Берегите свои ресурсы: майнеры атакуют

Наверное, уже нет тех, кто бы не слышал о майнинге и о том, что с его помощью можно заработать "огромные деньги". Все больше и больше людей пробуют "откопать" криптомонеты. Но, существуют и те, кто занимаются "черным" майнингом - добывают криптовалюты за счет чужих ресурсов.

Как только стало очевидно, что с помощью майнинга криптовалют можно заработать немалые деньги, некоторым хитрым личностям пришел в голову достаточно легкий способ монетизации своих ботнетов (сети подконтрольных злоумышленнику устройств) - ведь на каждом из них можно запустить майнер и добывать криптовалюту в своих собственных интересах. Так как заражению подвергаются чаще всего компьютеры рядовых пользователей, то и объем добытой валюты с каждого из устройств будет небольшим, поэтому для получения криптовалюты чаще всего используются пулы майнеров. Пул для добычи криптовалют это специальный сервер, который распределяет задачу расчета блока между всем участниками пула. Как только кто-либо из участников пула находит блок - вознаграждение с этого блока распределяется между участниками пула в соответствии с их участием в добыче блока (чем больше участник выполнил работы - тем большую долю от прибыли он получит). При этом, каждый участник пула может подключать неограниченное количество майнеров. Таким образом, злоумышленник включает все манеры из подконтрольного ботнета в свой аккаунт и получает прибыль со всех устройств одновременно.

Первые официальные сообщения об обнаружении скрытого майнинга появились еще в далеком 2011 году, а в 2013 это явление уже приобрело массовый характер в связи с первым обширным заражением через Skype.

Схема работы всех троянов-майнеров приблизительно одинакова. Первым этапом, под видом полезной программы, либо посредством действий вируса, на компьютер жертвы попадает загрузчик. Далее этот загрузчик анализирует конфигурацию оборудования жертвы и подбирает наиболее удачный для нее майнер и его конфигурацию (валюту, тип майнинга, максимальную нагрузку, майнинг-пул и т.д.), затем выполняется загрузка и запуск манера. Основная задача выполнена - майнер запущен, соединение с пулом установлено. После этого троян может заняться своим дальнейшим распространением, похищением данных с устройства пользователя, либо даже удалением себя самого, чтобы снизить вероятность обнаружения майнера - фантазия злоумышленников в данном вопросе просто безгранична.

Достаточно интересно вел себя троян Trojan-Ransom.Win32.Linkup. При заражении устройства, доступ к интернету блокировался на уровне DNS-запросов и на полную мощность без ограничений по производительности запускался манинг Bitcoin. При этом, любая попытка зайти на любой сайт приводила к открытию сообщения о том, что компьютер заблокирован Советом Европы в связи с распространением детской порнографии и требованием заполнить форму с полными персональными данными и требованием оплатить штраф в размере 0.01 Евро для разблокировки доступа.

Оказывается, вирусы бывают не только вредными, но и немножко полезными. Весной 2017 был обнаружен вирус-майнер Adylkuzz, который не только мелко пакостил, тихонько добывая Monero на компьютере жертвы, но и попутно выполнял полезную функцию - закрывал за собой дыру в безопасности, через которую проникал сам. Таким образом, на компьютер уже не мог попасть один из самых опасных вирусов-шифровальщиков WannaCry, который использовал эту же уязвимость.

Но не только злые хакеры наживаются на ничего не подозревающих пользователях. Также и некоторые недобросовестные разработчики широко распространенного ПО пытались включать майнеры в состав своего программного продукта. Так, в марте 2015, авторы популярного Torrent-клиента uTorrent встроили манер от Epic Scale, который устанавливался вместе с uTorrent в тайне от пользователя.

Поэтому, если Ваш компьютер стал чаще перегреваться, медленнее работать, батарея Вашего ноутбука стала заметно быстрее разряжаться или Вы заметили другие признаки постоянной напряженной работы Вашего устройства - это серьезный повод задуматься, а не используют ли Ваш девайс для майнинга криптовалют в пользу злоумышленников.

Большинство антивирусного ПО не относит сами майнеры к категории вредоносного программного обеспечения т.к. прямого вреда они не наносят и далеко не всегда устанавливаются без ведома пользователей, ведь и сами пользователи часто занимаются майнингом криптовалют на своих устройствах, но для того, чтобы все же сообщить о них пользователю их выделяют в категорию Riskware (рискованные) или Not-a-virus, а дальше уже пользователь сам принимает решение о дальнейших действиях с обнаруженным майнером. При этом, в большинстве случаев, программа-загрузчик, в случае обнаружения, обязательно удаляется как вредоносная.

Для того, чтобы обезопасить себя от вирусов-майнеров, как и от любых других, в большинстве случаев, достаточно использовать современное антивирусное ПО с регулярно обновляемыми базами сигнатур вредоносного ПО, включить фаервол и ни в коем случае не терять бдительности при скачивании чего-либо из Сети.