Блог

Ваши гаджеты работают на другого

Андрей Шабалин, аналитик по информационной безопасности NGR Softlab, в статье Сyber Media рассказал о том, как определить зараженное майнером устройство, и более подробно порассуждал на тему этого вредоносного ПО в нашем блоге.
Если ваш телефон или планшет стал быстро разряжаться и сильно нагреваться, возможно, в нем поселился незваный гость — майнер. Эти вредоносные программы используют ресурсы устройств, чтобы добывать криптовалюту для своих создателей. Обнаружить их не так просто, и иногда для избавления от майнера требуется помощь специалистов.

Как майнеры попадают в телефон?

Алгоритм доставки майнеров схож с подходами, использующимися при загрузке и другого вредоносного ПО. Например, майнеры могут распространять, внедряя вредоносный код в популярное пиратское или взломанное программное обеспечение. Причем сама программа может выполнять свои функции в полном объеме, но с небольшой оговоркой: значительную часть ресурсов у скомпрометированного хоста возьмет на себя программа-майнер, работающая в фоновом режиме. Например, в начале сентября была обнаружена кампания, в ходе которой майнер распространялся под видом YouTube-клиента для Windows. При этом пользователи действительно могли взаимодействовать с ресурсом, доступ к которому из РФ частично ограничен, однако в фоновом режиме на их устройствах работал майнер.

Майнеры также могут распространять через вредоносные вложения по электронной почте, их же можно «подцепить» на зараженных сайтах, когда загрузка вредоноса на ПК осуществляется без ведома пользователя, например, после нажатия на всплывающий рекламный баннер.

Как понять, что устройство заражено?

Поскольку главным «лакомым кусочком» для вредоносных ПО подобного типа являются вычислительные мощности заражаемых устройств, возможно, наиболее явными признаками работы майнера на ПК или смартфоне можно назвать общее падение производительности системы. При этом внешне устройство может свидетельствовать о загрузке: в случае со смартфоном это может быть значительное повышение температуры и стремительное падение уровня заряда аккумулятора, в случае же с ПК – также повышение температуры, активная работа системы охлаждения. Кроме того, в обоих случаях можно наблюдать необычные паттерны сетевого поведения.

Существуют ли риски при использовании ручного метода удаления майнера?

Если у пользователя есть понимание того, каким конкретно ВПО заражено устройство, можно попробовать очистить систему самостоятельно, однако это требует определенных компетенций, в частности, умения обращаться с реестром, работающими службами, планировщиками задач и пр. В открытом доступе нередко можно найти тематические материалы от экспертов, объясняющих порядок действий для удаления из системы конкретного типа вредоноса. Однако некоторые риски, свойственные почти любому классу ВПО, действительно существуют. Каждый отдельный экземпляр вредоносной программы может быть дополнительно модифицирован злоумышленниками для осложнения его детектирования. Следовательно, если логика работы подобного ВПО изменена и у пользователя нет возможности полноценно проследить поведение конкретного экземпляра, нельзя быть до конца уверенным, что описанные в открытых материалах действия способны полностью очистить системы от всех артефактов, оставленных вредоносным ПО в системе. Поэтому, пожалуй, главными рекомендациями по защите от майнеров являются использование зарекомендовавших свою эффективность средств защиты с актуальными базами, а также повышенная осторожность при взаимодействии с источниками, чья репутация является сомнительной.