Как найти майнер в браузере

Страсть к лёгкому нечестному заработку – неизменная часть человеческой натуры. Так что методы такого заработка будут придумываться до тех пор, пока существует само человечество. В век информационных технологий наиболее популярным методом подобного вида обогащения является создание компьютерных вирусов, на которых их создатели зарабатывают немалые деньги. С каждым годом вирусы развиваются, становятся более изощрёнными, и их всё труднее обнаружить. Один из ярчайших примеров такого «умного» вируса – это вирус-майнер.

Что такое вирус-майнер

Прежде чем ответить на этот вопрос, нужно немного углубиться в теорию и сложные термины. Майнинг – это добыча криптовалюты. Криптовалюта – это цифровая валюта, которая базируется на криптографических методах (то есть на методах обеспечения конфиденциальности и целостности данных).

Криптовалюты стали популярны по двум причинам:

• во-первых, транзакции с участием криптовалют анонимны;
• во-вторых, их курс нестабилен и постоянно «скачет», что даёт хорошую почву для трейдинга (заработке на изменениях курса валют).

Добыча криптовалюты представляет собой огромное множество сложных расчётов. Для выполнения этих расчётов используются вычислительные мощности компьютеров. Многие майнеры (люди, занимающиеся майнингом) тратят огромные деньги на покупку техники, обеспечивающей выполнение нужных расчётов. Но создатели вирусов-майнеров пошли ещё дальше – они не хотят проводить крупные инвестиции, они хотят использовать вычислительные мощности вашего компьютера в целях личного обогащения. Именно в этом и заключается суть работы данного типа вирусов.

Чем он опасен

Вирус вирусу рознь. Одни вирусы относительно безобидные (например, какой-нибудь браузер Амиго, устанавливающийся наперекор вашему желанию), а другие такие, которые иначе как откровенным вымогательством и угрозой не назовёшь (например, винлокеры, которые блокируют ваш компьютер и требуют перечислить деньги на определённый кошелёк для разблокировки). Майнер на первый взгляд кажется безобидным вирусом. Якобы кто-то зарабатывает на вас, но сами вы от этого ничего не теряете. Но это не совсем так.

Как было упомянуто выше, майнинг работает за счёт огромного множества расчётов. Чтобы проводить эти расчёты, компьютер нагружает свои аппаратные компоненты (процессор, оперативную память, но главным образом видеокарту, потому что именно в ней происходят все вычисления и именно её мощности интересуют злоумышленника). Чем сильнее эти компоненты загружены, тем больше они нагреваются. Чрезмерная нагрузка приводит к перегреву, а перегрев – к неисправности компонентов. В лучшем же случае наличие вируса-майнера отрицательно скажется на производительности компьютера, например, снизит FPS в играх (количестве кадров в секунду). Если вы заядлый геймер, то уже только это должно побудить в вас стремление поскорее от этого вируса избавиться.

Виды вирусов-майнеров

Вирусы-майнеры можно разделить на две категории: исполняемые файлы и браузерные скрипты. Многие люди и по сей день спокойно пользуются компьютером и даже не подозревают, что он в это время зарабатывает деньги кому-то другому.

Рассмотрим подробнее каждую из категорий вирусов, а также разберём способы их обнаружения и удаления.

Вирус-майнер в виде исполняемого файла XMRig CPU Miner

Большинство вирусов являются исполняемыми файлами с расширением .exe, и вирус-майнер – не исключение. Такие вирусы могут проникать к вам в компьютер разными методами, но наиболее частый метод – это дополнительные модули при скачивании файлов, которые устанавливаются вместе с ними. Ниже мы разберём способы их обнаружения и удаления.

Как обнаружить

Вирус-майнер в виде исполняемого .exe-файла называется XMRig CPU Miner. Не стоит путать его с программой, у которой такое же название. В отличие от программы, которая вполне полезна, вирус потребляет куда больше ресурсов компьютера, и работает не на вас, а на кого-то другого. Но проблем с путаницей не возникнет – здесь всё просто. Если на вашем компьютере установлена эта программа, значит, вы сами добровольно её установили и знали, зачем она нужна и какие функции выполняет. Ведь в отличие от вируса-соименника она не стремится проникнуть в файловую систему вашего компьютера путём обмана и любыми способами усложнить процесс своего обнаружения и удаления.

Для обнаружения данного вируса необходимо периодически проводить мониторинг производительности компьютера. То есть делать следующие вещи:

• следить за процессами и их нагрузкой на компоненты. Для выполнения этой функции существует диспетчер задач. Открывается он с помощью нажатия комбинации клавиш «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc»;

  

  В «Диспетчере задач», контролируем работу процессов в соответствующей вкладке

• следить за температурой компонентов. С этой задачей справляются такие программы как AIDA64, CPU-Z, Open Hardware Monitor, MSI Afterburner и другие ПО с аналогичным функционалом.

  

  Интерфейс программы AIDA64, с помощью которой возможно проконтролировать температуру компонентов компьютера

Такой мониторинг желательно проводить регулярно, чтобы отслеживать состояние компьютера. Если в «Диспетчере задач» вы видите, что нагрузка на компоненты слишком велика, хотя никакие требовательные игры или программы у вас не запущены, то следует задуматься о наличии у вас вредоносных файлов.

То же самое касается и проверки температуры – если она слишком высокая, то, возможно, аппаратные компоненты перегреваются из-за наличия вируса (при условии, что вы хотя бы два раза в год чистите компьютер от пыли и проводите замену термопасты).

Если компьютер перегружен и перегревается, то пришло время проверить процессы, так как именно в них должен отображаться вирус XMRig CPU Miner. Для этого проделайте следующие шаги:

1. Запустите «Диспетчер задач» с помощью кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc».

   

   Нажимаем одновременно сочетание кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc», чтобы вызвать «Диспетчер задач»

   На заметку! Желательно заиметь себе привычку постоянно держать «Диспетчер задач» в запущенном и свёрнутом состоянии. Он поможет вам в один клик узнать много полезной информации о текущем состоянии компьютера, при том сам потребляет крайне мало ресурсов.

2. Перейдите во вкладку «Процессы».

   

   Переходим во вкладку «Процессы»

3. Если в процессах оказался XMRig CPU Miner, значит, ваши подозрения относительно вируса-майнера подтвердились.

   

   Просматриваем процессы, наличие процесса «XMRig CPU miner» с высоким процентом означает, что на устройстве есть вирус майнер

Как удалить

Вирус XMRig CPU Miner после проникновения в компьютер укрепляется в нём довольно плотно. Он пускает свои корни вглубь операционной системы, что делает его удаление задачей не из лёгких. Удаление этого вируса требует последовательного и комплексного подхода.

В первую очередь нужно просканировать компьютер с помощью антивируса. Для этого подойдут следующие программы:

• Kaspersky;
• Avast;
• DrWeb;
• AdwCleaner.

Рассмотрим процесс сканирования удаления на примере программы AdwCleaner. Среди её преимуществ можно выделить высокую скорость сканирования и удаления обнаруженных угроз. Итак, если вы хотите удалить вирусы с помощью этой программы, то следуйте дальнейшей пошаговой инструкции:

1. Скачайте AdwCleaner. Сделать это можно по следующей ссылке: https://toolslib.net/downloads/viewdownload/1-adwcleaner/.

   

   Переходим по ссылке на сайт

2. Кликните по кнопке «Download» и дождитесь загрузки файла.

   

   Кликаем по кнопке «Download»

3. Запустите файл «adwcleaner_7.2.4.0.exe». 7.2.4.0 – это последняя версия программы на текущий момент.

   

   В папке «Загрузки» запускаем файл «adwcleaner_7.2.4.0.exe»

   Справка! Если во время прочтения вами статьи вышла новая версия, то она будет указана на странице загрузки, которая приведена выше. Номер версии также будет указан в имени файла. После скачивания файл переместится в папку «Загрузки» на вашем компьютере. Чтобы зайти в эту папку, перейдите в следующую директорию: «C:»/«Пользователи»/«Имя вашего компьютера»/«Загрузки».

4. Откройте вкладку слева «Панель управления» и нажмите «Сканировать».

   

   Открываем вкладку слева «Панель управления», нажимаем «Сканировать»

5. Дождитесь результатов сканирования. AdwCleaner славится своей высокой скоростью, а значит, окончания процесса сканирования придётся ждать недолго.

   

   Процесс сканирования компьютера на наличие вредоносных программ и вирусов

6. После того, как программа покажет вам результаты сканирования и выявленные вредоносные файлы, нажмите на кнопку «Очистить и восстановить».

   

   Нажимаем на кнопку «Очистить и восстановить»

Важно! После нажатия на данную кнопку AdwCleaner предупредит вас, что будет произведена перезагрузка компьютера, поэтому вам следует сохранить текущую работу (например, сохранить документ в Ворде, картинку в Фотошопе, музыкальный файл в FL Studio или просто сохраниться в игре). «Сохранитесь» везде, где только можно, затем подтвердите перезагрузку.

После того, как вы просканировали и «почистили» ваш компьютер, то же самое нужно сделать с реестром. Для данной процедуры прекрасно подойдёт программа CCleaner. Она не только проверяет реестр на наличие проблем и несоответствий, но и широко используется для оптимизации работы компьютера за счёт освобождения места на системном диске C.

Итак, для очистки реестра проделайте следующие шаги:

1. Скачайте CCleaner с официального сайта http://ccleaner.org.ua/download/. На странице загрузки выберите версию вашей ОС и нажмите на название программы. После нажатия загрузка начнётся автоматически.

   

   Выбираем версию ОС, нажимаем на название программы

2. Запустите файл «ccsetup547.exe». 5.47 – это последняя версия на данный момент. Файл будет храниться в папке «Загрузки» (системный адрес этой папки указан выше).

   

   Запускаем файл «ccsetup547.exe» из папки «Загрузки»

3. После запуска нажмите на «Установить», чтобы начать установку программы.
4. Дождитесь окончания установки. Программа сама по себе не требовательная, так что и устанавливаться она будет считанные секунды. После установки вы сможете сразу же запустить её, нажав на кнопку «Запустить CCleaner». Так и сделайте.

   

   Нажимаем на кнопку «Запустить CCleaner»

5. Перейдите во вкладку «Реестр» и поставьте галочки напротив каждого параметра («Шрифты» можете не трогать). Затем нажмите на «Поиск проблем» и дождитесь, когда программа проведёт сканирование реестра. В большинстве случаев этот процесс занимает меньше минуты.

   

   Переходим во вкладку «Реестр», нажимаем на «Поиск проблем»

6. По окончании сканирования нажмите на «Исправить выбранное». Вам будет предложено сохранить резервные копии изменений. Делать это или нет – решайте сами, но на процесс очистки реестра это никак не повлияет.

   

   Нажимаем на «Исправить выбранное»

7. Нажмите на кнопку «Исправить отмеченные», чтобы исправить сразу все найденные ошибки, а не перебирать их по одной. После исправления можете закрыть программу.

   

   Нажимаем на кнопку «Исправить отмеченные»

Если вы поочерёдно выполнили два вышеописанных способа, но вирус-майнер всё ещё паразитирует на вашем компьютере, то вам придётся удалять его вручную с помощью Редактора реестра. Для этого делайте следующее:

1. Запустите меню «Выполнить». Сделать это можно при помощи одновременного нажатия клавиш «Win+R».

   

   Одновременным нажатием клавиш «Win+R», вызываем консоль «Выполнить»

2. В поле ввода наберите текст «regedit» и нажмите «ОК».

   

   В поле ввода набираем текст «regedit», нажимаем «ОК»

3. Нажмите на комбинацию кнопок «Ctrl+F», чтобы запустить поиск в реестре или выберите соответствующую функцию во вкладке «Правка».

   

   Для вызова окна поиска нажимаем на комбинацию кнопок «Ctrl+F» или переходим в пункт «Правка»

4. В поиске введите «xmrig» (регистр букв не важен), нажмите «Найти далее».

   

   В поиске вводим «xmrig», нажимаем «Найти далее»

5. Удалите все параметры реестра, в которых присутствует такое название. Делается это с помощью нажатия правой клавиши мыши на параметре, затем левой на «Удалить».

   

   Нажимаем правой клавиши мыши на параметре с названием «xmrig», затем левой на «Удалить»

6. Перезагрузите компьютер.

И запомните! Всегда смотрите, какие галочки ставите во время установки файлов, особенно если они скачаны с сомнительного ресурса!

Видео — Вирус майнер, как найти и удалить?

Браузерный майнер

Вирус-майнер в виде исполняемого файла было несложно обнаружить – сложности могли возникнуть в процессе его удаления. Но в случае с «онлайновым» майнером всё наоборот. Более того, удалить его не просто сложно – это сделать невозможно. А чтобы его обнаружить, нужно иметь хотя бы поверхностные знания в веб-программировании (в частности знать структуру HTML-страницы). Но обо всём по порядку.

Как обнаружить

Есть такой популярный язык программирования как JavaScript. Его возможности довольно широкие, но чаще всего он используется для улучшения внешнего вида страниц сайтов. Практически на всех сайтах установлено несколько скриптов, а если ваш браузер не поддерживает JavaScript, то вы даже не сможете зайти с него в ВК.

Но некоторые умельцы использовали возможности языка для того, чтобы создать онлайн-майнер. Он работает следующим образом – пока вы сидите на странице, скрипт через браузер использует ресурсы вашего компьютера для майнинга криптовалюты. Такие скрипты в основном используются на сайтах, которые предназначены для длительного просмотра.

К ним можно отнести:

• сайты с онлайн-книгами. Пока вы пополняете свой интеллектуальный багаж, злоумышленник с вашей помощью пополняет свой кошелёк;
• сайты с фильмами и сериалами. Просмотр фильмов занимает длительное время, и это на руку злоумышленнику;
• сайты для взрослых. Комментарии излишни.

Чтобы обнаружить онлайн-майнер, требуется постоянно мониторить «Диспетчер задач», в частности процесс браузера. Для этого проделайте следующие шаги:

1. Запустите «Диспетчер задач». Как его открыть описано в предыдущих частях статьи.

   

   Нажимаем одновременно сочетание кнопок «Ctrl+Alt+Delete» или «Ctrl+Shift+Esc», чтобы вызвать «Диспетчер задач»

2. Во вкладке «Приложения» найдите ваш браузер, затем правым щелчком мышки кликните на него и нажмите на «Перейти к процессу».

   

   Во вкладке «Приложения» находим браузер, правым щелчком мышки кликаем на него и нажимаем на «Перейти к процессу»

3. Посмотрите, как влияет процесс на нагрузку ЦП и оперативной памяти. Если нагрузка слишком велика, значит, вполне вероятно, на одной из вкладок вашего браузера запущен скрипт с майнером.

   

   Смотрим данные процесса, которые влияют на нагрузку ЦП и оперативной памяти

В подавляющем большинстве случаев для этих целей используется скрипт coinhive, другие почти никогда не используются. Он выглядит так: <script src=»https://coinhive.com/lib/coinhive.min.js»></script>. Этот скрипт служит для майнинга криптовалюты Monero. Чтобы его обнаружить, необходимо проверить исходный код HTML-страницы на наличие этого скрипта. Чтобы сделать это, следуйте дальнейшей пошаговой инструкции (описанный далее процесс нужно будет повторить во всех открытых вкладках в браузере на время обнаружения чрезмерного потребления оным ресурсов):

1. Нажмите на комбинацию клавиш «Ctrl+U», находясь на странице сайта, чтобы перейти к просмотру исходного кода.

   

   Нажимаем сочетание клавиш «Ctrl+U», находясь на странице сайта

   

   Исходный код страницы сайта

2. Нажмите на «F3», чтобы запустить поиск.
3. В поиске введите «coinhive». Если среди результатов будет такой код, который упомянут выше, значит, эта страница содержит скрипт с майнером.

   

   В поиске вводим «coinhive», наличие совпадений кода, означает, что эта страница содержит скрипт с майнером

Более «продвинутый» способ

Описанный ниже способ подойдёт для тех, кто знаком с языком программирования JavaScript, так как он требует умения анализировать код.

Некоторые особо хитрые любители лёгкого заработка могут попытаться скрыть наличие на сайте этого скрипта. Например, интегрировать его код непосредственно в HTML-документ без указания адреса первоисточника. А если они очень хитрые, то могут ещё и поменять в коде имена некоторых переменных, функций и объектов. Конечно, мало кто будет так заморачиваться, но минимальная вероятность – не нулевая. Чтобы избежать такой уловки, делайте всё, как в инструкции выше, но только вводите в поле ввода поиска «<script» (именно так – угловую скобку закрывать не нужно).

Такой поиск поможет вам найти все скрипты на странице вне зависимости от типа их интеграции. Со скриптом майнера вы можете ознакомиться по следующей ссылке: https://coinhive.com/lib/coinhive.min.js.

Если вы разбираетесь в JavaScript, то ознакомление с оригинальным исходным кодом поможет вам не только в случае необходимости узнать «врага в лицо», но и понять более глубоко, как это всё работает.

Как решить проблему онлайн-майнера

Самый оптимальный способ решения данной проблемы – это покинуть сайт, на котором он был обнаружен. Во всемирной паутине мало сайтов с оригинальным контентом – практически каждый можно заменить другим.

Если же отключить JavaScript, то он отключится для всех сайтов сразу, так как в браузерах пока что нет функции отключения скриптов для отдельных страниц. А без скриптов страницы сайтов будут выглядеть, мягко говоря, не очень. Так что на данный момент самым разумным решением будет забыть про такой сайт, если вы, конечно, не хотите отблагодарить его создателя за труды и помайнить немного для него за свой счёт.

На картинке ниже приведён список сайтов, на которых присутствует наиболее высокая вероятность столкнуться с браузерным майнером. Этот список вывели исследователи из 360 Netlab. Так что остерегайтесь таких сайтов.

Теперь вы знаете, как нужно бороться с угрозой скрытого майнинга. Этот вид вируса будет эволюционировать, а их создатели будут придумывать всё более хитрые уловки. Единственное, что вам остаётся – это повышать свою компьютерную грамотность и изучать IT-сферу, чтобы обеспечить себе безопасность и быть на шаг впереди злоумышленника.

Видео — Скрытый майнер — вычисляем и уничтожаем