Як захиститися від вірусів-майнер

Ознаки того, що зловмисники використовують ваш комп’ютер або смартфон для видобутку кріптовалюти, і способи запобігання.
Михайло Кондрашин
Технічний директор Trend Micro в Росії і СНД.
Що таке віруси-майнеры і чим вони загрожують
У 2017 році в Росії стався справжній бум криптовалют. Зрослий курс биткойна і його аналогів привернув увагу до теми шахраїв і хакерів, які почали видобувати віртуальні монетки нечесним способом: в інтернеті з’явилися віруси-майнеры, перетворюють заражені комп’ютери в мережу майнинговых ферм. З миру по нитці — от і виходить гігантська майнінг-ферма з величезною продуктивністю, що приносить десятки тисяч доларів щомісяця.
Схема обману проста і надійна: хакери запускають в інтернет віруси, які поширюються через поштові вкладення або сайти-джерела завантаження контенту. Віртуальні «чорні шахтарі» заволодівають потужностями зараженого комп’ютера: хакерам сиплються віртуальні монети, а жертви — рахунки за електрику.
На щастя, віруси-майнеры не псують файли на комп’ютері та не крадуть дані. Їх завдання — використовувати обчислювальну потужність системи для своїх потреб. Але все одно це погано, особливо якщо заражена мережа цілого підприємства.
Як можна підхопити вірус-майнер
1. Через запуск файлу
Підхопити вірус можна, відкривши вкладення в незрозумілому листі від невідомого відправника. Неважливо, чи виглядає він як зображення, документ, таблиця або архів. Якщо вам прийшов лист із заголовком на кшталт «Зарплати співробітників компанії», не варто вважати, ніби в ваші руки потрапила цікава секретна інформація. Саме заманює (кликбейтные) заголовки допомагають вірусам проникати на комп’ютери наївних користувачів.
Намагаєтеся завантажити зламану версію платної програми? З великою ймовірністю хакери прикрутили до неї вірус-майнер.
2. Через відвідування сайту
Завдяки розвитку веб-технологій стати жертвою майнера можна і без зараження. Наприклад, інструмент CoinHive, що представляє собою скрипт Java, робить майнером будь-який пристрій, на якому відкрили сайт з інтегрованим скриптом CoinHive. Причому майнить може не тільки комп’ютер, але також смартфон і будь-які інші мобільні ARM-пристроїв з доступом в інтернет.
Найчастіше CoinHive встановлюють на сайти, де користувач проводить багато часу, наприклад на піратські онлайн-кінотеатри.
3. Через уразливості в системі
На жаль, навіть обережні користувачі можуть підхопити вірус, який проникає через уразливості в операційній системі. Все відбувається абсолютно непомітно.
Наприклад, відомий бекдор DoublePulsar, з-за якого мільйони комп’ютерів по всьому світу були заражені вірусом WannaCry, дав життя цілого сімейства вірусів-майнер, що проникали в Windows тим же шляхом.
Розробники операційних систем (у першу чергу мова про Microsoft і її Windows) планомірно випускають заплатки при виявленні подібних уразливостей. Тому в групу ризику потрапляють користувачі, які принципово не встановлюють оновлення на свій комп’ютер або роблять це із запізненням.
4. Через розширення для браузера
Півроку тому інтернет вразила історія з розширенням Archive Poster для браузера Chrome, створеного для зручної роботи з сервісом Tumblr. Як помітили користувачі став популярним (понад 100 тисяч завантажень) розширення, в Archive Poster розробники таємно вбудували майнер і тим самим заробляли на своїй аудиторії.
Причому Google не поспішали забирати шкідливий розширення свого онлайн-магазину. Так що перед установкою нового браузерного розширення як мінімум почитайте відгуки — раптом за безкоштовне розширення доведеться заплатити потужністю свого комп’ютера.
Ознаки роботи вірусу-майнера
Висока завантаження комп’ютера
Сучасні комп’ютери дуже добре управляють електроживленням і не допускають використання всієї обчислювальної потужності даремно. Особливо це стосується ноутбуків: під час перегляду сайтів, відео або просте їх вентилятори працюють ледь чутно.
Пам’ятаєте, як шумить система охолодження під серйозним навантаженням на зразок ігор? Якщо комп’ютер почав перманентно гудіти і грітися, система страшно гальмує і підвисає, значить, її ресурси хтось поглинає. Та скоріше всього, це вірус-майнер.
Завантаження в періоди неактивності
Бувають варіанти майнер, які включаються тільки в моменти неактивності користувача. Припустимо, ви залишили комп’ютер включеним, але відійшли від нього. Через кілька хвилин вентилятори починають завивати, а майнер береться за свою брудну справу і припиняє працювати, як тільки ви беретеся за мишу. Такий спосіб паразитичного існування дозволяє вірусу залишатися непоміченим довгий час.
Профілактика і лікування
Далеко не всі антивіруси успішно борються з майнерами. Справа в тому, що сам по собі майнінг — це не процес пошкодження або шифрування файлів (як у випадку з вірусами-вимагачами, наприклад). Якщо конкретного майнера немає в базі антивіруса, то вірус буде пізнаний як «ненажерливе», але абсолютно безпечне додаток.
Якщо ви не хочете стати пасивним здобувачем чужих криптовалют, дотримуйтеся простих рекомендацій.
1. Думайте, що завантажуєте
Як би не була велика спокуса скачати піратське додаток, музику, фільми, тільки легальні ресурси можуть гарантувати безпеку. Разом з сумнівним файл на комп’ютер або смартфон, напевно потрапить якийсь троян.
Розширення завантажуваного файлу повинна відповідати типу контенту, який ви хочете завантажити. Книга, музика або фільм не можуть мати розширення .EXE або .DMG.
Якщо після завантаження файлу з’явилися підозри, краще не ризикувати, а перевірити його антивірусом. Є багато безкоштовних онлайн-сканерів, наприклад:
Kaspersky VirusDesk;
Dr.Web;
VirusTotal;
PhishTank;
Unmask Parasites.
Для гарантії краще спробувати відразу 2-3 ресурсу.
2. Не відкривайте вкладення з дивних листів
Якщо вам прийшов лист від невідомого адресата з незрозумілих вкладенням, видаляйте цей лист, не роздумуючи. Більшу частину вкладень у фішингових листах являють собою файли типів .RTF, .XLS і .ZIP, тобто текст, таблиці та архіви відповідно. Виконувані файли .EXE зустрічаються рідко, так як їх відправку блокують багато поштові сервіси і комплексні системи ІТ-захисту.
Навіть простий документ Word або відеоролик можуть призвести до зараження комп’ютера майнером.
Конкретних назв шкідливих файлів не існує. Вони постійно змінюються, але завжди зберігають привабливі назви начебто «мои_фото.zip», «тендеры_2018.xls», «зарплаты.doc» і тому подібні.
3. Використовуйте надійний антивірус
Відомі антивіруси навчилися непогано виловлювати майнеры. Причому, навіть якщо в базу антивіруса не встигли додати нову модифікацію вірусу-майнера, його робота може бути заблокована завдяки евристичному аналізу. В описі ряду антивірусів прямим текстом сказано про захист від вірусів-майнер. Однак не забувайте, що без щоденного оновлення баз антивірус стає марним. Користуєтеся зламаної копією антивіруса, який не може оновлюватися? Вважайте, що комп’ютер залишився без захисту.
4. Оновлюйте систему
Регулярно оновлюйте операційну систему, антивірус, браузер і офісні додатки. В першу чергу випускають оновлення, щоб виправити в додатках помилки і закрити дірки в безпеці.
Для антивірусів це особливо актуально: крім баз, оновлюються фільтри фішингових сайтів, файрволы та інші важливі компоненти, що захищають комп’ютер.
Не забувайте, що оновлювати додатки можна тільки через їх власний інтерфейс. Якщо якийсь сайт раптово пропонує вам завантажити оновлення для антивіруса, операційної системи або браузера, то там вас гарантовано чекає вірус або троян. Також не варто встановлювати оновлення, отримані поштою.
Довірившись такої пропозиції, замість оновлення для браузера ви напевно отримаєте шкідливу програму
5. Використовуйте розширення-блокувальники в браузерах
Розширення браузера, такі як No Coin або minerBlock для Chrome і Firefox, MinerBlock для Chrome, будуть блокувати вже відомі віруси-майнеры, що працюють прямо в браузері. Мабуть, це самий просто спосіб захисту від майнер. Головне — не забороняти розширенням оновлювати свої бази, щоб вони зберігали свою актуальність.
6. Є сумніви? Запускайте «Диспетчер завдань»
Якщо ви помітили, що ваш комп’ютер почав гальмувати, а вентилятори ноутбука не вщухають, можна швидко перевірити активні процеси. В Windows запустити Диспетчер завдань» поєднанням клавіш Ctrl + Shift + Esc, а на macOS через пошук знайдіть утиліту «Моніторинг системи».
Відсортуйте процеси завантаження ЦП і подивіться, який з них «з’їдає» більше всього ресурсів. Якщо якийсь процес завантажує ЦП на 80-90%, то пошукайте його ім’я в пошукових системах — раптом це відомий майнер. Заодно перевірте систему антивірусом.
Читайте також
Чорний майнінг: як заробляють гроші через чужі комп’ютери >
Як виявити веб-майнер в Chrome >
5 надійних файрволів для захисту вашого комп’ютера >