfb2337fa |
Як розповсюджується Coin Miner?
Більшість шкідників-майнерів проникають на ваш комп’ютер як трояни – замасковані під легальні програми чи інструменти. Спосіб їх поширення може відрізнятися залежно від рішення шахрая, який керує розповсюдженням. Але загалом ви можете зустріти майнер у зламаних програмах, інструментах для зламу ліцензійних перевірок та в електронному спамі. У деяких із прикладів вам буде рекомендовано вимкнути антивірус – і це вже слід вважати загрозливим. Однак, як згадувалося раніше, є способи зробити його більш прихованим навіть без будь-яких маніпуляцій з налаштуваннями безпеки користувача.
Спам електронною поштою як спосіб розповсюдження монет-майнерів є досить новим і, здається, зараз використовується набагато менше. На початку літа 2022 року спостерігався бум таких майнерів, який, як правило, був націлений на іспаномовні країни. Зловмисне програмне забезпечення містилося у підроблених файлах .docx, .xlsx, .pdf або .txt, які були вкладені до листа. Замість класичної схеми зі шкідливим макроскриптом всередині документа, шахраї використали іншу, більш стару схему – подвійне розширення. За замовчуванням у Windows вимкнено відображення розширень файлів, тому жертви бачили лише «легальне» розширення документа. Насправді всі ці файли були виконуваними - за налаштуваннями інтерфейсу ховалося розширення .exe.
Чи є віруси-криптомайнери небезпечними?
Перш за все, шкідливі майнери доставляють масу дискомфорту при використанні ПК. Криптомайнінг – це дуже ресурсомісткий процес, тому використання комп’ютера, який бере участь у майнінгу, практично неможливо. Якщо ваш центральний або графічний процесор завантажено до межі, коли цього ледь вистачає для роботи ОС (~75-80%), це означає, що ймовірно, вам буде важко навіть запустити веб-браузер. Майнінг вичавлює якомога більше енергії, і оскільки він контролюється хакерами, у вас немає можливості керувати цим навантаженням.
Однак це не єдина небезпека майнінгу. Ефективне обчислення хешу передбачає постійне навантаження на ваше обладнання, і хакери ніколи не втрачають шансу використовувати заражену ними систему якомога довше. Для процесорів тривалі навантаження не дуже критичні - вони зламаються лише якщо мають якийсь дефект кристала або зламаний радіатор. Водночас графічні процесори сильно зношуються під час майнінгу – деякі моделі можуть втрачати понад 20% продуктивності за місяць, залежно від використаного ПЗ та способу керування навантаженням. Зазвичай це відбувається, коли температура та навантаження на апаратне забезпечення регулюються неправильно, але знову ж таки – коли кіберзлочинці звертали увагу на стан ПК жертви?
Існує також ризик, про який зазвичай ніхто не говорить. Майнери монет можуть збирати пакети даних, які більш характерні для шпигунського програмного забезпечення та крадіїв. Інформація про місцезнаходження, справжню IP-адресу жертви, конфігурацію комп’ютера, особисту інформацію – ці речі, зібрані в базу даних, можуть коштувати чимало у Даркнеті. А пройдисвіти, які поширюють шкідливі майнери, ніколи не упустять шанс заробити додаткову сотню доларів. Вбудовування функції шпигунського програмного забезпечення займає кілька хвилин, а результати можуть бути тривожно поганими для жертви.
Як виявити шкідника-майнера?
Ключовою ознакою діяльності майнера є загальна повільність системи. Очевидно, що будь-якій системі буде важко працювати, коли ключовий елемент системи відволікається на інше завдання. Зловмисні криптомайнери витрачають всю доступну обчислювальну потужність, незалежно від того, встановлений в комп'ютері 10-річний Celeron чи Threadripper. Крім того, ви обов’язково почуєте, як вентилятор у корпусі крутиться на максимальних обертах. Тим не менш, такі ситуації можуть траплятися під час виконання щоденних завдань, тому важливо провести додаткові дослідження.
На відміну від вищезгаданих шпигунських програм, криптомайнери ніколи не приховують своєї присутності. Це неможливо хоча б тому, що є неусувна ознака його наявності – екстремальне навантаження на обладнання. Оскільки шахраї не можуть його позбутися, вони намагаються замаскувати шкідливий процес (який точно буде присутній у диспетчері завдань) за щось відоме та законне. Найбільш поширеною формою приховування є копіювання назви певного системного процесу. Більшість користувачів не мають уявлення про внутрішні механізми Windows і тому не можуть судити про адекватність навантаження від процесів, що працюють у фоновому режимі.
Бачачи такий процес, як “winlogon.exe” або “msmpeng.exe”, який споживає понад 70% потужності апаратного забезпечення, навряд чи наштовхне користувачів на якісь висновки. Пошук у Google, швидше за все, покаже, що ці процеси є частиною Windows. Однак немає ситуацій, коли ці процеси можуть потребувати стільки потужності ЦП. Звісно, є кілька виняткових випадків, але вони дуже рідкісні, і, швидше за все, така ситуація означає, що у вашій системі є шкідник-майнер.
Типові ознаки наявності вірусу-криптомайнеру у системі:
- Високе навантаження на ЦП або відеокарту, незалежно від того, які програми запущені користувачем;
- Системний (за назвою) процес, відображений посеред користувацької гілки процесів;
- Відсутність реакції на перезавантаження ПК. Завислий легітимний процес після перезавантаження зазвичай припиняє навантажувати апаратне забезпечення – але не криптомайнер;
- Microsoft Defender вимкнено без вашого бажання;
Тим не менш, найкращий спосіб переконатися, що у вас саме ця проблема, — скористатися антивірусним програмним забезпеченням. Ви, звичайно, можете здогадуватися, і ймовірність бути правим може бути досить високою, але в такій ситуації покладатися на випадковість не можна. Спеціалізоване ПЗ, яке має кілька систем виявлення, обов'язково покаже всі деталі того, що відбувається, і видалить зловмисника, якщо він дійсно присутній.
Як захистити ПК від шкідливих криптомайнерів?
Коін-майнерів не так легко передбачити та видалити, оскільки хвилі їх поширення рідко відповідають активності інших шкідливих програм. Цей тип шкідливих програм скоріше орієнтується на вартість криптовалюти - і вони набагато менш передбачувані, ніж інші шкідливі програми. Отже, ви повинні очікувати нових хитрощів і методів з іншою хвилею криптолихоманки.
Найкращий спосіб уникнути ризиків – уникати можливих джерел зловмисного програмного забезпечення. Звичайно, ви не можете уникнути використання основного їх джерела – Інтернету – але точно можете припинити відвідувати небезпечні місця та використовувати ПЗ, яке може завдати шкоди вашій системі. Сайти, які пропонують зламані версії популярних програм (т.зв варезники), форуми чи спільноти у Discord, де поширюються саморобні програми та утиліти, електронні листи від незнайомців – їм не варто довіряти. Навіть якщо ви впевнені, що це джерело не є шкідливим, краще перевірити його перед установкою - ніколи не можна бути впевненим на 100%.
Кращим методом, який все ще має виступати як останній аргумент, є ефективне програмне забезпечення для захисту від шкідливого ПЗ, яке включає в себе проактивний захист. За допомогою менш складних програм ви точно можете виявити вже запущеного шкідника-майнера, але проактивний захист може зупинити її ще до того, як вона бодай щось зробить. І пам’ятайте, що віруси-майнери нерідко можуть діяти і як шпигунське програмне забезпечення – і давати їм більше часу для дії рівнозначно публікації всіх ваших особистих даних. GridinSoft Anti-Malware зробить все як має бути - швидко і не даючи зловмисному ПЗ навіть шансу.