Eemaldage Monero Miner (Eemaldamise juhend) - Jan 2018 uuendus

Mis on Monero Miner?

Krüptovaluutade populaarsus motiveerib pahavaralise Monero Minersi arendamist

Monero Miner on pahavaraline programm, mis on aktiivselt kaevandanud Monero krüptovaluutat 2016. aastast saati. 2017. aastal uuendati viirust ning see jätkas ebaseaduslikult virtuaalse valuuta teenimist, kasutades nakatunud arvutite CPU-d. Hetkel levivad internetis ka Vatico Monero (XMR) CPU Miner, Shadowsocks Miner, Wise XMRig viirus ja teised sarnased kaevandajad.

Monero Miner viirus levib enamasti nagu Trooja hobu ja satub süsteemi tarkvarapaki kaudu. Turvaeksperdid tuvastasid ka Coinhive JS kaevandaja ebaõiglase kasutuse. See JavaScript kogum on lisatud mitmetele populaarsetele veebilehtedele ja brauserilaiendustele.

Gplyra Miner, Vnlgp Miner ja CPU Miner on vaid mõned küberohud, mis leiduvad selle ohu kõrval. Nende kõigi eesmärk on sama – kaevandada krüptovaluutat. Kui mõned kaevandajad keskenduvad Bitcoinidele, Dashile või Decredile, siis Moneri Miner – nagu ka nimi viitab – põhineb Moneri krüptomüntide kaevandamisel.

See pahavara leiab tee arvutisse küll salamisi, kuid selle leiab Task Managerist üles NsCpuCNMiner32.exe või Photo.scr protsesside kaudu. Kusjuures, häkkerid loovad botneti sellistest arvutitest ning kõik töötavad samal eesmärgil. Samal ajal ei tea arvuti omanikud absoluutselt tegevustest, mis nende arvutitega tehakse ning märkavad alles siis, kui nende seadmed hakkavad veidralt käituma.

Kuna kaevandajad kasutavad ära enamuse CPU võimekusest, hakkavad arvutid töötama ebaloomulikult aeglaselt või jooksevad täiesti kokku. Üleliigne ressursside kasutamine ei muuda seadet mitte üksnes aeglaseks, vaid võib kahjustada ka riistvara ülekuumenemise pärast.

Paraku aga ei huvita Trooja loojaid sugugi sinu arvuti jõudlus ning nad kasutavad sinu arvutit ainult ise kasumi teenimiseks. Õnneks ei pea sa kõiki neid ebamugavusi pikalt taluma. On olemas võimalus, kuidas eemaldada Monero Miner oma arvutist. Täpsemalt öeldes, automaatsed viirusetõrjed nagu FortectIntego või Malwarebytes aitavad sul selle viiruse eemaldamisega hakkama saada. Loe meie artiklit edasi, et saada veel nõuandeid viiruse eemaldamiseks.

Coinhive tehnoloogiat kasutasid kurjalt ära küberkurjategijad

Coinhive on JavaScript teek Monero Blockchainist ehk plokiahelast, mida saab kohandada mitmete veebilehtede jaoks. Tööriist avaldati vaid mõni nädal tagasi 14. septembril, kuid see on juba tõmmanud kurikaelte tähelepanu. Petturlikud inimesed kasutasid tööriista ära selleks, et kaevandada krüptovaluutat, kasutades arvuti CPU'd samal ajal, kui kasutaja lehitses teatud veebilehte. Lisaks avastati, et Coinhive JS kaevandaja levis tehnilise toe pettuse kampaania kaudu.

Uurijad avastasid, et Coinhive on integreeritud ka SafeBrowse laiendusega. Kui kasutajad laadivad endale selle laienduse, hakkab Monero Miner tegutsema ja kasutab kuni 50% arvuti CPU-st. Selle tegevuse tõttu muutub arvuti aeglaseks ja võib saada ka füüsilisi kahjustusi kõrge kuumuse tõttu. Kaevandamine kestab seni, kuni kasutaja sulgeb brauseri. Seega võidakse seda teha tunde järjest.

Coinhive lisati ka mitmetesse veebilehtedesse, mis jäljendasid populaarseid sotsiaalvõrgustikke nagu Twitter. Näiteks on olemas domeen twitter.com.com, mis laadib alla kaevandamisprogrammi nii pea kui kasutaja trükib Twitteri aadressi valesti sisse ja läheb sellele lehele. On võimalik, et petturid registreerisid mitmeid erinevaid lehti ja teenivad hetkel kasumit pahaaimamatute kasutajate pealt.

Teada anti ka sellest, et hulk veebilehti kasutasid brauserisisest kaevandajat salaja. Selliste lehtede hulgas oli The Pirate Bay,, showtime.com ja showtimeanytime.com.. Viimased veebilehed lõpetasid need tegevused kohe, kui seda märgati. Veebikogukond siiski mõtiskleb selle üle, et veebilehtede omanikud võisid seni teenida sadu tuhandeid dollareid.

Uuendus august 2017: Vatico Monero (XMR) CPU kaevandaja ilmus välja

Pahavara viimane versioon kaevandab XMR-i, Monerot ja teisi digitaalseid valuutasid. Sarnaselt eelmisele versioonile töötab pahavara trooja kaudu. Arvutist võib selle leida moloko.exe nime alt. Faili nimi viitab sellele, et pahavara võis alguse saada või sihikule võtta venekeelsed kasutajad. Kahjuks on kaevandamistroojad Venemaal päevakajaliseks probleemiks muutunud.

Task Manager tuvastab seda kui Monero (XMR) CPU kaevandajat. Kaevandusviirusega nakatumise peamine viitaja on väga kõrge CPU kasutus. Pahavara ühendab end ka XMR kaevandusega aadressil xmr-eu.dwarfpool.com:8050 ja alustab siis oma tegevust.

Isegi, kui sa ei kontrolli aeg-ajalt oma Task Manageri, märkad sa arvuti halvemat jõudlust. Kui sa kohtad sellist küberohtu, eemalda see koheselt.

Rääkides lähemalt Monero Mineri töötamisest, siis on oluline märkida, et nakkus leiab tee arvutisse Photo.scr failina, mis poetab seejärel sama faili koopiad kõikidele nakatunud arvuti draiveritele. Lõpuks pakib Trooja lahti käivitusfaili NsCpuCNMiner32.exe, mis vastutab kaevandamisprotsessi eest.

Fail paigutatakse %Temp% kausta ja see tegutseb sealt. Protsess algab automaatselt iga kord, kui arvuti avatakse. Õnneks ei saa häkkerid midagi teha, kui su seade ei ole internetiühenduses, sest kogu kaevandamisprotsess vajab internetiühendust. Seepärast on ka soovitatud Monero Miner eemaldada nii, et arvuti pole ühendatud võrku. Selleks, et lähemalt näha, kuidas viirus eemaldada, lehitse artiklit allapoole.

2. november, 2017: pahatahtlikud Monero Minerid leiti Google Play poest

Taaskord on Google Play pood tõestanud end olevat ebausaldusväärne “ametlik äpipood”. Näib, et hiljutised pahavarad on edukalt leidnud tee sellele rakenduste platvormile ning on alustanud koheselt Androidikasutajate ründamist. Seekord avastasid uurijad pahavaralisi äppe, mis peitsid endas krüptovaluuta kaevandaja kirjeid. Pahavaraline Android Monero Miner viirus kannab nimesid nagu ANDROIDOS_JSMINER või ANDROIDOS_CPUMINER.

JSMineri versioon tuvastati äppidest “Recitiamo Santo Rosario Free” (rakendus usklikele mobiilikasutajatele) ja “SafetyNet Wireless App” (äpp, mis lubab otsida häid pakkumisi ja kuponge). Mitte just eriti üllatuslikult kasutavad need rakendused Coinhive tehnoloogiat (kirjeldatud ülalpool), et kaevandada digitaalset valuutat. JavaScripti kood käivitab end ise rakenduse veebivaates, kuid ohver ei märka midagi kahtlast, välja arvatud need probleemid:

• lühem akuiga;
• seade on aeglasem;
• äpp jookseb kokku.

CPUMiner tuvastati rakendusest nimega “Car Wallpaper HD: mercedes, ferrari, bmw and audi”. See grupp pahavaralisi rakendusi muudavad legitiimsete rakenduste versioon ja nakatavad neid krüptovaluuta kaevandajate teekidega nagu cpuminer (kurikaelad kasutasid selle uuendatud 2.5.1. versiooni).

Hiljem pakitakse neid uuesti ja levitatakse edasi. TrendMicro näitab, et seda tüüpi pahavara suudab kaevandada mitmeid krüptovaluutasid (mitte üksnes Monerot).

Kaevandamise eest vastutav kood saab konfigureerimisfaili kurjategijate serveritest. Failis on andmed kaevandamise kohta Stratumi kaevandamisprotokolli vahendusel.

Monero Miner viirus võtab sihikule pahaaimamatud kasutajad.

Monero Mineri versioonid ja nendega seotud protsessid

ShellExperienceHost.exe ja MicrosoftShellHost.exe. Need protsessid võivad ilmuda Windowsi Task Manageri pärast Trooja hobuga nakatumist. Pahavaraline programm loob faili ShellExperienceHost.exe, mis avatakse automaatselt süsteemi käivitusel. Protsess avab ka MicrosoftShellHost.exe, mis vastutab Monero krüptovaluuta kaevandamise eest, kasutades selleks nakatunud arvuti CPU-d.

Booster.exe. See trooja hobu võib süsteemi sattuda reklaamvarapakkide abiga. Kui see on süsteemi sattunud, muudab see Windowsi sätteid, et avada ennast süsteemi avamisel. Task Manageris on Booster.exe faili kirjeldatud nime all VsGraphics Desktop Engine. See kasutab aga 25% arvuti CPU-st, mis on selge viide sellele, et see kaevandab krüptovaluutat.

Wise XMRig viirus. Wise Miner on Trooja hobu, mis saab luua nakatunud seadmes Monero valuuta kaevandamiseks kaks protsessi – AudioHD.exe ja winserv.exe. Kui see Trooja satub süsteemi, loob see koheselt AudioHD.exe kaevandaja, mis hakkab töötama pärast seda, kui kasutaja arvuti sisse lülitab. Task manageris on selle protsessi kirjelduseks XMRig.

Wise Mineriga on seotud ka fail nimega winserv.exe, mille kirjelduseks on WindowsHub. Mõlemad neist protsessidest kasutavad rohkelt arvuti CPU-d ja muudavad süsteemi aeglaseks.

Shadowsocks Miner. See trooja hobu on tuntud selle poolest, et see loob ja avab nakatunud seadmes protsessid nimedega service.exe või websock.exe. Kasutajad saavad näha, et need protsessid võtavad Task Manageris väga palju arvuti ressursse. Pahavara leiab arvutisse tihti tee tarkvarapakkide kaudu. Lisaks võib see arvutisse tuua ka teisi nuhkvarasid või potentsiaalselt soovimatuid rakendusi.

Vatico Monero (XMR) CPU Miner. See Trooja hobu saab süsteemi, teeseldes end olevat kasulik programm. Kord, kui see aga satub süsteemi, avab see automaatselt protsessi moloko.exe. Seega iga kord, kui kasutaja avab Windowsi, hakkab kaevandaja kasutama umbes 80% arvuti CPU-st selleks, et kaevandada Monerot.

Adylkuzz Miner viirus. See Monero kaevandaja saab süsteemi, kasutades ära EternalBlue nõrkust ja DoublePulsar tagaust. Pahavara ühendab nakatunud arvuti kaevandamisvõrgustikuga ja hakkab kasutama selle CPU-d krüptovaluuta kaevandamiseks. Nakatunud arvuti ühendamine võrgustikuga aitab teenida rohkem krüptoraha kui tavaliselt.

Coinhive Miner. Kaevandaja loojad kasutasid ära reaalset Coinhive tööriista, mis lubas veebilehtede omanikel kaevandada krüptovaluutat. Kurikaelad paigutasid kaevandamiskoodi pahavaralistesse brauserilaiendustesse ja häkitud veebilehtedele. Lisaks levitasid kurjategijad viirust tehnilise toe pettustega ja nakatunud lehtede kaudu, mida ei ole võimalik sulgeda ühelgi teisel viisil peale brauseri sunniviisilist sulgemist.

Monero Mineri levimisviisid

Peamiselt levitatakse Monero Minerot erinevate kahtlaste domeenide ja petturlike veebilehtede kaudu. kasutajad, kes laadivad selle oma arvutisse, arvavad, et nad saavad endale midagi kasulikku. Reaalselt aga kohe pärast nakatunud faili laadimist hakkab viirus arvutis levima ja arvutit ette valmistama kaevandamiseks.

On väga oluline regulaarselt kontrollida, ega arvutis pole pahavarasid, eriti, kui sa laadid tihti internetist tarkvara alla. On soovitatud ka jälgida programme, mis tulevad su arvutisse ning neid veel lisaks kontrollida usaldusväärse viirusetõrjega.

2017. aasta septembris märgati, et pahavara levis ka SafeBrowse laienduse kaudu. Seega soovitatakse Google Chrome'i kasutajatel sellest laiendusest eemale hoida. See pahavara versioon on ülimalt ohtlik arvuti jaoks, kuna kasutab tohutul määral arvuti CPU-d. Task Managerist saab näha, et Chrome kasutab kuni 50% CPU-d. Kui sa aga avad Chrome'i Task Manageri, avastad, et probleem on SafeBrowse laiendus.

Eemalda Monero Miner Trooja kohe professionaalsete juhiste abil

Kuigi Monero Miner viirus on pisut keerulisem kui brauserikaaperdajad, reklaamvara ja muud taolised nakkused, saab selle eemaldada nakatunud arvutitest väga hõlpsalt. Nagu me juba mainisime, võid sa Monero Mineri eemaldada automaatselt. Sa pead lihtsalt valima usaldusväärse viirusetõrje nagu näiteks FortectIntego või Malwarebytes.

Skänneeri oma arvutit valitud pahavaratõrjega, nuhkvaratõrjega või viirusetõrjega ning sa ei pea enam tegelema aeglase süsteemi või kokkujooksva arvutiga. Me tuletame meelde, et Monero Mineri eemaldamine on edukam, kui sa teed seda internetiühenduses olemata, kasutades Safe Mode režiimi.

Kui sa oled endale laadinud SafeBrowse Chrome laienduse (või see tuli arvutisse tarkvarapakis), pead sa ka selle maha laadima. Nagu me juba mainisime selles artiklis, on see lähedalt seotud selle pahavaraga ja ohustab su arvutit kõrge CPU kasutuse tõttu.