Профіль загрози XMRig та засіб видалення

Профіль загрози XMRig

XMRig починався як легальний інструмент для майнінгу Monero, але модифіковані або перепаковані версії часто використовують зловмисники, щоб непомітно навантажувати заражені комп’ютери. Ця сторінка зібрала профіль загрози, контекст виявлення, IoC та інструмент Gridinsoft для очищення підтверджених інфекцій XMRig.

Потрібні ручні кроки очищення Windows для вірусу xmrig.exe, високого навантаження CPU або інфекції, що повертається після видалення? Читайте посібник з видалення вірусу XMRig.exe.

Чому зловмисники обирають Monero?

Monero зручна для CPU-майнінгу та має швидкі транзакції, які складніше відстежити. Для атакувальників багато скомпрометованих пристроїв можуть давати стабільний прибуток без дорогої GPU-інфраструктури.

Як поширюється XMRig?

Шкідливі збірки XMRig зазвичай потрапляють через дропери, зламане ПЗ, сумнівні інсталятори, фальшиві оновлення, вкладення листів або вже скомпрометовані системи. Оскільки легальна кодова база відкрита, різні групи легко змінюють конфігурацію, імена файлів та механізми закріплення.

Аналіз майнера XMRig

Після запуску шкідлива програма часто розпаковується, записує файли в Temp, AppData або ProgramData і створює закріплення через заплановані завдання, служби або автозапуск. Далі вона отримує параметри майнінгу: пул, гаманець і ліміт CPU, з керуючої інфраструктури або вбудованої конфігурації.

/c schtasks /create /f /sc onlogon /rl highest /tn "svchost" /tr '"C:\Users\RDhJ0CNFevzX\AppData\Local\Temp\svchost.exe"' & exit

Наслідки шкідливого майнера

Найпомітніший симптом — високе навантаження CPU, часто разом із шумом вентиляторів, нагрівом, гальмуванням і швидким розрядом батареї. Ноутбуки та погано охолоджені системи можуть тротлити або працювати нестабільно. Для практичних кроків Windows щодо Safe Mode, завдань, служб і фінальної перевірки скористайтеся посиланням на блог-гайд.

Засіб видалення XMRig для Windows

Коли активність XMRig підтверджена, Gridinsoft Anti-Malware може просканувати уражену Windows-систему, знайти компоненти майнера, перевірити підозрілі елементи закріплення та видалити підтверджені загрози. Ця сторінка зберігає технічний профіль і IoC; блог-гайд описує ручне очищення Windows.

Як захиститися від XMRig

• Уникайте кряків, активаторів та інсталяторів, які просять вимкнути захист.
• Перевіряйте нові елементи автозапуску, служби та заплановані завдання після встановлення невідомого ПЗ.
• Оновлюйте Windows, браузери та засоби безпеки.
• Запускайте повне сканування після підозрілих завантажень.

XMRig IoC

Це приклади індикаторів, помічених у шкідливій активності, пов’язаній з XMRig. Перевіряйте їх разом із локальною телеметрією перед широким блокуванням: інфраструктура майнерів часто змінюється, а hashes залишаються корисними для файлового triage та історичного виявлення.

SHA256
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MD5

5906ac14bc45a1f39cb9eb790a1d3b27
0252b6575abd58fac21130cd75fc42a0
2a0d26b8b02bb2d17994d2a9a38d61db
52df19b9845a6da6197831525c7a1f01
5807efef92e20ffe074bbdc141cfbdad
6a292b8ab3ff79cefe5f8e42882885d2
22a9265676ffebc71d888f0c57af9fd1
47d02cfb4cdbccccbc35d082f5351dd1
e5e85cc9c86ad7362efc2255612db5c0
96c45411bcda48997ead1d0dd2aff484

IP addresses