Заражение web сервера вирусом криптомайнером

Вирус-майнер заражает российские сайты. Интервью с Виктором Карионовым

Криптовалютная мания захватила многих, но для майнинга требуется огромное количество энергии, стоимость которой может оказаться выше, чем стоимость добытых виртуальных денег. Ловкие криптовалютчики выходят из положения с помощью хакерских программ. Подробности — в материале Tipler.Ru.

Вирус майнер на Tipler.Ru

К нам в редакцию пришло письмо от веб-студии It-Infinity, в котором сообщалось, что сайт Tipler оказался заражен подобным «криптовалютным вирусом»:

«Здравствуйте. Наша компания занимается анализом проблемы распространения вредоносного программного обеспечения, которе позволяет злоумышленникам незаметно для посетителя сайта «майнить» криптовалюту, используя ресурсы его компьютера. К сожалению, Ваш сайт tipler.ru оказался в списке заражённых».

Далее указывалась ссылка на каталог с вредоносным файлом. Удалить его можно было самостоятельно, что мы немедленно и сделали, после чего сменили пароли и установили все последние обновления.

Конечно же, мы вступили в переписку с аналитиками из It-Infinity, чтобы узнать побольше о подобных вирусах, а потом взяли интервью у директора веб-студии Виктора Карионова. Мы попросили его рассказать о том, как его команда впервые столкнулась с данной проблемой, как работает вирус и каковы масштабы заражения.

Предоставляем слово Виктору

Tipler: Скажите, пожалуйста, как Вы обнаружили проблему?

Виктор Карионов: 4 Июля 2018 года к нам обратился клиент для проведения запланированных работ на его сайте. В процессе обсуждения плана работ мы обратили внимание на странную анимацию в нижнем правом углу экрана.

 Нажав на неё, мы попали на сайт https://www.sparechange.io/faq/, на котором были пояснения, что данная анимация означает работающий на сайте майнер. Какого же было наше удивление, когда заказчик сообщил нам, что не ставил никакие майнеры себе на сайт. Естественно он попросил нас разобраться с проблемой.

Tipler: В чем был источник проблемы? Как работал вирус?

Виктор Карионов: Мы быстро нашли подключенные к сайту JavaScript файлы. Первый отвечал за подключение майнера, второй был обфусцирован (зашифрован) и логика его работы нам до конца не понятна.

Если удалить эти файлы, то в течении суток они появлялись вновь. Это была только вершина айсберга. Мы понимали, что где-то расположен web shell (скрипт, который позволяет полностью менять все файлы и выполнять произвольные команды на стороне сервера).

 Просканировав сайт программой AiBolit, мы нашли этот шелл, а также файл backdoor’а, при обращении к которому через браузер с определёнными параметрами он авторизовался на атакуемом сайте под учётной записью администратора.

Интересный факт, в файлах, добавленных злоумышленниками, в комментариях был текст: «Аудит безопасности вашего сайта всего за 1 xmr Устраним существующие уязвимоти Дадим рекомендации по организации работы Пишите на электронную почту:[email protected]» (орфография сохранена).

Tipler: Атаке подвержены все сайты? Каков масштаб проблемы?

Виктор Карионов: К сожалению, пострадало большое количество сайтов, среди которых были сайты банков, СМИ, крупных именитых ритейлеров, государственные и много других. В целях конфиденциальности и по просьбе служб безопасности, мы решили не публиковать данный список.

Что касается самого сервиса sparechange.io, то это вполне легальный майнер, который позволяет администраторам, разместив его на своём сайте, зарабатывать на своих посетителях (например вместо рекламы).

Скорее всего, когда злоумышленники начали использовать его, он работал по-тихому, без всяких анимаций. В текущих версиях он проявляет себя при помощи анимации, уведомляя пользователя о своей работе.

Примечательно, что майнер начинал работать не сразу и не на всех сайтах. Где-то он включался сразу, где-то спустя время, а где-то вовсе никак не проявлял активность. Во время работы самого майнера, нагрузка на CPU (центральный процессор) вырастала до 90%-100%.

Tipler: Подвержены ли другие сайты, не относящиеся к 1С-Битрикс, такой проблеме?

Виктор Карионов: Да, ответ однозначный. Мы в связи со спецификой позиционирования своей студии работаем только с платформой 1С-Битрикс, и найденная нами схема атаки была адаптирована именно под данную платформу, но ничего не мешает злоумышленникам организовать атаку на любую другую CMS.

Мы провели большую работу по изучению логов атакованных сайтов с целю выявления причин и способов атаки и заражения сайтов.

На основе полученной информации мы пришли к выводу, что причина банальна – безответственное поведение администраторов сайтов в отношении политики безопасности.

Пароли украдены непосредственно с компьютеров администраторов при помощи вирусного ПО. На самом деле наше расследование завершено не до конца, к нему подключились коллеги из компании ITSOFT.

Они являются не только веб студией, но и дата-центром. Сейчас их служба безопасности занимается изучением схемы распространения вредоносного программного обеспечения.

Tipler: На каком этапе находится работа? Найдено ли решение?

Виктор Карионов: Наша студия в данный момент занимается поиском новых заражённых сайтов и уведомлением администраторов этих сайтов, а также коллег из других веб студий с целью устранения выявленных проблем.

Нами разработан веб сервис, который позволит владельцам сайтов на платформе 1С-Битрикс узнать, заражён ли их сайт – https://itinfinity.ru/servisy/minercheck/.

Также мы готовы помочь владельцам сайтов в устранении последствий атаки и проведении аудита безопасности.

Tipler: Хотите что-то добавить, порекомендовать админам?

В заключении хочу напомнить в 1000 раз всем, кто работает с сайтами на правах администратора о том, что пароли нужно хранить в проверенных менеджерах паролей, использовать только сложные пароли, созданные при помощи соответствующих генераторов, и не пренебрегать антивирусами. К сожалению, об этом забывают как владельцы сайтов, так и разработчики.

Источник: https://tipler.ru/opinions/virus-mayner-zarazhaet-sayty/

Сервер ИT-подрядчика ФСО оказался заражен вирусом для майнинга :: Технологии и медиа :: РБК

Сервер компании «Код безопасности», производящей ПО для защиты информации, в том числе для нужд силовых структур, оказался инфицирован вирусом для майнинга. В компании утверждают, что специально разместили вирусы в демо-разделе

Фото: Vincent Mundy / Bloomberg

​Сервер компании «Код безопасности», которая специализируется на разработке программного обеспечения для защиты информации, оказался заражен вирусами для майнинга криптовалют, сообщил РБК источник в правоохранительных органах и подтвердили антивирусный эксперт «Лаборатории Касперского» Денис Легезо и эксперт по информационной безопасности компании Cisco Алексей Лукацкий.

На официальном ftp-сервере «Кода безопасности», где хранятся продукты компании и обновления к ним, как минимум 25 и 26 февраля действительно появились многочисленные файлы под названием Photo.scr, в чем убедился и корреспондент РБК.

Проверка этих файлов через онлайн-сканер «Доктора Веба» показала, что они заражены вредоносным софтом Trojan.Btcmine.1214, который предназначен для майнинга криптовалют. «Мы детектируем их как Trojan.Win32.Miner, — говорит Денис Легезо.

— Распространение через открытые ftp-сайты — это один из методов доставки этого вредоноса жертвам. Второй метод — инфицированные дистрибутивы (установочный файл с программой. — РБК) на сайтах с бесплатным ПО.

Функциональность у этой заразы простая — автоматически запуститься, когда пользователь входит в систему, и начать потреблять ресурсы чужого процессора для добычи криптовалюты».

«Код безопасности» разрабатывает линейки продуктов, предназначенные для защиты государственных информационных систем, обнаружения и предупреждения вторжений, защиты государственной тайны.

Среди клиентов компании, согласно ее сайту, — Министерство обороны, Федеральная служба охраны, Генеральная прокуратура, Министерство внутренних дел, Центральный банк России.

Компания входит в холдинг «Информзащита», выручка которого в 2016 году составила 6,8 млрд руб. Показатели за 2017 год еще не раскрывались.

Ранее компания Check Point сообщала, что во втором полугодии 2017 года от незаконного майнинга пострадала каждая пятая компания в мире. Самыми распространенными валютами для скрытого майнинга являются Monero (XMR) и Zcash, сообщали в «Лаборатории Касперского».

«Самый логичный сценарий распространения вируса — случайное занесение майнера на открытый для всех сервер в надежде на то, что клиенты, скачивающие ПО, вместе с файлом сами установят майнер к себе в сеть», — поясняет Алексей Лукацкий.

По его словам, владельцы вируса-майнера могут даже не знать, кого они заразили.

«Если же они знают, то рассчитывают, что клиенты изначально доверяют компании по информационной безопасности и даже не будут проверять файлы, скачиваемые с доверенного ftp-сервера», — говорит Лукацкий.

В «Коде безопасности» утверждают, что специально разместили на сервере вредоносные файлы. «На нашем ftp-сервере в разделе «Демо-версии» размещаются различные образцы зловредных файлов для проверки функциональности наших программных и программно-аппаратных продуктов. Ftp-сервер, содержащий подобные файлы, находится в изолированном от основной инфраструктуры сегменте.

Подобная практика применяется практически всеми производителями средств защиты информации.

Такова специфика нашей работы: поскольку мы занимаемся информационной безопасностью — заказчики просят временно размещать образцы зловредного ПО для проверки функциональных возможностей и качества работы наших продуктов», — передал РБК через пресс-службу директор по информационным технологиям «Кода безопасности» Илья Евсеев.

При этом вредоносные файлы оказались не только в разделе с демо-версиями программ. После обращения РБК в компанию за комментарием весь раздел с продуктами компании на ftp-сервере перестал открываться.

Причину появления в нем вредоносных файлов представитель компании назвал недоразумением.

«Видимо, имела место ошибка, связанная с человеческим фактором: специалист мог поторопиться и положить файлы не в ту папку», — пояснил он, добавив, что «Код безопасности» проводит проверку сервера, после чего он будет работать в нормальном режиме.

«Чтобы исключить описанную выше ошибку, мы сейчас проводим проверку содержимого ftp-сервера. После ее завершения раздел будет работать в штатном режиме. Файлы будут помещены в специальные папки, которые будут доступны только клиентам, запросившим такие образцы, после авторизации», — заключили в компании.

Наказание за тайный майнинг

Опрошенные РБК эксперты утверждают, что за сознательное размещение вредоносных файлов на корпоративном сервере сотрудникам компании может грозить уголовная ответственность.

«Вне зависимости от того, в каких целях вредоносный софт был размещен на сайте разработчика, в благих или корыстных, данное деяние может быть квалифицировано как распространение вредоносных компьютерных программ, поскольку де-факто размещенные на сайте файлы были доступны для скачивания неограниченному кругу лиц, и состав преступления в конкретном случае достаточно очевиден. В соответствии со ст. 273 УК («Создание, использование и распространение вредоносных программ для ЭВМ») за подобное предусмотрена уголовная ответственность», — говорит исполнительный директор HEADS Consulting Никита Куликов. Максимальное наказание по этой статье — семь лет лишения свободы.

Куликов отмечает, что субъектом применения ответственности могут быть только конкретные физические лица, а не вся компания.

«В качестве юридического лица привлечь разработчика к ответственности не выйдет — необходимы следственные мероприятия, в ходе которых нужно будет установить лицо или группу лиц, ответственных за принятие решения о размещении в открытом доступе вредоносного софта и непосредственно совершивших данное преступление.

Сделать это крайне сложно, тем более в данной ситуации идет речь об организации, разрабатывающей софт для спецслужб, так что я не удивлюсь, если никаких последствий для разработчика и конкретных лиц, ответственных за размещение вредоносных программ, не последует, в лучшем случае этот софт с сайта будет удален.

Опять же нельзя исключать варианта, что на деле состав преступления отсутствует и разработчик сам является жертвой киберпреступников и использует не самую удачную отговорку для того, чтобы скрыть этот факт, способный нанести вред его репутации», — говорит Никита Куликов.

Читайте также:  Failed command: read fpdma queued

«С одной стороны, распространение вредоносных программ является уголовно наказуемым деянием согласно ст. 273 УК.

С другой — доказать вредоносность криптомайнера не так просто, так как он не предназначен для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, что является основным квалифицирующим признаком в Уголовном кодексе.

Да и наличие злого умысла в данном случае, скорее всего, отсутствует. Но только анализ криптомайнера позволит сделать вывод о его функциях и вредоносной составляющей, что уже может послужить причиной для дальнейшего расследования», — говорит Алексей Лукацкий.

Насколько распространены вирусы для майнинга

По данным «Лаборатории Касперского», использование вирусов для майнинга выросло в 2017 году. Если в 2013 году компания зарегистрировала около 205 тыс. попыток заразить пользователей, то к 2016 году количество атак превысило 1,8 млн, а за восемь месяцев 2017 года было зарегистрировано 1,65 млн попыток заражения.

В июле 2017 года советник президента по интернету Герман Клименко рассказал, что вирусом для майнинга заражено 20–30% компьютеров в России. Представитель «Лаборатории Касперского» тогда подтверждал серьезность угрозы, но отмечал, что лишь 6% пользователей компании подверглись атакам в целях установки майнеров за прошедшую половину 2017 года.

Источник: https://www.rbc.ru/technology_and_media/27/02/2018/5a951f789a7947116f1e90e5

Как обнаружить и удалить скрытый майнер в Windows

Под скрытым майнером подразумевается программа-вирус, которая использует ресурсы вашего компьютера для добычи криптовалют. Делается это в автоматическом режиме без ведома пользователя и каких-либо предупреждений.

Чаще всего поймать скрытый майнер можно при скачивании файлов из непроверенных источников. Обычно это какой-то пиратский контент, который пользуется большой популярностью среди пользователей.

Также наткнуться на подобный вирус можно при получении различных спам-рассылок.

В любом варианте вы получаете желаемое, а вместе с этим на ваш компьютер может быть загружен скрытый майнер или утилита для его автоматического скачивания из Сети.

Чем опасен скрытый майнер

Майнер заставляет ваш ПК работать на максимальном уровне производительности, а значит, даже при выполнении несложных офисных задач компьютер может изрядно тормозить. Длительная работа на пределе своих возможностей рано или поздно скажется на «железе».

В первую очередь может пострадать видеокарта, процессор, оперативная память и даже система охлаждения, которая просто не сумеет справиться с ежедневными стресс-тестами.

Также майнеры вполне могут получить доступ к вашим персональным данным, хранящимся на компьютере. Здесь в ход может пойти всё: начиная от простых фотографий и заканчивая данными различных аккаунтов и электронных кошельков. А это уже очень опасно.

Как майнеру удаётся прятаться

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

Как обнаружить скрытый майнер

Если вы стали замечать, что компьютер стал изрядно тормозить и греться, в первую очередь стоит запустить проверку антивирусом со свежими базами. В случае с простыми майнерами проблем быть не должно. Угроза будет обнаружена и устранена. С хорошо скрывающими своё присутствие вирусами придётся повозиться.

Отследить скрытые майнеры позволит систематический мониторинг «Диспетчера задач», который на Windows можно открыть при помощи комбинации клавиш Ctrl + Alt + Del или Ctrl + Shift + Esc. В течение 10–15 минут вам нужно просто понаблюдать за активными процессами при полном бездействии. Закройте все программы и даже не шевелите мышкой.

Если при таком сценарии какой-то из активных или же внезапно появившихся процессов продолжает нагружать «железо» — это верный повод задуматься. Происхождение такого процесса можно проверить с помощью вкладки «Подробности» или через поиск в интернете.

Многие скрытые майнеры, использующие в основном видеокарту ПК, могут не нагружать центральный процессор, а значит, и в «Диспетчере задач» на старых версиях Windows они не засветятся. Именно поэтому лучше оценивать нагрузку на «железо» с помощью специализированных утилит, таких как AnVir Task Manager или Process Explorer. Они покажут куда больше стандартного инструмента Windows.

Отдельно стоит выделить ситуацию, когда «Диспетчер задач» демонстрирует чрезмерную нагрузку на процессор со стороны браузера. Это вполне может быть результатом воздействия веб-майнера, функционирующего через определённый веб-сайт.

Как удалить скрытый майнер с компьютера

Первым и самым логичным оружием в борьбе против такой напасти является антивирус, о чём уже было сказано выше. Однако нередко майнеры не распознаются как зловредные угрозы. Максимум они приравниваются к потенциально опасным, особенно если на компьютер попали вместе с пиратской игрой или взломанной программой.

В случае отсутствия у вас мощного антивируса можно прибегнуть к помощи небольших лечащих утилит. В пример можно привести Dr.Web CureIt!, которую нередко используют для поиска скрытых майнеров. Распространяется она бесплатно.

Вручную, без каких-либо сторонних инструментов удаление вируса также возможно, но вы должны быть на 100% уверены, что обнаружили именно майнер. В таком случае вам нужно перейти в реестр, набрав regedit в поиске Windows, и в нём сочетанием клавиш Ctrl + F запустить внутренний поиск (или же через «Правка» → «Найти»).

В открывшейся строке введите название процесса из диспетчера, за которым, по вашему мнению, скрывается майнер. Все обнаруженные совпадения нужно удалить через контекстное меню. После этого можно перезагрузить компьютер и оценить изменения нагрузки на «железо».

Заключение

Важно понимать, что скрытый майнер опасен не только чрезмерной нагрузкой на ПК, но и возможностью перехвата ваших личных данных. При первом же намёке на такую угрозу запустите глубокую проверку памяти компьютера актуальным антивирусом.

https://www.youtube.com/watch?v=6WnNoPq8UOY

Не забывайте, что тормозить ваш компьютер может по самым различным причинам. Более важным признаком угрозы скрытого майнига является чрезмерная активность ПК во время простоя или при выполнении элементарных задач. Обращайте внимание на работу кулеров видеокарты: они не должны шуметь при отсутствии нагрузки.

Если же вы всё-таки обнаружили неизвестный процесс, нагружающий компьютер под завязку, с ним определённо нужно разобраться. С помощью антивирусного ПО или же вручную, отыскав и удалив его через реестр.

Читайте также

Источник: https://lifehacker.ru/skrytyj-majner/

Скрытый майнинг и ботнеты

За последнее время вы наверняка хоть раз да слышали о таком явлении, как майнинг — и о том, как стремительно оно набирает обороты.

В общем, тенденция такова: майнить, то есть достраивать блоки в блокчейне и получать в награду за это криптовалюту, хочет все больше людей, и они придумывают для этого все более изощренные способы.

В том числе — незаконные. И в том числе они норовят сделать это за ваш счет.

Зачем майнерам нужен ваш компьютер

Мы уже писали про то, что такое ботнет, и про то, как злоумышленники могут «зомбировать» ваш компьютер, сделав его частью ботнета. Сети из таких зомби-устройств используются для самых разных целей, и в том числе злоумышленники подключают их к процессу майнинга.

По сути, ваш компьютер становится частью распределенной сети, вычислительные мощности которой используются для добычи какой-нибудь криптовалюты на благо владельца ботнета.

Несколько тысяч компьютеров в ботнете добывают криптовалюту значительно эффективнее, чем один, да и за недешевое электричество в этом случае платят жертвы, так что скрытно ставить программы-майнеры на компьютеры пользователей для злоумышленников очень даже выгодно.

Вообще, программу-майнер рядовой пользователь может установить самостоятельно — если он осознанно собрался добывать таким образом криптовалюту. В этом и заключается сложность: как отличить легальный майнинг от нелегального? Программы-то одни и те же. Разница в том, что злоумышленники сначала пытаются тайком установить программу на компьютер без ведома пользователя, а затем скрыть ее работу.

Как скрытый майнер попадает на ваш компьютер

В большинстве случаев майнер попадает на компьютер при помощи специально созданной зловредной программы, так называемого дроппера, главная функция которого — скрытно ставить другое ПО.

Такие программы обычно маскируются под пиратские версии лицензионных продуктов или под генераторы ключей активации к ним — что-нибудь в таком духе пользователи ищут, например, на файлообменниках и сознательно скачивают.

Вот только иногда то, что они скачали, оказывается не совсем тем, что они хотели скачать.

После запуска скачанного файла на компьютер жертвы ставится собственно установщик, а он уже закачивает на диск майнер и специальную утилиту, маскирующую его в системе. Также в комплекте с программой могут поставляться cервисы, которые обеспечивают его автозапуск и настраивают его работу.

Например, такие сервисы могут приостанавливать работу майнера, если пользователь запускает какую-нибудь популярную игру: поскольку майнер использует мощности видеокарты, игра может начать тормозить, а пользователь — о чем-то подозревать.

Также подобные сервисы могут пытаться выключить антивирус, приостанавливать работу майнера, если запущена программа для мониторинга активности системы или запущенных процессов, и восстанавливать майнер в случае, если пользователь его удалит.

Масштабы бедствия

Подобные программы распространяются среди злоумышленников как услуга — скажем, в мессенджере Telegram, в каналах, посвященных заработку в Интернете, можно встретить объявления, предлагающие пробную версию такого сборщика-упаковщика для распространения скрытого майнера.

Чтобы вы представляли себе масштабы происходящего: недавно наши эксперты обнаружили ботнет, состоящий, по приблизительным подсчетам, из нескольких тысяч компьютеров, на которых был скрытно установлен майнер Minergate.

С его помощью злоумышленники добывают не популярный биткоин, а в основном те криптовалюты, которые позволяют скрыть транзакции и то, кому принадлежит кошелек. Например, это Monero (XMR) и Zcash (ZEC). По самым скромным оценкам, майнинговый ботнет приносит своим владельцам от $30 000 в месяц.

А через кошелек, в который майнит обнаруженный нашими экспертами ботнет, уже успело пройти более $200 000.

Кошелек Monero, используемый вышеупомянутыми владельцами ботнета. На данный момент 1 Monero стоит около $120

Как от этого защититься

От вредоносных программ-дропперов Kaspersky Internet Security защитит вас по умолчанию — просто убедитесь, что антивирус всегда включен, и такой зловред просто не попадет на ваш компьютер. Если же вы решили проверить систему уже после того, как у вас появилось подозрение, KIS также сразу обнаружит этот полноценный троян, и от него надо в любом случае избавиться.

А вот майнеры, в отличие от дропперов, как мы уже упомянули, — программы не зловредные.

Потому они входят в выделенную нами категорию Riskware — ПО, которое само по себе легально, но при этом может быть использовано в зловредных целях (подробнее о том, что туда входит, можно почитать здесь).

По умолчанию Kaspersky Internet Security не блокирует и не удаляет такие программы, поскольку пользователь мог установить их осознанно.

Но если хотите подстраховаться и уверены, что не собираетесь пользоваться майнерами и прочим ПО, которое входит в категорию Riskware, то вы всегда можете зайти в настройки защитного решения, найти там раздел Угрозы и исключения и поставить галочку напротив пункта Обнаруживать другие программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя. Главное — проверяйте свою систему регулярно, и тогда защитное решение поможет вам избежать установки и использования любых нежелательных программ.

Источник: https://www.kaspersky.ru/blog/hidden-miners-botnet-threat/18707/

Злоумышленники заработали $63 000, заражая серверы майнерами через уязвимость в WebDAV – «Хакер»

Специалисты компании ESET обнаружили новую мошенническую кампанию. Атакующие заражают веб-серверы вредоносным майнером криптовалюты Monero (XMR). Операция продолжается как минимум с мая 2017 года, именно тогда аналитики впервые зафиксировали появление майнера.

Читайте также:  Настройка mikrotik контроллера capsman для бесшовного wifi роуминга на примере routerboard 2011uias-2hnd-in

Злоумышленники, стоящие за данной кампанией, незначительно изменили легитимную и опенсорсную программу xmrig для добычи Monero, добавив в код адрес своего кошелька и майнинговый пул URL (версия 0.8.2, представленная 26 мая 2017 года).

За три месяца мошенники создали немалый ботнет, скрыто устанавливая малварь на непропатченные серверы. Сеть атакующих насчитывает уже нескольких сотен зараженных машин и принесла своим операторам более 63 000 долларов.

На иллюстрациях ниже можно увидеть сравнение кода оригинальной версии xmrig и вредоносной.

Для скрытой установки майнера на веб-серверы атакующие используют CVE-2017-7269 – уязвимость службы WebDAV в операционной системе Windows Server 2003 R2. Данный баг был найден в марте 2017 года исследователями Чжи Ниан Пэном (Zhiniang Peng) и Чэнем Ву (Chen Wu).

Проблема связана с работой службы WebDAV, которая является частью Microsoft IIS версии 6.0 в ОС Windows Server 2003 R2. Уязвимость переполнения буфера в функции ScStoragePathFromUrl запускается, когда сервер обрабатывает вредоносный НТТР-запрос.

В частности, специально сформированный запрос PROPFIND приводит к переполнению буфера.

Исследователи обнаружили два IP-адреса, с которых осуществлялись сканирования. Вероятнее всего, поиск уязвимых машин выполнялся с помощью облака  Amazon Web Services, арендованного злоумышленниками.

Выбор Monero для добычи с помощью вредоносного ПО обусловлен рядом преимуществ данной криптовалюты. Так, в отличие от биткоина, майнинг XMR не требует использования специального оборудования. Кроме того, Monero обеспечивает анонимность сделок, и отследить транзакции практически невозможно.

Статистика майнингового пула была общедоступной, поэтому аналитики смогли увидеть  совокупный хешрейт всех жертв, поневоле предоставивших своих вычислительные мощности для майнинга. Постоянное значение достигало 100 килохешей в секунду (kH/s) с пиками до 160 kH/s в конце августа 2017 года, которые исследователи связывают с кампаниями, запущенными 23 и 30 августа 2017 года.

Зараженные машины добывали порядка 5,5 XMR в день к концу августа 2017 года. Заработок в течение трех месяцев составил 420 XMR. При курсе 150 долларов за 1 XMR, доход операторов майнера составлял 825 долларов в день, то есть больше 63 000 долларов в общей сложности.

«Волны» атак и перерывы между ними

По данным ESET, атакующие активизировались в конце августа, но с начала сентября новых заражений не наблюдается.

Более того, поскольку в майнере не предусмотрен механизм персистентности, атакующие начали терять скомпрометированные машины, а общий хешрейт упал до 60 kH/s.

Специалисты отмечают, что это не первый перерыв в деятельности группы, и, скорее всего, в ближайшем будущем стартует новая кампания.

Исследователи рекомендуют пользователям Windows Server 2003 как можно быстрее установить KB3197835 и другие обновления безопасности (если автоматическое обновление системы не работает, патчи необходимо загрузить вручную).

Источник: https://xakep.ru/2017/10/09/one-more-monero-campaign/

Какие бывают вирусы-майнеры, и как от них избавиться?

По разным данным от 7 до 10 млн компьютеров заражены скрытыми вирусами-майнерами. От вредоносного ПО страдает в основном Китай, Сингапур, Америка и Европа, в меньшей степени Россия.

Около 25% компьютеров в России занимаются тайным майнингом. Официальной статистики нет, поскольку код вируса довольно сложно обнаружить.

Какой вред способны принести эти программы, и как они используют вычислительные ресурсы чужого оборудования, чтобы заработать деньги своим создателям?

В чем вред теневого манинга, и что такое вирус-майнер?

Программный вирус.

Большинство рядовых пользователей не знают, что за процесс называется майнингом, и поэтому не осознают, в чем опасность хакерских программ.

Теневой майнинг, говоря простым языком – это решение математических задач с помощью чужого процессора или видеокарты.

Скрытый майнинг проводится на любых устройствах, имеющих процессор:

  1. На смартфонах и планшетах, причем чаще всего от вируса-майнера страдает Андроид.
  2. На стационарных компьютерах и ноутбуках, наиболее уязвима операционная система Windows.

Пока ничего не подозревающий владелец техники занимается своими делами, работает с документами, смотрит фильм или играет в игру, злоумышленник получает криптовалюту за те уравнения, которые решил процессор.

Вирус самостоятельно передается от одного владельца к другому, и может заражать домашние и офисные компьютерные сети. Особенно много криптовалюты он приносит хакерам, когда попадает в банковскую систему или в научно-исследовательский центр, где стоит много мощных и круглосуточно работающих компьютеров.

Последствия заражения майнером

Зараженный код.

Майнинг требует больших затрат мощности компьютера или смартфона, то есть дает на технику сильную нагрузку. Вирус вызывает следующие последствия:

  1. Быстрый износ деталей. Особенно сильно это сказывается на процессорах.
  2. Перегрев. Повышение температуры приводит к замедлению и ухудшению работы устройства, компьютер или смартфон начинают тормозить, зависать, либо постоянно перезагружаться. В последнем случае хакеры, конечно, не получат свои деньги, но и человек не сможет нормально использовать технику.
  3. Поломка. Если смартфон или ПК имеют некачественные детали, то предельная нагрузка может вызвать перегорание контактов.

В специализированных майнинг-фермах и центрах большое внимание уделяется охлаждению вычислительной техники. Там есть качественная и бесперебойная подача тока, предохранители от скачков напряжения в сети. Майнеры стараются оптимально рассчитать нагрузку, чтобы АСИКи и видеокарты приносили прибыль, но при этом сохраняли работоспособность в течение длительного времени.

Хакеры же не щадят чужое оборудование и стараются выжать из него максимум. У домашних компьютеров и смартфонов нет качественной системы охлаждения, да она им и не нужна при обычном использовании. Владельцы обычно не следят за температурой процессора, и система не может себя охладить самостоятельно, в результате чего рано или поздно техника выходит из строя.

Вследствие работы вируса владельца компьютера ждет увеличение расходов на электроэнергию. Это в большей степени актуально для домашних сетей из двух и более вычислительных машин.

Виды вирусов-майнеров

Разновидности вредоносного ПО.

Есть 2 разновидности вредоносного ПО, занимающегося майнингом.

Вид Активность Что представляет собой
Браузерные, онлайн Работают в тот момент, когда открыта вкладка браузера. Скрипт, прописанный в коде веб-страницы.
Десктопные или мобильные Работают, когда компьютер подключен к интернету, при этом не важно, находится человек онлайн или нет. Код, находящийся в файле в одной из системных папок компьютера. Начинает выполняться при включении в сеть, при отсутствии интернета не может заниматься майнингом.

Браузерные вирусы представляют меньшую опасность, чем десктопные, поскольку вредоносный код не сохраняется на компьютер. Скрипт-майнер не так сильно перегружает процессор, но если человек посещает зараженный сайт регулярно, то вычислительная техника все равно получает ущерб.

Самая редкая разновидность вирусов – это мобильные, потому что у смартфонов не настолько мощный процессор, как у компьютера. Злоумышленникам заниматься майнингом через телефон менее выгодно.

Вирусы-вымогатели, которые похищают личные файлы пользователей, зашифровывают информацию и требуют за нее выкуп в криптовалюте, не относятся к майнерам.

Названия вирусов-майнеров не особенно часто упоминаются в прессе, потому что обнаружить и дифференцировать такое ПО непросто. Вот 3 известных семейства вирусов.

Имя семейства Особенности
CPU Miner Включает в себя более 10-ти видов вредоносного ПО.
VnIgp Miner Удачно скрывается от антивирусов.
Bad Miner Быстро выводит из строя вычислительные машины, дает мощную нагрузку на процессор.
Bitcoin Miner Предпочитает добывать только биткоины. Инфекция обнаружена лабораторией Касперского, вирус биткоин майнер нагружает процессор до 95% от максимальной производительности.

Хакеры постоянно совершенствуют свой код, создают новые решения.

Диспетчер задач.

Например, до 2017 года можно было обнаруживать майнеры с помощью Диспетчера задач. Это панель, показывающая нагрузку на процессор, чтобы ее вызвать в Windows, нужно нажать на клавиатуре Ctrl+Alt+Del и выбрать из списка «Показать диспетчер задач».

Современные десктопные вирусы научились моментально прекращать майнинг при запуске Диспетчера, чтобы их не смогли заметить по возросшей нагрузке на процессор. Браузерные скрипты так еще не делают, и если какая-то вкладка, в которой не загружается длинное видео в Full HD качестве, дает более 30% нагрузки на ЦП, то это сигнализирует о трояне.

Как можно заразиться вирусом?

Осторожно.

Браузерные вирусы могут находиться на сайтах абсолютно любой тематики, не обязательно посвященных криптовалютам. В последнее время мошенники полюбили «женскую тему»:

  • кулинарию;
  • воспитание детей, отношения в семье;
  • психологию;
  • рукоделие и растениеводство;
  • уход за домашними животными;
  • здоровье и красоту, маникюр;
  • астрологию, гадания Таро, мистику и т.д.

Посетительницы таких сайтов обычно хуже разбираются в компьютерах, чем, например программисты, и поэтому их легче использовать. Женщины могут много раз заходить на один и тот же веб-ресурс и давать злоумышленникам возможность зарабатывать снова и снова.

Браузерные вирусы часто устанавливают на сайты, на которых посетитель проводит больше 10 минут времени. Заражению подвергаются следующие виды веб-ресурсов:

  1. Онлайн-кинотеатры, особенно с полнометражными фильмами длительностью более часа.
  2. Сервисы по прослушиванию музыки онлайн.
  3. Онлайн-игры.
  4. Сервисы для рисования, создания шаблонов визиток и т.д.

Владельцы всех этих сайтов и не подозревают о том, что на их веб-ресурсе находится скрипт-майнер. Внести такой код могут не только хакеры, но и сотрудники, работающие на вебмастера, например, программист, верстальщик, контент-менеджер, любой человек, имеющий доступ к правам администратора сайта.

Второй вид вирусов, десктопный, заражает компьютеры при скачивании любых файлов и программ:

  • фильмов и музыки;
  • книг и других текстов;
  • драйверов, например, для принтера и т.д.

Вирус-майнер можно скачать вместе с кошельком для хранения криптовалюты. Логика хакеров здесь понятна: если человек хочет скачать кошелек, то, вероятно, у него есть достаточно мощное оборудование для добычи криптовалюты, и на нем можно неплохо заработать.

Вредоносный код майнера могут объединять с другими программами, например, с теми, которые похищают деньги с кошелька или запоминают и передают злоумышленникам пароли, ПИН-коды, приватные ключи и seed-фразы.

Особенно часто вирусы-майнеры для видеокарт инсталлируют во взломанные компьютерные игры и читы к ним. Геймеры, правда, довольно быстро замечают нежелательный код по упавшему FPS (частоте кадров в секунду) и пытаются удалить такую игру, но вирус все равно остается в системных файлах.

Хакеры используют разные трюки для того, чтобы заставить человека скачать нужный им файл:

  1. Взлом аккаунтов в мессенджерах и социальных сетях. Всем знакомым пострадавшего пересылается некоторый файл, например, картинка с подписью «Смотри, как тебя тут смешно сфоткали!», текстовый файл с комментарием «Я давно тебе хотел это сказать, и вот наконец решился» или аудиодорожка «Мне эта песня напоминает о тебе, послушай обязательно!». Особенно слабо защищен Skype, который не дает просматривать файлы без скачивания.
  2. Рассылки по электронной почте. Хакеры хорошо разбираются в социальной инженерии и делают такие рассылки, которые человек не может проигнорировать. Это может быть, например, письмо из банка или из налоговой инспекции.
Читайте также:  Мониторинг web сайта в zabbix

Скачав файл на компьютер, человек возможно поймет, что его обманули и запустит антивирус, но в случае с качественными вирусами-майнерами это не поможет.

Симптомы заражения, как распознать вирусы-майнеры

Диспетчер.

Заподозрить неладное можно по следующим признакам:

  1. У компьютера сильнее обычного шумит вентилятор. Таким образом система пытается охладить нагревающийся процессор. Это следствие работы майнеров на центральных процессорах и видеокартах.
  2. Тормозит видео или компьютерная игра. К такому результату приводят майнеры на видеокартах.
  3. При открытии трех и более вкладок в браузере падает скорость работы компьютера. Это признак браузерного вируса.
  4. Есть интересный класс вирусов, которые на 3-5 минут отключают Диспетчер задач. Если пользователь его открыл и отошел от компьютера, то спустя непродолжительное время программа его закроет, чтобы Диспетчер не мешал ей майнить. Важно знать о том, что самостоятельно Диспетчер закрываться не должен.

По мере износа железа система начинает перезагружаться, может перегореть, и заканчивается все это тем, что технику вообще невозможно включить. При этом, если сгорел процессор, то его можно заменить и снова получить доступ к своим файлам на жестком диске. Если же и жесткий диск пострадал от нестабильной работы электрической сети, то файлы полностью или частично будут утеряны.

Понять больше о симптомах заражения и о том, как избавиться от вируса-майнера, можно из этого интересного и полезного видео-обзора.

Принципы работы вируса-майнера

Вредоносное ПО работает по такому же принципу, как любые другие трояны:

  1. Попадает на компьютер и устанавливается на диск C или любой другой, на котором находятся системные файлы. Иногда установка происходит в папку temp, где хранятся временные файлы.
  2. Маскируется под служебную информацию, например, под обновление браузера, или создает папку Windows с русской буквой «о», чтобы отличаться от обычной папки операционной системы.
  3. Начинает и прекращает свою работу по заданному разработчиками алгоритму.

Вирусы даже могут обновлять свой код, маскируясь под обновление приложений браузера или драйверов.

Как найти на компьютере вирус майнер и удалить его?

Защита.

Разобраться с вирусом можно по такой схеме:

  1. Провести комплексную диагностику.
  2. Провести удаление майнера криптовалюты с помощью антивирусной программы или вручную, если защитник не видит майнер. Для ручного удаления нужно понимать, какой конкретно файл заражен.

Если человек не очень хорошо разбирается в компьютерах, то лучше всего отнести технику на диагностику к профессионалам и не пытаться самостоятельно удалять вирус.

Как обнаружить скрытый вирус майнер, лучшие антивирусы 2018

Avast Free Antivirus.AVG Antivirus.

Для сканирования можно воспользоваться такими программами:

  1. Avast Free Antivirus.
  2. IObit Malware Fighter.
  3. AVG Antivirus.
  4. Panda Antivirus.
  5. Dr.Web Antivirus.

В топ-5 большинства рейтингов не входит Kaspersky, но при желании можно выбрать и его.

Вопреки тому, что пишут в обзорах, не рекомендуется использовать программу Reimage Repair или Plumbytes Anti-Malware. В последнее время все больше пользователей, которые недовольны их работой.

Хорошие результаты при диагностике дают утилиты, например, AIDA64. Она предоставляет подробный отчет в формате HTML, в котором содержится информация обо всех установленных программах и состоянии ОС в целом.

Как удалить вирус майнер с компьютера, пошаговая инструкция для новичков

Advanced Boot Options.

После запуска сканирования антивирус покажет, какое вредоносное ПО он обнаружил, где находится троян, и предложит его удалить. Ничего сложного в такой процедуре нет, справится даже смелая бабушка.

Удаление вируса-майнера можно провести еще надежнее:

  1. Перезагрузить компьютер, при включении нажать клавишу F8 несколько раз. Это вызовет BIOS (консоль с черным экраном).
  2. Выбрать Advanced Boot Option, затем Safe Mood with Networking. Это безопасный режим.
  3. Появится практический обычный экран, на котором будет значок браузера. Запустить его, скачать качественный антивирус из упомянутых.
  4. Провести диагностику всей системы и отдельно системных папок. Удалить все ПО, которое антивирус маркирует как подозрительное.
  5. Перезагрузить компьютер, открыть Диспетчер задач, проверить работу системы на просмотре фильма в HD, убедиться, что кулер не шумит больше обычного.

Есть файлы, которые вообще не видны обычному пользователю. Например, в этом видео, блоггер наглядно показывает такие скрытые папки, и описывает, как проводить диагностику утилитой AIDA64, и как удалять вредоносное ПО.

В некоторых обзорах встречаются описания удаления конкретных файлов, содержащих вирус-майнер.

Такая информация практически бесполезна, поскольку разновидностей вредоносных программ множество, и название файла может быть абсолютно любым.

Если человек не очень хорошо разбирается в том, как должны выглядеть и называться нормальные программные файлы, то не стоит искать какой-то конкретный документ вручную и тратить на это время.

Источник: https://crypta.guru/kriptovalyuty/virus-mayner/

Вредоносные майнеры – новая угроза информационной безопасности

Успех криптовалют, который начал менять мировую экономику, заключается в способе их заработка – криптомайнинге (cryptomining).

Этот процесс требует существенной вычислительной мощности, что в свою очередь побудило предприимчивых майнеров искать новые и часто нелегальные пути добычи криптовалюты.

Доступ к вычислительным ресурсам мошенники получают через браузеры и зараженные сайты, такой процесс вредоносного майнинга в английском языке называется Cryptojacking.

Введение

По данным Trend Micro, к октябрю 2017 года обнаружено 116,361 вредоносных программ для криптомайнинга.

Большинство угроз приходится на Японию, Индию, Тайвань, США и Австралию. Ситуация стабилизировалась только к декабрю того же года.

Способы вредоносного майнинга и получение доступа к ресурсам

Coinhive – сервис для майнинга криптовалют. Он предоставляет альтернативную платформу пользователям и компаниям, предлагая встраиваемый Javascript-код, который использует процессор устройства для майнинга криптовалюты Monero. Хакеры пользуются удобным сервисом в преступных целях. Фактически, вредоносные версии Coinhive заняли шестое место среди угроз в киберпространстве.

Неудивительно и то, что Monero предпочли большинство киберпреступников. Алгоритм добычи этой криптовалюты – CryptoNight, который разработан, чтобы сочетаться с интегральной схемой ASIC, делает его более удобным для расчетов хеша и ускоряет процесс майнинга. 

К тому же Monero использует кольцевую систему подписей, что усложняет поиск следов в транзакциях, совершаемых через блокчейн криптовалюты. 

Хотя биткойн-майнинг все еще технически возможен, он уже не такой рентабельный как раньше. Майнеры переходят на новые, более легкодоступные криптовалюты.

Coinhive

Coinhive – сервис для майнинга криптовалют. Он предоставляет альтернативную платформу пользователям и компаниям, предлагая встраиваемый Javascript-код, который использует процессор устройства для майнинга криптовалюты Monero. Хакеры пользуются удобным сервисом в преступных целях. Фактически, вредоносные версии Coinhive заняли шестое место среди угроз в киберпространстве.

Неудивительно и то, что Monero предпочли большинство киберпреступников. Алгоритм добычи этой криптовалюты – CryptoNight, который разработан, чтобы сочетаться с интегральной схемой ASIC, делает его более удобным для расчетов хеша и ускоряет процесс майнинга. 

К тому же Monero использует кольцевую систему подписей, что усложняет поиск следов в транзакциях, совершаемых через блокчейн криптовалюты. 

Хотя биткойн-майнинг все еще технически возможен, он уже не такой рентабельный как раньше. Майнеры переходят на новые, более легкодоступные криптовалюты.

Бестелесный криптомайнинг

По примеру развития программ-вымогателей сейчас набирает популярность использование эксплойтов для внедрения в операционную систему вредоносных для майнинга.

Coinhive отмечает, что 10-20 активных майнеров на веб-сайте могут получать ежемесячную прибыль в размере 0,3 XMR – или 97 долларов США (по состоянию на 22 февраля 2018 года).

А целая армия зомбированных устройств может выработать колоссальные суммы денег. 

В прошлом году эксперты Trend Micro обнаружили вредоносные криптомайнинговые элементы Adylkuzz, которые использовали эксплойт EternalBlue для манипуляции над инструментарием управления Windows (WMI).

Физический след заражения устройства – наличие командного файла, установленного с помощью WMI, и исполняемый файл PowerShell.

Adulkuzz был одним из первых случаев использования эксплойта EternalBlue перед WannaCry – вирусом, который в мае 2017 вывел из строя сотни тысяч устройств по всему миру. 

EternalBlue также используют для распространения цепи заражения, но были случаи когда киберпреступники пользовались Mimikatz для сбора учетных данных пользователя и доступа к ним, а затем превращения машин в узлы майнинга Monero. Мы  писали об этом ранее – троян-майнер CoinMiner заражает компьютеры через уязвимость EternalBlue.

Вирусы майнеры

Путь заражения устройства можно проложит и через использование его уязвимых мест, к примеру, по средствам вредоносных программ. Такой способ позволяет получить доступ к устройству и использовать его ресурсы.

Об этом свидетельствуют недавние попытки вторжения, замеченные в системах управления базами данных Apache CouchDB.

Троянец удаленного доступа JenkinsMiner, направленный на майнинг Monero, заработал своему оператору более $3 миллионов в криптовалюте. 

Предотвращение вредоносного криптомайнинга и способы защиты

Удаленный браузер (RBI)

Большинство предприятий внедряют всестороннюю стратегию защиты плагинов браузера, фильтрации URL-адресов и прокси-серверов от вредоносных программ. Новый подход, который дополняет эти технологии, предлагает решение, которое повышает безопасность браузера, не ставя под угрозу работу пользователя.

Технология изоляции удаленного браузера (RBI) предлагает виртуальный браузер, который находится в одноразовых контейнерах вне сети (обычно в DMZ или облаке). Для пользователей браузер выглядит как их обычный Firefox, Chrome, Opera или Edge и обеспечивает те же функции.

Веб-сайты открываются виртуальным браузером вдали от устройств и транслируются пользователям в режиме реального времени для интерактивного просмотра веб-страниц. Такой способ не замедляет рабочий процесс и защищает устройство от вредоносных веб-загрузок и угрозы криптомайнинга.

Когда рабочий сеанс заканчивается, контейнер, в котором выполнялся сеанс, просто удаляется вместе с любыми вредоносными файлами. Кроме того, вычислительные ресурсы, выделенные для каждого одноразового контейнера, сильно ограничены. Таким образом, если майнер все же пробивается, у него будет очень ограниченное время, чтобы использовать выделенные контейнеру ресурсы, до его уничтожения.

Благодаря внедрению технологии RBI предприятия получили комплексное решение для защиты своих пользователей и сетевых ресурсов от угроз вредоносного криптомайнинга. 

Программная защита

Защиту от несанкционированного майнинга можно реализовать также на самих устройствах или на уровне корпоративной сети, например с помощью антивирусных программ или шлюза сетевой безопасности.

Производители антивирусных программ и сетевых шлюзов сейчас встраивают функции детектирования криптомайнинга. Еще один способ защиты предлагают производители браузеров, например Opera.

Таким образом блокируются все встраиваемые в коды веб-страниц вредоносные скрипты, Проверить безопасность вашего устройства в данный момент можно на специальном сайте, разработанном сотрудниками Opera. 

В большинстве стран мира криптовалюта сама по себе не запрещена, как и способ её заработка – криптомайнинг.

Но речь идет только о легальном способе, а манипуляции чужими вычислительными ресурсами – совсем другое дело.

Помимо нарушения этических норм поведения в Cети, это потребление чужой электроэнергии и порча чужого имущества, так как при такой нагрузке процессор устройства намного быстрее потеряет свои рабочие свойства.

Как конкретно защитить себя и инфраструктуру компании от вредоносного майнинга – индивидуальный выбор, но пренебрегать угрозой не стоит. Известны случаи нелегального майнинга вычислительными ресурсами крупных компаний. К примеру, в феврале 2018 года злоумышленники атаковали компанию Tesla.

Источник: https://www.anti-malware.ru/analytics/Threats_Analysis/cryptojacking-new-threat

Ссылка на основную публикацию