Как найти и удалить вирус-майнер с компьютера

В 21 веке машины стали более человечными — они стали тоже заражаться вирусами. Только если человек при заболевании чихает и страдает от повышенной температуры, то техника начинает сбоить и ломаться. Вирусы нарушают работу программ и излишне нагружают систему устройства, что «сжигает мозги» аппаратам.

Вирус-майнер работает немного иначе. Его цель — как можно дольше поддерживать рабочее состояние техники и скрытно её использовать. В этой статье мы расскажем о методах борьбы с вирус-майнерами и способах их профилактики.

Что такое вирус-майнер

Вирусы — это программы, которые нарушают работу техники пользователя, нанося вред системе. Вы наверняка слышали о «трояне», и как с ним тяжело бороться. Эта программа мгновенно начинает заниматься самокопированием и заменой файлов устройства на себя, чем вызывает сбои в работе компьютера. 

Вирус-майнеры работают более скрытно. Если «троян» хочет «спалиться» и его цель — уничтожить вашу технику, то вирус-майнер работает как симбиот. Чем дольше вы о нем не знаете, тем ему же лучше. 

В отличие от обычного вируса, программа не уничтожает программный код, или захламляет хранилища данных, а использует вычислительные мощности аппарата для майнинга криптовалют. Как и любой другой вирус, он мимикрирует под обычные файлы, по типу «svchost.exe», но занимается не запуском операционной системы, а скрытым повышением нагрузки.

Механизм работы вирус-майнера чем-то напоминает работу торрента. В случае раздачи, с вашего компьютера «подтаскивают» данные для передачи их третьему лицу. То есть спиратил сам, помоги спиратить и другим. Если торрентом владеют многие, приложение будет задействовать не более мегабайта в секунду. Если владельцев станет меньше, увеличится нагрузка. 

Схожим занимается вирус-майнер. Он заставляет процессоры компьютера заниматься майнингом в тех криптовалютных проектах, для которых хватит вычислительных мощностей. Чаще всего вирус-майнеры выбирают монету Monero, как наиболее защищенный и наименее требовательный к вычислительным мощностям техники.

Чем опасен вирус-майнер

В отличие от вирусов, которые воруют личные данные пользователя и затем требуют выкуп, майнер представляет меньшую угрозу. Возможно вы даже никогда и не узнаете о его существовании, пока не проверите все файлы своего компьютера. 

Дело в том, что вирус-майнер угрожает не вашей безопасности, а состоянию вашей техники. Он не ищет ваши пароли от соц.сетей, данные банковских счетов и материалы для шантажа. Программа заставляет ваш центральный и графический процессоры работать больше, чем они это обычно делают. Повышение нагрузок ведёт к быстрому износу оборудования, что сокращает срок службы компьютера в целом.

Подобрать новые комплектующие — борьба с симптомами, а нужно бороться с причиной в виде вируса.Наличие вирус-майнера свидетельствует о бреши в защите вашего устройства, через которую в систему могут попасть другие, более опасные программы.  

Как вирус-майнер попадает в компьютер

Запустить майнер на чужом компьютере можно разными способами. Чаще всего злоумышленники используют файл с вредоносным кодом или уязвимость в системе. Мы подробно рассказали о способах проникновения в нашей статье, кратко напомним об основных:

«Софт с сюрпризом»

Пользователи, которые качают пиратский контент — игры, книги и фильмы с музыкой часто получают не только нужный файл, но и майнер в архиве. В случае с игровыми релизами злоумышленники подбрасывают свои торренты с названиями новинок по типу Baldur’s Gate 3 или грядущих Ведьмака 4 и продолжения Cyberpunk. Мошенники  распространяют их через трекеры и сайты, оптимизированные под запросы вроде «Baldur’s Gate 3 бесплатно торрент». 

Какая часть таких сайтов безопасна — никто не скажет. После распаковки архивов майнер устанавливается и начинает работу, или переходит в папку system. Это зависит от уровня хитрости и умений кодировщика.  В результате процессор и видеокарта  нагружаются, а пользователь этого не видит: майнер постепенно увеличивает нагрузку и немного снижает её при запуске программ, которые сами сильно нагружают систему. Они делают все, чтобы оставаться незаметным. 

Заметить майнер можно только по сильным провисаниям, или сохранению громкой работы вентилятора при закрытии тяжелых программ. 

Вирусные страницы в браузере

На некоторых сайтах работает вредоносный скрипт майнинга. Пока страница открыта, компьютер выполняет вычисления для злоумышленников. Мошенник незаметно влезает в скрипты работы сайта и перенастраивает их на майнинг устройств, которые его открывают. Такая техника называется browser-based cryptojacking. 

Владельцы сайтов порой не подозревают о появлении такого кода на своих страницах. Чаще всего для борьбы с вирусами на онлайн-страницах нанимают белых хакеров, которые проверяют состояние безопасности кода, но набирать команду специалистов не всем по карману.

Автозагрузка и PowerShell

Майнер настраивают на автоматический запуск при включении компьютера. Обычно он получает «нейтральное» имя процесса — например SystemUpdate — чтобы не привлекать внимание. Файлы помещают в системные папки вроде Windows32, которые пользователи стараются не трогать. 

Иногда запуск организуют с помощью PowerShell — стандартного инструмента Windows. Команды выполняются в фоне без всплывающих окон, поэтому пользователь не замечает ничего необычного.

Чтобы антивирус не сработал, злоумышленники запутывают программный код. Внешне скрипт выглядит как странная, но обычная часть системы, а функционально она занимается перенаправлением вычислительных мощностей аппаратуры на майнинг. 

Под Linux пишут отдельные версии майнеров. На этой ОС часто работают платёжные терминалы и другие встраиваемые устройства; на них тоже могут майнить, как это было в 2023 году с вирусам FASTCash, когда хакеры из Северной Кореи через сеть заражали банкоматы, меняя данные о транзакциях в банковской сети. Вместо снятия наличных пользователь получал ошибку вывода, а в системе банка деньги уходили третьему лицу.

Уязвимости и трояны

Майнер часто входит в состав ботнета — сети заражённых устройств, которыми управляет злоумышленник. Через троян атакующий получает доступ к системе, затем загружает майнинговый скрипт. Так заражают корпоративные сети, облачные аккаунты и серверы.

Ботнеты выполняют несколько задач: майнинг, рассылка спама, фишинг, атаки на сайты и кража данных. Даже если пользователям сети удастся справиться с основной атакующей силой в лице трояна, вирус-майнер с высокой долей вероятности может остаться незамеченным и продолжить свою работу.

Расширения для браузера и фейковые обновления

Майнинг добавляют в браузерные расширения или маскируют под обновления по типу Adobe Flash и DirectX N. Один клик — и браузер начнёт тратить ресурсы на майнинг. Визуально он будет заниматься обновлением и копаться в файлах, возможно даже покажет что изменил, но на практике, вирус-майнер засядет в папке и будет использовать систему компьютера и дальше. 

Как найти вирус-майнер на компьютере

Быстрая проверка на наличие майнера. Нужно открыть диспетчер задач через сочетание клавиш Ctrl+Shift+Esc. Затем просмотреть вкладки «Процессы» и «Производительность». Если центральный или графический (GPU) процессоры загружены на 60-90%, а в списке нет тяжёлых приложений — это тревожный сигнал.

Помимо этого стоит проверить автозагрузку на незнакомые или малопонятные программы. Их стоит проверить на источник происхождения и время работы. 

Как удалить вирус-майнер с компьютера

Сначала отключите интернет. Это остановит связь майнера с сервером управления и предотвратит передачу трафика. Вот, что делать дальше:

1. Сохраните важные файлы на внешний диск, при этом избегая потенциально зараженных.
2. Принудительно прекратите работу подозрительных программ нажав «Снять задачу» в Диспетчере задач.
3. Откройте msconfig или раздел «Автозагрузка» и отключите неизвестные элементы автозапуска, например msconfig, taskschd.msc или shell:startup).
4. Проверьте PowerShell-команды и скрипты. Особенно .ps1 и строки в реестре, которые запускают PowerShell при старте. Стандартные команды не должны запускаться без причины.
5. Просканируйте систему актуальным антивирусом с поведенческим анализом, например при помощи Kaspersky, через функцию «полное сканирование» и, при возможности, используйте офлайн-сканер. Он обычно использует загрузочный диск, который отображает систему «до» каких-либо изменений с момента записи образца.
6. Запустите утилиту Autoruns от Sysinternals. Отключите и удалите всё, что вызывает подозрение, особенно записи в «Logon», «Services», «Scheduled Tasks».

Для борьбы с майнерами в браузерах удалите незнакомые расширения, сбросьте настройки браузера до заводских, очистите системный кеш и файлы-куки. Затем установите расширения-блокировщики, по типу uBlock и AdGuard. Они станут вашим «фаерволом» от сторонних программ и рекламы.

После удаления всех подозрительных программ проведите повторное полное сканирование антивирусом. Убедись, что нагрузка на ЦП и GPU вернулась к норме, и в ней нет скачков.

ПРИМЕЧАНИЕ. Этот алгоритм работает только для одного устройство, которое не объединено в корпоративную сеть. Для удаления вирус-майнера из сети компьютеров нужны другие программы и лучше обратиться к специалистам.

Если майнер не удаляется, создайте загрузочный диск с антивирусным офлайн-сканером и просканируйте систему с диска. Если вирус засел слишком глубоко и его невозможно отследить, поможет только откат до заводских настроек.

• Перенесите на съёмный диск все файлы, в чистоте которых уверены;
• Приступите к сбросу; 
• Переустановите операционную систему; 
• Сбросьте пароли и ключи доступа для важных сервисов. 

Это нужно, чтобы в ваши аккаунты не смогли зайти мошенники, потенциально получившие доступ через вирус.

Как предотвратить попадание вирус-майнера в систему

Для предотвращения попадания вирус-майнеров в систему компьютера, важно соблюдать «интернет-гигиену» при работе в сети, частично мы о ней говорили здесь. 

Первое и самое главное правило — пользуйтесь тем, что проверено другими. Совет больше для любителей рома и повязок на один глаз, но тем не менее. Чем больше скачиваний у торрента, тем ниже вероятность «подцепить» вирус-майнер. Для повышения защищенности лучше проверить содержимое торрент-файла на предмет подозрительных элементов через антивирус. 

Второе правило — ставьте антивирус. У Windows есть хороший встроенный антивирус, но для большей безопасности можно использовать платные программы от Kaspersky lab. Лучше поковыряться с системой защиты устройства чем отдавать 100+ тысяч рублей в будущем на покупку нового компьютера и подбор комплектующих к нему. Главное не забывайте обновлять базы своего антивируса, поскольку мошенники не стоят на месте. Они постоянно ищут уязвимые места и способы обхода программ защиты. Если не обновлять базы, новые версии вирусов смогут использовать уязвимости старых типов защиты и попасть в ваш аппарат. 

Третье правило — проводить раз в месяц полную проверку файлов, даже если вы ничего не скачивали и не использовали компьютер. Возможно, на устройстве был вирус, который не могла выявить старая версия антивируса. Проверка может занять некоторое время, но часто она идет в фоновом режиме и не сильно влияет на работу компьютера. 

Четвёртое — не отключайте антивирус, как сильно бы вас ни просили это сделать. Вы же ставили защиту не для того, чтобы её снимать. Если сайт, приложение или другой ресурс просят вас отключить защитные программы, то вряд-ли из благих намерений. Лучше поискать альтернативу таким ресурсам, нежели разбираться с последствиями незащищенных соединений.

Как сохранить компьютер «здоровым»

Полностью защититься от проникновения вредоносных программ в систему практически невозможно. Даже если вы не видите, за возможность защитить ваше устройство и проникнуть в него, сражаются сотни хакеров. 

Следование рекомендациям уменьшит шансы вируса попасть в ваше устройство, но не исключит полностью. 

Периодически занимайтесь диагностикой вашего компьютера и вовремя обновляйте базы данных антивируса. 

Пользуйтесь лицензионными версиями программ и будьте осторожны с непроверенными ресурсами. Если не сможете решить проблему самостоятельно — ищите специалистов по работе с компьютерами. Случаев заражения вирус-майнерами и стало меньше, но осторожность никогда не повредит. Для более надежной защиты стоит ознакомиться со способами мошенничества в криптовалютной сфере.