Криптоджекинг: как обнаружить и защититься от заражения

При криптоджекинге киберпреступники заражают компьютеры и мобильные устройства вредоносным ПО, чтобы использовать их вычислительную мощность для генерации криптовалют. Заражение можно обнаружить по необъяснимо высокой загрузке процессора. Несколько методов помогают обнаружить, остановить и предотвратить криптоджекинг.

Криптоджекинг — от слов «криптовалюта» и «хайпджекинг» — это гибридное вредоносное ПО, передаваемое в виде троянов и скриптов. Криптоджекеры практически вытеснили ransomware и вирусы как одну из самых больших глобальных онлайн-угроз. Проникшие в системы преступники незаметно захватывают их для майнинга криптовалют. В результате загрузка процессора и потребление энергии чрезвычайно высоки. В отличие от других вредоносных программ, криптоджекеры в первую очередь заинтересованы в захвате вычислительных ресурсов; шпионаж за конфиденциальными данными пользователя или системы не играет особой роли.

Криптоджекинг связан с процессом криптомайнинга. В криптомайнинге майнеры предоставляют свои собственные вычислительные мощности или объединенные мощности (когда они входят в пулы) для того, чтобы узаконить и проверить транзакции с криптовалютами и задокументировать их в блокчейне. Для обеспечения законности транзакций, например, транзакции биткоина публично регистрируются. Однако анонимизированные альткоины, такие как Monero и Ethereum, обеспечивают преступникам необходимую анонимность для незаконных транзакций через взломанные системы.

Поскольку криптомайнинг становится все более ресурсоемким и трудоемким, прибыльный майнинг все больше зависит от высоких вычислительных мощностей и дорогостоящего энергопотребления. Незаконный майнинг в форме криптоджекинга направлен на использование чужих вычислительных ресурсов для получения прибыли без собственных операционных расходов. С этой целью пострадавшие системы часто добавляются в ботнеты для майнинга, которые действуют как незаконные майнинговые пулы и объединяют вычислительные мощности.

Стать частью крупномасштабной сети криптоджекинга непреднамеренно и неосознанно проще, чем вы думаете. Вас могут заманить пугающей программой, и вы нажмете на ссылку, ведущую на зараженный веб-сайт, или загрузите стороннее приложение из сомнительного источника. Единственное, что вы можете заметить, — это замедление работы системы, поскольку троянец будет использовать вычислительные мощности вашего компьютера или мобильного устройства в фоновом режиме.

Домашние пользователи — не единственная цель криптоджекеров: известные случаи криптоджекинга были связаны с крупными брендами и предприятиями, такими как, например, Tesla Motors, где сотрудники использовали незащищенные приложения, зараженные скриптами криптоджекинга. Другим известным случаем был Wi-Fi, предоставляемый магазинами Starbucks в Буэнос-Айресе, через который перехватывалась вычислительная мощность подключенных ноутбуков и мобильных устройств. Другие примеры включают сайты Криштиану Роналду и зоопарка Сан-Диего, которые неосознанно использовали майнинговую программу Coinhive для добычи вычислительных мощностей посетителей сайта.

В зависимости от того, как чужие компьютеры или мобильные устройства используются для криптоджекинга, различают следующие категории опасных вредоносных программ:

• Криптоджекинг с помощью троянских программ/вредоносных программ: Системы, зараженные троянцем для криптоджекинга через инфицированные веб-сайты, файлы, загрузки или другими способами, используются для того, чтобы сделать CPU или GPU доступными для майнинга. Поскольку они обходят антивирусные программы и диспетчер задач, они обычно остаются незамеченными в течение длительного времени.
• Криптоджекинг через JavaScript/браузеры: Здесь код для майнинга скрыт в скриптах, например, в виде фрагментов кода программы Coinhive, на веб-сайтах и выполняется браузером. Посетители сайта неосознанно предоставляют свои вычислительные мощности для майнинга, возможно, даже после того, как они ушли с сайта, что возможно через скрытые всплывающие окна или вкладки. Поскольку потоковые порталы удерживают своих пользователей на странице в течение длительного времени, они также страдают от майнинговых кодов в видеоплеерах или замаскированной рекламы криптоджекинга.

Создателю JavaScript-кода Coinhive, широко используемого для криптоджекинга, кажется ироничным утверждать, что Coinhive является альтернативой классическим рекламным баннерам. Но идея, лежащая в основе такого кода, как Coinhive, не является незаконной. При условии, что им не злоупотребляют. В принципе, интегрированный в сайты код, с помощью которого посетители сознательно соглашаются на майнинг, может стать безопасной альтернативой рекламе, ведущей на вредоносные мошеннические или фишинговые сайты или на кражу конфиденциальных данных пользователей.

Предпосылкой для этого является согласие посетителей страниц предоставить часть своей вычислительной мощности за посещение сайта, как в случае с запросами cookie. Таким образом, операторы сайтов финансируют себя даже без высокой плотности неконтролируемой рекламы. Однако это может быть реализовано только через независимые стандарты и прозрачность кодов криптомайнинга в веб-проектах. Успешным примером легального использования Coinhive стала инициатива пожертвований австралийского отделения ЮНИСЕФ, где пожертвования генерировались за счет посещений сайта.

Если вы задаетесь вопросом, поражено ли ваше устройство вредоносным ПО для криптомайнинга, обратите внимание на самый распространенный признак для обнаружения вредоносного ПО: необъяснимо высокая загрузка CPU или GPU. Поскольку криптоджекеров в первую очередь интересуют вычислительные мощности, скрыть воздействие вредоносного ПО довольно сложно. Для получения высокой прибыли от криптоджекинга рабочая нагрузка должна быть соответственно высокой. Иногда она может достигать 90 или 100 процентов.

Заметно шумная работа вентиляции компьютера или перегрев устройства указывают на то, что процессы выполняются в фоновом режиме. Поэтому, если вы не выполняете задач, требующих интенсивных вычислений, ваше устройство не должно перегреваться. Если это происходит, это может свидетельствовать о возможном заражении вредоносным ПО. В худшем случае необнаруженный криптоджекинг может сократить срок службы вашего устройства из-за постоянной нагрузки и привести к увеличению счетов за электроэнергию.

Тем, кто заражен троянскими программами для криптоджекинга, следует действовать так же, как и в случае заражения любым другим вредоносным ПО:

Просканируйте устройство с помощью надежного антивирусного ПО, чтобы проверить, обнаруживается ли вредоносная программа; удалите ее. Поскольку троянские программы криптоджекинга могут отключать антивирусные программы, инактивировать диспетчер задач или прятаться в системных файлах реестра, этот метод не всегда оказывается успешным.

Если антивирусные программы не могут ничего обнаружить, обратитесь к профессиональному эксперту по информационной безопасности. Можно перестраховаться, полностью перезагрузив устройство, например, с помощью Windows Recovery.

Вы можете предотвратить появление троянцев cryptojacking, следя за актуальностью системы, устанавливая обновления, используя надежную и регулярно обновляемую антивирусную программу, а также обращая внимание на подозрительное поведение системы, например, нагрев устройства, громкую вентиляцию, медленную вычислительную мощность.

Поскольку криптоджекинг не всегда заражает вашу систему, но также захватывает вычислительные мощности через Java-скрипты, рекламу или потоки, незаконный майнинг можно предотвратить путем блокирования Java-скриптов или списков фильтров майнинга. Java-сценарии можно отключить в любом браузере. Однако это может привести к тому, что некоторые функции веб-сайта перестанут выполняться. Браузерные расширения, такие как «No Coin» или «MinerBlock», также пытаются напрямую предотвратить майнинговую деятельность в браузере.

Безопаснее использовать комплексные решения безопасности, такие как MyDefender от IONOS или Malwarebytes, которые обнаруживают как «классические» вредоносные программы, так и вредоносные программы для майнинга и борются с ними.

Поскольку криптоджекинг может повредить оборудование и привести к потере данных, необходимо регулярно создавать резервные копии данных на внешних носителях. MyDefender от IONOS — подходящий вариант, предлагающий автоматическое резервное копирование в сертифицированных ISO центрах обработки данных для двойной защиты и многократного резервного копирования. Вы можете создавать резервные копии отдельных данных или целых систем.

Вредоносные программы можно разделить примерно на три категории:

• Вирусы: Вредоносные программные коды, которые размножаются, манипулируют и повреждают системы.
• Черви: Подкласс вирусов, который манипулирует системами, повреждает их, открывает доступ для дополнительных вредоносных программ, перегружает мощности компьютера и, в отличие от вирусов, распространяется без вмешательства пользователя, например, через электронную почту и спам в сетях; известный пример — Emotet.
• Трояны: Вредоносные программные коды, которые не воспроизводят, а манипулируют функциями системы.

Как показывает криптоджекинг, границы между вредоносными программами размыты. Например, компьютерные черви часто служат для открытия доступа для вредоносных троянских программ и руткитов. К наиболее распространенным функциям вредоносных программ относятся:

• шпионаж и фишинг конфиденциальных данных пользователей и доступа.
• Распространение или загрузка других вредоносных программ, например, в составе ботнетов
• проникновение для осуществления кибер-атак
• «Хайджекинг» систем для выполнения целевых задач
• Перегрузка компьютеров и систем в результате DDoS- и DoS-атак
• Шифрование данных с целью вымогательства, как в случае с ransomware