Noņem Monero Miner (Noņemšānas gids) - Jan 2018 atjaunināšana

Kas ir Monero Miner?

Kriptovalūtas ažiotāža veicina ļaunprātīgo Monero Miners attīstību

Monero Miner ir ļaundabīga programma, kas kopš 2016. gada ir aktīvi rakusi Monero kriptovalūtu . 2017. gadā vīruss tika atjaunināts un nelikumīgi tika turpināta virtuālās valūtas radīšana, izmantojot datora CPU. Šobrīd tīmeklī izplatās Vatico Monero (XMR) CPU Miner, Shadowsocks Miner, Wise XMRig vīruss un citi maineri (racēji).

Monero Miner vīruss lielākoties izplatās kā Trojas zirgs un iekļūst sistēmā ar programmatūru paketi. Tomēr drošības eksperti atklāja arī negodīgu Coinhive JS mainera izmantošanu. Šī JavaScript bibliotēka ir injicēta vairākās populārās vietnēs un pārlūku paplašinājumos.

Gplyra Miner, Vnlgp Miner un CPU Miner ir tikai daži no kiberdraudiem, kas stāv līdzās šim draudu vīrusu. To mērķis ir tāds pats – ražot kriptovalūtu. Kaut arī citi manieri (racēji) koncentrējas uz Bitcoin, Dash vai Decred, Monero Miner – kā norāda pats nosaukums – ir balstīts uz Monero kriptomonētu iegūšanu – mainingu.

Šī ļaunprogrammatūra slepeni okupē datorus, bet joprojām redzama darbojamies sistēmas Uzdevumu dispečerā kā NsCpuCNMiner32.exe vai Photo.scr. Patiesībā, hakeri izveido šādu datoru robottīklus, kas darbojas ar vienādu nolūku. Protams, to īpašnieki ir pilnīgi neziņā par šādām aktivitātēm, kas tiek veiktas un ievēro, ka kaut kas nav kārtībā tikai tad, kad viņu ierīces sāk darboties dīvaini.

Tā kā maineri izmantota lielāko daļu CPU jaudas, datori, protams, sāk strādāt nesalīdzināmi lēnāk nekā parasti, vai pat var pilnībā nobrukt. Visa šī papildu resursu izmantošana ne tikai palēninās jūsu ierīci, bet var izraisīt arī aparatūras bojājumus pārkaršanas dēļ.

Atklāti sakot, Trojas zirgu radītājiem nerūp jūsu datora veiktspēja un izmanto to tikai, lai gūtu peļņu sev. Par laimi, jums nav jāsastopas ar visām šīm neērtībām. Ir veids, kā apturēt un noņemt Monero Miner no sava datora. Precīzi sakot, automātiskās pretvīrusu utilītas, piemēram, FortectIntego vai Malwarebytes, var jums palīdzēt par to parūpēties. Turpiniet lasīt rakstu, lai iegūtu vairāk ieteikumu par vīrusa likvidēšanu.

Coinhive technoloģiju ļaunprātīgi izmantoja kibernoziedznieki

Coinhive ir JavaScript bibliotēka Monero blokķēdei, kuru var integrēt dažādās vietnēs. Šis rīks tika palaists 14. septembrī, bet jau spējis piesaistīt krāpnieku uzmanību. Negodīgi cilvēki izmantoja šī rīka priekšrocības, lai iegūtu kriptovalūtu, izmantojot datora CPU, kamēr lietotājs pārlūko noteiktas vietnes. Bez tam Coinhive JS mainers tika pamanīts arī izplatoties, izmantojot tehniskā atbalsta krāpšanas kampaņu.

Pētnieki ievēroja Coinhive arī integrētu SafeBrowse paplašinājumā. Kad lietotāji instalē šo paplašinājumu, Monero Miner sāka darboties un izmantot līdz pat 50% datora CPU. Sakarā ar šo darbību, dators kļūst lēns un var tikt fiziski bojāts, strādājot lielā karstumā. Maininga process turpina darboties, līdz lietotāji aizver pārlūku. Tādēļ šī darbība var aizņemt stundas.

Turklāt Coinhive tika ievietots dažādās tīmekļa vietnēs, kas atdarina populārus sociālos tīklus, piemēram, Twitter. Patiešām, ir reģistrēts domēns twitter.com.com, kas ielādē maininga programmu, tiklīdz persona ir kļūdaini uzrakstījusi Twitter adresi, un ieiet šajā vietnē. Iespējams, ka krāpnieki reģistrēja daudzas līdzīgas vietnes un patlaban gūst peļņu no neuzmanīgiem datoru lietotājiem.

Papildus tam tika ziņots par daudzām vietnēm, kurās slepeni izmantots pārlūkprogrammā integrēts mainers. Šo vietņu vidū bija The Pirate Bay, , showtime.com un showtimeanytime.com. . Tomēr pēdējās tīmekļa vietnes pārtrauca šīs darbības, tiklīdz tās tika konstatētas. Tomēr tiešsaistes kopiena spriež, ka šo vietņu īpašnieki, iespējams, ir nopelnījuši simtiem tūkstošu dolāru.

Atjauninājums 2017. gada augustā: virspusē uzpeld Vatico Monero (XMR) CPU Miner

Jaunākā ļaundabīgās programma versija ir iestatīta lai ražotu XMR, Monero un citu digitālo valūtu. Tāpat kā tās iepriekšējā versija, ļaunprogramma darbojas arī caur Trojas zirgu. No otras puses, to var konstatēt kā moloko.exe. Faila nosaukums norāda, ka ļaunprogrammatūra varētu būt izveidota vai mērķēta uz Krievijas lietotājiem. Diemžēl maininga Trojas zirgi ir būtiska problēma valstī.

Uzdevumu dispečers to identificēs kā Monero (XMR) CPU miner. Galvenais rādītājs, kas liecina par mainera vīrusa klātbūtni, ir ārkārtīgi augsts CPU izlietojums. Ļaunprogrammatūra pievienosies arī XMR maininga pūlam vietnē xmr-eu.dwarfpool.com:8050 un sāks savu darbību.

Pat ja jums nav ieraduma laiku pa laikam pārbaudīt uzdevumu pārvaldnieku, jūs pamanīsiet pasliktinātos datora procesus. Gadījumā, ja konstatējat šo kiberļaunumu, nekavējoties likvidējiet to.

Sīkāk aplūkojot Monero Miner darbības mehānismu, svarīgi atzīmēt, ka šī infekcija iekļūst datorā kā Photo.scr fails, kurš pēc tam nomet šī faila kopijas uz visiem inficētā datora diskiem. Beigās Trojas zirgs izvelk izpildfailu NsCpuCNMiner32.exe, kas ir atbildīgs par maininga procesu.

Šis fails tiks ievietots mapē % Temp% un darbosies no tās. Šis process tiks aktivizēts automātiski arī ikreiz, kad tiks sāknēts dators. Par laimi, hakeri ir bezpalīdzīgi, ja jūsu ierīce ir atvienota no interneta, jo visiem maininga procesiem ir nepieciešams tīkla savienojums, lai pienācīgi darbotos. Tādējādi ir ieteicams arī veikt Monero Miner noņemšanu bezsaistē. Lai uzzinātu, kā to izdarīt manuāli, ritiniet uz leju tālāk.

2017. gada 2. novembris: Ļaunprātīgais Monero Miners atrasts Google Play Store/spēļu veikalā

Un atkal, Google Play Store izrādījās neuzticams “oficiālās lietotnes” veikals. Šķiet, ka visas jaunākās ļaundabīgo programmu tendences ir veiksmīgi sasniegušas šo lietotņu platformu un uzreiz sāk uzbrukt Android lietotājiem. Šoreiz pētnieki konstatēja, ka ļaunprātīgās lietotnes slēpj kriptovalūtas maininga skriptus. Ļaunpātīgais Android Monero Miner virus parasti tiek atpazīts kā ANDROIDOS_JSMINER vai ANDROIDOS_CPUMINER.

JSMiner versija tika konstatēta “Recitiamo Santo Rosario Free” (lietotne reliģiozas orientācijas mobilajiem lietotājiem) un “SafeNet Wireless App” (programma, kas piedāvā lieliskus piedāvājumus un kuponus videoklipu skatīšanai un aptauju veikšanai). Nav pārsteidzoši, ka šīs lietotnes izmanto Coinhive tehnoloģijas priekšrocības (aprakstīts iepriekš), lai ražotu digitālo valūtu. JavaScript kods izpilda pats sevi lietotņu tīmekļa skatā. Taču upuris neievēros neko aizdomīgu, izņemot šādas problēmas:

• Īsāks akumulatora darbmūžs;
• Lēna ierīces veiktspēja;
• Lietotnes nobrukšanas.

CPUMiner tika konstatēts kā “Car Wallpaper HD: mercedes, ferrari, bmw un audi” lietojumprogramma. Šī ļaunprātīgo lietojumprogrammu grupa konfigurē leģitīmās lietotņu versijas un inficē tās ar kriptovalūtu rakšanas bibliotēkām, piemēram, cpuminer (noziedznieki izmanto tās atjaunināto 2.5.1 versiju).

Pēc tam tās tiek pārpakotas un izplatītas. Analīze no TrendMicro parāda, ka šāda veida ļaundabīgās programmas spēj ražot vairākas kriptovalūtas (ne tikai Monero).

Kods, kas atbildīgs par mainingu, iegūst konfigurēšanas failu no noziedznieku serveriem. Fails satur datus par maininga pūlu, izmantojot Stratum maininga protokolu.

Monero Miner vīruss joprojām apdraud lietotājus, kuri par to nenojauš

Monero Miner versijas un tām saistītie procesi

ShellExperienceHost.exe un MicrosoftShellHost.exe. Šie procesi var parādīties Windows Task Manager/Uzdevumu dispečerā pēc Trojas zirga iefiltrēšanās. Ļaunprātīgā programma izveido ShellExperienceHost.exe , kas tiek automātiski palaists, iedarbinot sistēmu. Šis process palaiž arī MicrosoftShellHost.exe, kas ir atbildīgs par Monero kriptovalūtas mainingu, izmantojot skartā datora CPU jaudu.

Booster.exe. Šis Trojas zirgs var iekļūt sistēmā, izmantojot reklāmprogrammatūru komplektus. Kad tas ir iekšā, tas konfigurē Windows iestatījumus, lai sāktu darboties sistēmas palaišanas laikā. Uzdevumu pārvaldniekā Booster.exe fails ir aprakstīts kā VsGraphics Desktop Engine. Taču tas izmanto līdz pat 25% datora CPU, kas ir skaidrs virtuālās valūtas maininga rādītājs.

Wise XMRig virus. Wise Miner ir Trojas zirgs, kas ietekmētajā ierīcē spēj radīt divus procesus, lai ražotu Monero valūtu – AudioHD.exe un winserv.exe. Kad šis Trojas zirgs iekļūst sistēmā, tas nekavējoties izveido AudioHD.exe maineri, kas sāk darboties, kad lietotājs ieslēdz savu datoru. Uzdevumu pārvaldniekā šim procesam ir XMRig raksturojums.

Vēl viens ar Wise Miner saistītais fails ir winserv.exe, kuram ir WindowsHub raksturojums. Abi šie procesi izmanto daudz datora CPU jaudas un padara sistēmu lēnu.

Shadowsocks Miner. Šis Trojas zirgs ir pazīstams ar to, ka skartajā ierīcē izveido un uzsāk service.exe vai websock.exe procesus. Lietotāji tos var redzēt Windows Uzdevumu pārvaldniekā jo tie izmanto daudz datora resursu. Ļaunprātīgā programmatūra bieži ierodas sistēmā programmatūru komplektos. Turklāt tā var sistēmā ieviest arī citas spiegprogrammatūras vai potenciāli nevēlamās lietotnes.

Vatico Monero (XMR) CPU Miner. Šis Trojas zirgs iekļūst sistēmā, izliekoties par noderīgu programmu. Tomēr, kad tas nonāk sistēmā, tas sāk automātiskās palaides procesu moloko.exe. Tādējādi ikreiz, kad upuris sāknē Windows, maineris sāk izmantot līdz pat 80% datora CPU jaudas, lai ražotu Monero.

Adylkuzz Miner virus. Šis Monero maineris iekļūst sistēmā, izmantojot EternalBlue ievainojamības ekspluatāciju un DoublePulsar drošības sistēmas apiešanu. Ļaunprogrammatūra savieno skarto datoru ar rakšanas robottīklu un sāk izmantot tā CPU, lai ražotu kriptovalūtu. Pievienojoties skartajiem datoriem tīklā, tiek radīts vairāk kriptovalūtas nekā parasti.

Coinhive Miner. Mainera autori izmantoja likumīgā Coinhive rīka priekšrocības, kas ļauj tīmekļa vietņu īpašniekiem ražot kriptovalūtu. Krāpnieki ievietoja rakšanas kodu ļaunprātīgos pārlūka paplašinājumos un uzlauza tīmekļa vietnes. Bez tam, noziedznieki izplatīja šo vīrusu, izmantojot tehniskās palīdzības shēmas vai kompromitētas vietnes, kuras nav iespējams atvērt, nepiespiežot pārlūkam beigt darbu.

Monero Miner izplatīšanas metodes

Monero Miner tiek izplatīts, galvenokārt, izmantojot dažādus aizdomīgus domēnus un krāpnieciskas tīmekļa vietnes. Lietotāji, kuri to lejupielādē savos datoros, tiek piemānīti, jo tie domā, ka viņi iegūst kādu noderīgu saturu. Patiesībā viņi lejupielādē inficētu failu, kas nekavējoties sāk izplatīt vīrusu visā datorā, gatavojoties maininga procesam.

Īpaši svarīgi ir regulāri pārbaudīt savu datoru attiecībā uz ļaundabīgām programmām, jo īpaši, ja jūs bieži lejupielādējat programmatūras tiešsaistē. Ieteicams sekot līdzi programmām, kas tiek ievadītas datorā, un veikt to papildu pārbaudi ar uzticamiem pretvīrusu skeneriem.

2017. gada septembrī ļaundabīgās programmas ir pamanītas, izplatoties izmantojot arī SafeBrowse paplašinājumu. Tādēļ Google Chrome lietotājiem ieteicams atturēties no šī paplašinājuma. Šī ļaundabīgo programmu versija ir ļoti bīstama datoram, jo tā izmanto daudz datora CPU. Uzdevumu dispečera lietotāji var redzēt, ka Chrome izmanto līdz pat 50% CPU. Taču, ja atvērsiet Chrome Uzdevumu pārvaldnieku, jūs uzzināsiet, ka problēma ir SafeBrowse paplašinājums.

Nekavējoties noņemiet Monero Miner Trojas zirgu, izmantojot profesionālus norādījumus

Lai gan Monero Miner vīruss ir nedaudz sarežģītāks nekā pārlūkprogrammas pārtvērēji, reklāmprogrammatūras un līdzīgas vienkāršas infekcijas, to gandrīz bez piepūles var noņemt no inficētiem datoriem. Kā jau minējām, jūs varat noņemt Monero Miner automātiski. Jums vienkārši darbam jāizvēlas uzticama pretvīrusu utilīta, piemēram, FortectIntego vai Malwarebytes.

Skenējiet savu datoru ar jūsu izvēlēto pretļaunatūras programmatūru, spiegprogrammatūru vai pretvīrusu programmatūru, un jums vairs nebūs jānodarbojas ar sistēmas palēnināšanos un datora avārijām. Mums jums jāatgādina, ka Monero Miner noņemšana būs daudz veiksmīgāka, ja to izpildīsiet bezsaistē, izmantojot Safe Mode/Drošo režīmu.

Bez tam, ja jūs instalējāt SafeBrowse Chrome paplašinājumu (vai tas bija komplektā ar programmatūru), arī tas ir jāatinstalē. Kā mēs minējām rakstā, tas ir cieši saistīts ar ļaundabīgo programmu un apdraud jūsu datoru intensīvas CPU izmantošanas dēļ.