Скрытый майнинг – явление не новое, процесс майнинга затратный, а оборудование стоит больших денег. Вот мошенники и ищут постоянно новые способы добычи криптовалюты с помощью мощностей миллионов устройств –  . Такими делами промышляют не только желающие обогатиться исключительно на добыче крипты, но и крупные проекты вроде торрент-трекеров, популярных сайтов с торрентами, сайтов с видео контентом для взрослых, сайтов с онлайн просмотрами фильмов. Подцепить такого майнера можно десятками способов.

Причем качественной информации по тому, как обнаружить скрытого майнера, уничтожить его навсегда и не заразиться новым, очень мало, потому что всем выгодно скрыто майнить валюту. Вот только зарабатывают на этом мошенники, а пользователи расплачиваются испорченной техникой и нервами из-за долгой загрузки программ и страниц в интернете.

Мы попытались провести свое расследование по тому, каким бывает скрытый майнинг, как можно заразиться мошенническим ПО, как обезвредить майнера и защититься от мошенников.

В нашем расследовании:

Скрытый майнинг в браузере.

Скрытый майнинг на компьютере.

Скрытый майнинг через смартфон.

Скрытый майнинг в браузере

О браузер майнинге стало известно еще в далеком 2011 году, когда появился сервис BitcoinPlus (не путать с XBC). Разработчики предлагали владельцам сайтов встраивать код JavaScript для того, чтобы пользователи майнили для них криптовалюту через открытые страницы браузера. Тогда биткоин стоил недорого, а майнинг не составлял особого труда, поэтому для заработка битков достаточно было домашнего компьютера.

bitcoinplus

В 2013 году появился майнинг с помощью ASIC, который со временем стал настолько популярным, что заработок пользователей уменьшался в геометрической прогрессии, а требования к мощностям все росли. В этом же году вышел сервис Tidbit, также предлагавший зарабатывать владельцам сайтов на майнинге через браузеры пользователей. Сервис вскоре признали мошенническим, а браузерный майнинг практически умер.

История получила новый виток в 2017 году с выходом сервиса Coinhive, который предлагал JavaScript для владельцев сайтов, майнящий не биткоины, как у предшественников, а Monero через браузеры пользователей.

В Coinhive пропагандировали идею разрешения пользователем использовать мощность своего устройства для майнинга валюты вместо просмотра рекламы. Владелец сайт получает деньги, пользователь -безопасные сайты с качественным контентом и без рекламы. И, вроде бы, все довольны. Но предприимчивые сайтовладельцы быстро смекнули, что хорошо заработать можно при большой посещаемости, а пользователей, вопреки рекомендациям Coinhive, уведомлять о майнинге не обязательно.

A crypto miner for your website

Первое громкое мошенничество произошло со стороны торрент-трекера The Pirate Bay с посещаемостью более 290 млн. пользователей за полгода. Заработать администрации удавалось $47 000 в месяц! Пользователи ресурса быстро обнаружили скрипт Coinhive и заставили трекер прикрыть лавочку. Затем скрипты нашли на платном Showtime и виджете LiveHelpNow, а потом и на других ресурсах и в расширениях для браузеров.

Как это работает

Так как транзакции Monero анонимны, а отследить участников нельзя, майнинг этой валюты с помощью браузеров обретает небывалую популярность. Для того, чтобы браузеры пользователей начали майнить Monero, владельцу достаточно встроить несколько строк кода скрипта в код сайта.

script

Пользователь открывает любую страницу сайта, в которой есть код, и его браузер начинает добывать криптовалюту для ресурса. При этом скачивать и устанавливать никакие файлы не нужно, майнинг начинается без лишнего шума. Единственный момент – майнинг может создать дополнительную нагрузку на процессор, тогда его можно обнаружить.

Coinhive – самый известный проект, но далеко не единственный. В стадии бета-тестирования выпустили Crypto Loot и JSEcoin. Не будем забывать про умельцев, которые могут разработать подобный скрипт на коленке, и он будет майнить.

how it works

Как заразиться

Несмотря на то, что многие крупные ресурсы уже были уличены в мошенничестве и убрали строки скрипта из кода, промышляют скрытым браузерным майнингом многие проекты.

Подцепить скрытого майнера можно на сайтах с бесплатным онлайн просмотром фильмов и сериалов, сайтах с видео для взрослых, доменах, написанных с ошибками, торрент-трекерах и сайтах с браузерными играми. Вероятнее всего это проекты с большой посещаемостью, так как именно большой трафик дает хороший доход владельцам ресурсов.

Недобросовестные разработчики сайтов также могут встроить инъекции кода майнера на сайт.

Защита от скрытого майнинга в браузере

Прежде всего для интернет-серфинга стоит пользоваться проверенными ресурсами, что, конечно, не дает стопроцентной гарантии от скрытого майнинга, но является эффективной мерой профилактики.

Вероятно, через ваш браузер майнят, если вы заметили слишком медленную загрузку страниц, проблемы с отображением графического контента и большую нагрузку на процессор. В этом случае попробуйте обратить внимание на работу браузера при закрытии подозрительной страницы. Если при закрытии какой-либо вкладки страницы начинают грузиться быстрее, значит проблема была в домене страницы. Сразу же блокируйте этот домен и отключайте на нем JavaScript (сделать это можно в настройках браузера, отключать лучше выборочно для каждого подозрительного домена, чтобы не возникало проблем при отображении контента на качественных сайтах).

Browser cryptojacking prevention

Если ситуация с закрытыми подозрительными вкладками не меняется, попробуйте закрыть браузер и понаблюдать за работой программ на ПК, если скорость работы возросла, значит майнер делал свою работу.

Помимо выборочного отключения JavaScript обязательно стоит установить специальные расширения, блокирующие майнера Coinhive и подобные разработки.

Мы рекомендуем:

Можно пользоваться одним-двумя.

Пользуйтесь только проверенными расширениями, в непроверенные также может быть встроен скрипт

Установите утилиту Anti-WebMiner на ПК, которая блокирует загрузку скрипта в файле hosts.

Скрытый майнинг на компьютере

Такой вид мошеннического майнига самый опасный, схватить майнера легко, обнаружить сложно, а удалить без переустановки системы практически нельзя. При этом программа быстро износит технику, существенно сократив срок ее работы. Но, если соблюдать меры предосторожности и воспользоваться всеми нашими рекомендациями, у вас есть большой шанс на успех.

Самый известный случай подобного мошенничества был со стороны популярного торрент-трекера μTorrent, разработчики которого внедряли в ПК пользователей скрытого майнера EpicScale.

Как это работает

Заражение ПК происходит с помощью ботнетов – компьютерной сети с запущенными ботами на автономном программном обеспечении, которые устанавливают вне ведома пользователя программу, занимающуюся майнингом.

Сами по себе ботнеты не являются вирусами, но могут состоять из вирусов (троянов, червей), брандмауэров и программ для удаленного управления компьютером. При этом внедрившийся ботнет самостоятельно выбирает валюту, которая будет майниться, исходя из характеристик техники, чтобы процесс был максимально не заметен для пользователя. Занимаются созданием майнинг-сетей (ботнетов) и профессионалы, и даже школьники, которые за копейки продают свою разработку на дарк-форумах, имея при этом процент от добычи валют сетью.

Заметить такого ботнета нельзя, потому что он идет в связке с картинками, текстовыми документами, кряками, патчами, видео, торрентами, устанавливается самостоятельно по-тихому, маскируется под службу windows и других систем или вообще нигде не отображается, если ПК сильно нагружен майнер отключается, чтобы не вызывать лишних подозрений.

Это очень в общих чертах, в реальности работа ботнетов намного сложнее, потому что скрытые майнеры обновляются постоянно, стараясь быть максимально незаметными и неудаляемыми.

Как заразиться

Чаще всего жертвами мошенников становятся заядлые игроки, потому что имеют в своем арсенале мощную технику. Многие из них устанавливают взломанные игры, получая вот такие «подарки». Но это не единственный способ схватить майнера.

Заразиться можно через любые запущенные файлы (скачанные с сайтов или электронной почты), удаленный доступ без разрешения, добавленный в документ Word видео-файл из непроверенного источника (уязвимость программы), через спам-письмо по электронной почте, любые установленные взломанные программы.

Защита от скрытого майнинга на компьютере

Как найти скрытый майнер на компьютере? Для этого есть целый алгоритм работы. Не факт, что это решит проблему, но помочь может.

Не стоит просто удалять подозрительные файлы вручную или антивирусом, это лишь поверхностная мера, которая не даст результата совсем. Майнер запрограммирован так, что восстанавливает все удаленные таким образом файлы и продолжает работу.

Первый шаг – скачиваем программу мониторинга AIDA64. Программа показывает загрузку процессора видеокарты, и оперативной памяти. Выключаем абсолютно все, что можно, если нагрузка осталась, нужно искать виновника этого.

AIDA64

Далее скачиваем AnVir Task Manager, он подсвечивает все неопределенные процессы красным, помогает увидеть скрытые процессы и дает полную информацию о них с возможностью найти ее в сети и проверить на сайте VirusTotal.

Далее ProcessExplorer поможет вам вычислить что именно загружает видеокарту, даже если вы что-то обнаружили, не останавливайте процесс, иначе вирус все восстановит обратно. Меры тут требуются посерьезнее. Нашли подозрительный процесс, проверяем на VirusTotal, угроза обнаружена, начинаем ликвидировать.

virustotal

Кстати, утилита FolderSizes поможет найти папки с большим объемом данных, обязательно стоит проверить эти папки, к вопросу о том, как обнаружить скрытый майнер на компьютере.

Далее скачиваем следующие утилиты и проверяем ПК в безопасном режиме:

  • Web CureIt! (только с официального сайта!)
  • COMODO Cleaning Essentials
  • Junkware RemovalTool
  • Adw Cleaner
  • TDSSKiller

DrWeb

Если весь этот набор не справился с вирусом, скачиваем AVZ (как пользоваться можно узнать на профессиональных форумах).

Если какие-то из утилит не смогут работать в безопасном режиме, то предварительно лучше проверить RKill все процессы в обычном, чтобы остановить все препятствия антивирусам.

Получилось? Теперь чистим реестр от следов присутствия вредителей. Для этого используем CCleaner и Auslogics BoostSpeed.

boostspeed10

Если же все принятые меры не помогли, единственный способ спасения от вируса – переустановка системы.

Установленные, затем удаленные программы создают множество мусора, за счет оставшихся модулей и записей, поэтому вирусу ничего не стоит спрятаться и замаскироваться. При этом чистильщиками реестра не всегда удается до конца удалить весь ненужный мусор.

В качестве профилактики от срытых майнеров можно пользоваться исключительно переносными программами, оставив на ПК минимальный набор программ и драйверов. В качестве защиты можно установить антивирус 360 Total Security, который постоянно «параноит» и не доверяет ничему. При желании его можно отключить.

Скрытый майнинг через смартфон

Растущая производительность мобильных телефонов тоже позволяет злоумышленникам майнить через устройства. Причем схватить скрытого майнера можно как браузерного, так и встроенного.

phone

Заразиться со смартфона можно через сайты для взрослых, взломанные приложения, спам в смс и на электронной почте.

Мы рекомендуем в браузер встроить блокирующие майнеров расширения, например, uBlock, а на смартфон установить антивирус.

Однако мобильный майнинг будет легко обнаружить за счет большой нагрузки на аккумулятор. К сожалению, или к счастью, производительность смартфонов ушла далеко вперед в отличие от стойкости батареи.

Скрытый майнинг через Wi-Fi

Утро 2 декабря стало для Starbucks в Буэнос-Айресе разоблачающим. Один из посетителей заметил, как нехарактерно начал перегреваться его ноутбук, когда он пил кофе в этом кафе. Посетитель взглянул в код одной из html-страниц и обнаружил подозрительный скрипт. Оказалось, что руководство кафе решило подзаработать на гостях, подключающихся к их бесплатному Wi-Fi, используя скрытого майнера. Новость быстро облетела мировые СМИ, а владельцам Starbucks пришлось сознаться и устранить проблему. А технология с символичным названием CoffeeMiner стала резко популярной.

Как это работает

Злоумышленники работают в виртуальном пространстве кафе, в котором есть роутер, раздающий Wi-Fi нескольким устройствам. Они устанавливают ПО (например, дисковый образ Linux) на виртуальную машину и перехватывают интернет-трафик, подсаживая JavaScript инъекции в просматриваемые гостями html-страницы. Чаще всего скрипт – это майнер CoinHive, который работает на добычу Monero. Вся концепция работает в автономном режиме.

how to work2

Сложного в осуществлении подобного мошенничества нет ничего. В сети присутствует множество подробных и работающих схем, ссылок на программы, виртуальных машин и скриптов, видео-инструкций, как перехватить трафик и майнить через устройства посетителей.

KALI ATTACKER

Как заразиться

По сути, жертвой скрытого майнера может стать абсолютно любой пользователь, подключившийся к любому бесплатному Wi-Fi в кафе, ресторанах, торговых центрах, аэропортах, общественном транспорте, магазинах, библиотеках и т.д. Не спасут даже запароленные сети в некоторых заведениях, потому что злоумышленник точно также может получить пароль, что-то заказав.

Защита от скрытого майнинга через Wi-Fi

Меры профилактики и защиты от подобного мошенничества аналогичны мерам против скрытого майнинга в браузере. Разница в том, что код может быть встроен даже на страницы безопасных ресурсов. Прежде всего, не рекомендуем подключаться к общественным сетям, а если все же такая необходимость есть, то на браузер устанавливайте расширения, блокирующие скрипт Anti-WebMiner, NoScript (Firefox), ScriptBlock, ScriptSafe (Chrome), uBlock (Chrome), NoCoin, MinerBlock, на смартфоне можно воспользоваться uBlock для браузера и антивирусом.

Узнайте больше о наших подходах и принципах, интересных и актуальных темах о биткойне, криптовалюте, ICO

Подождите...

Спасибо за подписку!