Как защититься от вирусов-майнеров

Михаил Кондрашин

Технический директор Trend Micro в России и СНГ.

Что такое вирусы-майнеры и чем они угрожают

В 2017 году в России случился настоящий бум криптовалют. Возросший курс биткойна и его аналогов привлёк к теме внимание мошенников и хакеров, которые начали добывать виртуальные монетки нечестным способом: в интернете появились вирусы-майнеры, превращающие заражённые компьютеры в сеть майнинговых ферм. С миру по нитке — вот и получается гигантская майнинг-ферма с огромной производительностью, приносящая десятки тысяч долларов ежемесячно.

Схема обмана проста и надёжна: хакеры запускают в интернет вирусы, которые распространяются через почтовые вложения или сайты-источники скачиваемого контента. Виртуальные «чёрные шахтёры» завладевают мощностями заражённого компьютера: хакерам сыплются виртуальные монеты, а жертве — счета за электричество.

Как можно подхватить вирус-майнер

1. Через запуск файла

Подхватить вирус можно, открыв вложение в непонятном письме от незнакомого отправителя. Неважно, выглядит ли он как изображение, документ, таблица или архив. Если вам пришло письмо с заголовком вроде «Зарплаты сотрудников компании», не стоит считать, будто в ваши руки попала любопытная секретная информация. Именно завлекающие (кликбейтные) заголовки помогают вирусам проникать в компьютеры наивных пользователей.

Пытаетесь скачать взломанную версию платной программы? С большой вероятностью хакеры прикрутили к ней вирус-майнер.

2. Через посещение сайта

Благодаря развитию веб-технологий стать жертвой майнера можно и без заражения. Например, инструмент CoinHive, представляющий собой скрипт Java, делает майнером любое устройство, на котором открыли сайт с интегрированным скриптом CoinHive. Причем майнить может не только компьютер, но также смартфон и любые другие мобильные ARM-устройства с доступом в интернет.

Чаще всего CoinHive устанавливают на сайты, где пользователь проводит много времени, например на пиратские онлайн-кинотеатры.

3. Через уязвимости в системе

К сожалению, даже осторожные пользователи могут подхватить вирус, который проникает через уязвимости в операционной системе. Всё происходит абсолютно незаметно.

Например, известнейший бэкдор DoublePulsar, из-за которого миллионы компьютеров по всему миру были заражены вирусом WannaCry, дал жизнь целому семейству вирусов-майнеров, проникавших в Windows тем же путём.

Разработчики операционных систем (в первую очередь речь о Microsoft и её Windows) планомерно выпускают заплатки при обнаружении подобных уязвимостей. Поэтому в группу риска попадают пользователи, которые принципиально не устанавливают обновления на свой компьютер или делают это с опозданием.

4. Через расширение для браузера

Полгода назад интернет потрясла история с расширением Archive Poster для браузера Chrome, созданного для удобной работы с сервисом Tumblr. Как заметили пользователи ставшего популярным (более 100 тысяч загрузок) расширения, в Archive Poster разработчики тайно встроили майнер и тем самым зарабатывали на своей аудитории.

Причем Google не торопились убирать вредное расширение из своего онлайн-магазина. Так что перед установкой нового браузерного расширения как минимум почитайте отзывы — вдруг за бесплатное расширение придётся заплатить мощностью своего компьютера.

Признаки работы вируса-майнера

Высокая загрузка компьютера

Современные компьютеры очень хорошо управляют электропитанием и не допускают использования всей вычислительной мощности понапрасну. Особенно это касается ноутбуков: во время просмотра сайтов, видео или в простое их вентиляторы работают чуть слышно.

Помните, как шумит система охлаждения под серьёзной нагрузкой вроде игр? Если компьютер начал перманентно гудеть и греться, система страшно тормозит и подвисает, значит, её ресурсы кто-то поглощает. И скорее всего, это вирус-майнер.

Загрузка в периоды неактивности

Бывают варианты майнеров, которые включаются только в моменты неактивности пользователя. Допустим, вы оставили компьютер включённым, но отошли от него. Спустя несколько минут вентиляторы начинают завывать, а майнер берётся за своё грязное дело и прекращает работать, как только вы снова берётесь за мышь. Такой способ паразитического существования позволяет вирусу оставаться незамеченным долгое время.

Профилактика и лечение

Далеко не все антивирусы успешно борются с майнерами. Дело в том, что сам по себе майнинг — это не процесс повреждения или шифрования файлов (как в случае с вирусами-вымогателями, например). Если конкретного майнера нет в базе антивируса, то вирус будет опознан как «прожорливое», но совершенно безопасное приложение.

Если вы не хотите стать пассивным добытчиком чужих криптовалют, следуйте простым рекомендациям.

1. Думайте, что скачиваете

Как бы ни был велик соблазн скачать пиратское приложение, музыку, фильмы, только легальные ресурсы могут гарантировать безопасность. Вместе с сомнительным файлом на компьютер или смартфон наверняка попадёт какой-нибудь троян.

Если после загрузки файла появились подозрения, лучше не рисковать, а проверить его антивирусом. Есть много бесплатных онлайн-сканеров, например:

• Kaspersky VirusDesk;
• Dr.Web;
• VirusTotal;
• PhishTank;
• Unmask Parasites.

Для гарантии лучше попробовать сразу 2–3 ресурса.

2. Не открывайте вложения из странных писем

Если вам пришло письмо от неизвестного адресата с непонятным вложением, удаляйте это письмо, не раздумывая. Большую часть вложений в фишинговых письмах представляют собой файлы типов .RTF, .XLS и .ZIP, то есть текст, таблицы и архивы соответственно. Исполняемые файлы .EXE встречаются редко, так как их отправку блокируют многие почтовые сервисы и комплексные системы ИТ-защиты.

Конкретных названий вредоносных файлов не существует. Они постоянно меняются, но всегда сохраняют привлекательные названия вроде «мои_фото.zip», «тендеры_2018.xls», «зарплаты.doc» и тому подобные.

3. Используйте надёжный антивирус

Известные антивирусы научились неплохо вылавливать майнеры. Причём, даже если в базу антивируса не успели добавить новую модификацию вируса-майнера, его работа может быть заблокирована благодаря эвристическому анализу. В описании ряда антивирусов прямым текстом сказано о защите от вирусов-майнеров. Однако не забывайте, что без ежедневного обновления баз антивирус становится бесполезным. Пользуетесь взломанной копией антивируса, который не может обновляться? Считайте, что компьютер остался без защиты.

4. Обновляйте систему

Регулярно обновляйте операционную систему, антивирус, браузер и офисные приложения. В первую очередь обновления выпускают, чтобы исправить в приложениях ошибки и закрыть дыры в безопасности.

Для антивирусов это особенно актуально: помимо баз, обновляются фильтры фишинговых сайтов, файрволы и другие важные компоненты, защищающие компьютер.

Не забывайте, что обновлять приложения можно только через их собственный интерфейс. Если какой-то сайт внезапно предлагает вам скачать обновление для антивируса, операционной системы или браузера, то там вас гарантированно ждёт вирус или троян. Также не стоит устанавливать обновления, полученные по почте.

5. Используйте расширения-блокировщики в браузерах

Расширения браузера, такие как No Coin или minerBlock для Chrome и Firefox, MinerBlock для Chrome, будут блокировать уже известные вирусы-майнеры, работающие прямо в браузере. Пожалуй, это самый просто способ защиты от майнеров. Главное — не запрещать расширениям обновлять свои базы, чтобы они сохраняли свою актуальность.

6. Есть сомнения? Запускайте «Диспетчер задач»

Если вы заметили, что ваш компьютер начал тормозить, а вентиляторы ноутбука не умолкают, можно быстро проверить активные процессы. В Windows запустите «Диспетчер задач» сочетанием клавиш Ctrl + Shift + Esc, а на macOS через поиск найдите утилиту «Мониторинг системы».

Отсортируйте процессы по загрузке ЦП и посмотрите, который из них «съедает» больше всего ресурсов. Если некий процесс загружает ЦП на 80–90%, то поищите его имя в поисковых системах — вдруг это известный майнер. Заодно проверьте систему антивирусом.