Майнинг-скрипты и троян-майнеры всё ещё активно распространяются․ Этот гид поможет обнаружить и удалить криптомайнеры, защитить систему и предотвратить повторное заражение․
Признаки заражения
- Повышенная процессорная нагрузка и использование GPU без видимых причин;
- Повышение температуры компонентов, шум вентиляторов;
- Подозрительные процессы в диспетчере задач или Process Explorer;
- Неожиданный автозапуск программ, записи в планировщике задач и папке Startup;
- Увеличение сетевого трафика — мониторинг сети и netstat покажут подозрительную активность;
- Вредоносные расширения в браузерах (расширения Chrome, расширения Firefox), уязвимости браузера и злоупотребления скриптами․
Шаги по обнаружению
- Отключите интернет и сделайте резервное копирование данных․
- Запустите антивирусное сканирование: Windows Defender, Kaspersky, ESET, Malwarebytes, HitmanPro․
- Используйте сканеры руткитов и утилиты Sysinternals: Autoruns, TCPView, Process Explorer, монитор ресурсов․
- Проверьте автозапуск в реестре и планировщике задач; проверьте файлы Windows Update и цифровые подписи․
- Анализ логов и системных журналов для поиска подозрительной активности․
Удаление майнера
- Вручную завершите подозрительные процессы и удалите связанные файлы; очистка реестра и автозапуска (Startup, Scheduler)․
- Выполните глубокое сканирование антивирусом и анти-майнерами; используйте утилиты удаления и антивирус на загрузочном носителе при необходимости․
- Очистите браузер: сброс настроек браузера, удаление вредоносных расширений, очистка кэша и временных файлов․
- Проверьте и восстановите цифровые подписи, контроль целостности файлов с хеш-суммами․
Дополнительные инструменты и команды
Используйте PowerShell-скрипты и командную строку для анализа автозапуска и сетевых подключений; netstat поможет найти подключения к доменам майнинга․ Autoruns удалит автозапуск, TCPView покажет активные порты․
Укрепление безопасности
- Обновление ОС, патчи безопасности, обновление приложений и прошивки BIOS/UEFI;
- Отключение виртуализации, аппаратная изоляция, шифрование диска (BitLocker);
- Ограничение прав: убрать права администратора у повседневных учетных записей, контроль доступа и привилегии программ;
- Включить двухфакторную аутентификацию, сменить пароли, защитить учетные записи;
- Настроить брандмауэр, блокировка портов, отключение удалённого доступа, сегментация сети, VPN, IDS/IPS;
- Отключение UPnP на роутере, защитить роутер, безопасное соединение Wi‑Fi, гостевые сети;
- Использование блокировщиков скриптов (NoScript, uBlock Origin), ограничение прав расширений, проверка сертификатов HTTPS․
Процедуры восстановления и предотвращения повторов
Если вредонос удаляется некорректно — безопасный режим, восстановление системы или чистая установка ОС․ Переустановка драйверов, обновление антивирусных баз, автоматические сканирования и плановые обновления․ Ведение журналов антивируса, отчёт об инциденте и удалённый аудит/форензика помогут выяснить источник․
Рекомендации
- Регулярно делать резервное копирование данных;
- Обучение пользователей по фишингу и подозрительным вложениям;
- Использовать списки разрешённых приложений и черные списки доменов майнинга;
- Частая проверка системы, уведомления о безопасности и мониторинг сетевого трафика․
Эти шаги помогут обнаружить и удалить майнинг-вредонос, восстановить систему и снизить риски повторного заражения․ При сложных инцидентах стоит обращаться к специалистам по безопасности․
