блоги Wolfenstein: The New Order

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США

С течением времени вирусы-майнеры становятся все более популярными. Появились они много лет назад (пост об одном таком был опубликован на Хабре еще в 2011 году), сейчас такие зловреды стали очень распространенными. Злоумышленники, надеясь получить криптовалюту, курс которой сейчас постоянно растет, заражают все больше компьютеров. Через защиту ПК и сетей зловреды проникают обычным путем — либо через уязвимости в ОС, либо при помощи самого пользователя, который бездумно может открыть приложение в электронном сообщении с заголовком вроде «Привет, я Кристина, вот мои фотки». Есть, конечно, и другие способы, но социальную инженерию никто не отменял. 
Monero и Dash пользуются у злоумышленников особой популярностью
Сам по себе вирус-криптомайнер не делает с компьютером жертвы ничего плохого, ведь создатели такого рода приложений сами заинтересованы в том, чтобы машина работала хорошо. Эксперты утверждают, что только за последний месяц было выявлено несколько крупных бот-сетей, которые направлены на получение прибыли от майнинга. 

Проблема для жертвы заключается в том, что ее компьютер, зараженный криптомайнером, работает значительно медленнее обычного, поскольку ресурсы системы заняты майнингом. Это плохо, если речь идет об одном пользователе, и еще хуже, если заражена сеть целого предприятия. В этом случае рабочие процессы начинают пробуксовывать, а причину того, почему компьютеры начали работать медленно, выявляют далеко не всегда и не сразу. 

Сервера в сети злоумышленники заражают, эксплуатируя уязвимость вроде EternalBlue. Самое интересное то, что сборщик криптомайнера продается, его предлагают, например, в Telegram. 

Этот сборщик дает возможность проверить работоспособность демо-версии вируса. Ну а купить полную версию после апробации демки можно без проблем у тех, кто такие объявления распространяет. 

Майнеров довольно много, а сложность их детектирования заключается в том, что сам по себе майнинг — стандартный процесс. Это не попытки стирать или модифицировать файлы, изменять содержимое загрузочного сектора жесткого диска и т.п. Нет, майнинг в обычном случае не будет определяться антивирусом. Поэтому разработчикам антивирусов приходится искать новые способы определения наличия таких программ на компьютерах жертв. 

Жертвы могут даже не подозревать о наличии зловреда на ПК, поскольку продвинутые зловреды прекращают работу во время запуска на ПК «тяжелых» приложений вроде игр. В итоге пользователь не ощущает влияния вируса, и тот спокойно майнит криптовалюту. 

На днях на ресурсе Securelist была опубликована статья, где говорится об обнаружении достаточно крупного «криптоботнета», в состав которого входит более 5 тысяч различных компьютеров с установленным майнером Minergate. И это, кстати, вполне «белый» майнер, который злоумышленники скрытно устанавливали на компьютерах жертв. 

Инсталлятор программы загружался жертвами с файлообменников в качестве либо ключей разлочки пробных версий программ, либо в качестве любого иного «белого и пушистого» ПО. Как только программа загружена и запущена, инсталлятор начинает загрузку дроппер-майнера. Тот, в свою очередь, записывает Minergate и загружает ряд инструментов, которые обеспечивают непрерывную работу майнера в качестве системного процесса. 

Сейчас, в отличие от того же 2011 года злоумышленники при помощи майнеров получают не биткоин или эфир, а Monero и Zcash. Такой выбор обусловлен тем, что обе монеты предусматривают практически полную анонимность — отследить их сложно.

Заработок такого рода достаточно высок. На иллюстрации выше показана общая сумма выводов средств с кошелька злоумышленников. По текущему курсу Monero (XMR) это свыше $200 000.

По словам представителей «Лаборатории Касперского», на данный момент обнаружено два ботнета с криптомайнерами. В каждом — несколько тысяч «ботов», о чем уже упоминалось выше. Пока что особо надежных способов борьбы с такого рода зловредами нет, но ряд компаний, выпускающих антивирусные продукты, предпринимают усилия по созданию достаточно эффективного инструмента для борьбы с таким ПО.

Нравится2
Комментарии (12)
  • 1
    либо при помощи самого пользователя, который бездумно может открыть приложение в электронном сообщении с заголовком вроде «Привет, я Кристина, вот мои фотки»

    Хорошо, что многие все же хоть что-то понимают в безопасности в интернете. Использование язвимости ОС - это хуже, тут уже надо иметь знания как обезопасить свою систему.
  • 0
    это прям таки идеальное преступление...
  • 1
    Их в торренты любят пихать :)
  • 0
    Надо выдернуть кабель Интернета и не играть в Онлайн-игры.
  • 0
    vftor
    Я пока не готова пойти на такие жертвы. Надеюсь, создатели антивирусов придумают что-нибудь дельное по поводу этой проблемы.
  • 0
    КайГерде
    Пока они придумают, комп подохнет.
    А можно выделить отдельный HDD со своим Windows только для Онлайн-игр, и переключаться на него через BIOS или через питание. Если что, то придётся переустанавливать Windows.
  • 3
    Для тех, кто хочет проверить свой комп на вирусы-криптомайнеры.

    Чтобы проверить нет ли у вас такого майнера, зайдите в любую папку и в адресной строке введите "%appdata%x13", без ковычек.
    Если папки нет, значит майнера нет.
    Если есть, то надо лечить:
    1. Запустить диспетчер задачь и убить процесс engine.exe;
    2. Удалить все содержимое папки %appdata%x13;
    3. На папке нажать "Свойства", далее вкладка "Безопасность" и там все и все запретить;
  • 1
    vftor
    Выход, конечно, но довольно геморный)

    Metallov3r
    Спасибо! Проверю свой комп, когда доберусь до него.
  • 1
    КайГерде
    А по моему наоборот, негеморный. У меня 2 компа, и на каждом несколько отдельных дисков SSD и HDD, которые я переключаю по питанию. На каждом диске установлено только то, что требуется для нужных функций (интернет, игры по жанрам, контрольный, тестовый, архивный). Таким образом обеспечивается безопасность, надёжность, а также максимальная эффективность и производительность. Также 2 монитора, любой из которых я переключаю на любой комп.
  • 1
    vftor
    Мне было бы не очень возиться с переключением туда-сюда. Хотя привычным к этому - вполне себе.
  • 1
    КайГерде
    Ну да, переделка компа и возиться с переключением. Я технарь, мне привычнее.
  • 0
    ибо нефиг посещать незнакомые ресурсы и качать неизвестно что
B
i
u
Спойлер