Obrovský „boom“ vznikol okolo kryptomien ešte pred niekoľkými rokmi, kedy sa rozbehol aj veľký priemysel, v ktorom tieto virtuálne meny ťažilo množstvo ľudí a veľa z nich aj nedobrovoľne. Práve nelegálne ťaženie sa stalo stredobodom pozornosti, keď sa ukázalo, že kryptomeny ťažia aj mnohé webové stránky a počítače ľudí bez toho, aby oni sami o tom vedeli.

Odhalili sme ich takmer 90. Toto sú ďalšie falošné e-shopy, ktoré okrádajú Slovákov a vydávajú sa za známe značky

Hackeri šíria podvod na Slovensku v mene Tatra banky. Kradnú údaje o kreditnej karte

Štátny IT systém, ktorý nebol nikdy v prevádzke. Ministerstvo zaň zaplatilo desiatky miliónov €

Takzvaní „baníci“ využívali na obohatenie výkon cudzích zariadení, ktoré napádali škodlivými malvérmi alebo výpočtovú silu kradli prostredníctvom webov. Tento biznis sa však stále neskončil. Ťaženie Bitcoinu na cudzích zariadeniach je stále aktívne a útočníci aj dnes využívajú malvéry a škodlivé kódy, ktoré ovplyvňujú výkon počítačov.

Pred pár rokmi sa vo veľkom rozbehlo ťaženie kryptomien, ktoré sú získavané využitím výkonu výpočtových zariadení a ich komponentov. Pri legálnom ťažení je potrebný výkonný hardvér a špecializovaný softvér, ktorým môžu ľudia začať získavať vlastnú kryptomenu ako napríklad Bitcoin. Práve táto mena je pre v tejto „baníckej“ komunite najpopulárnejšia a hoci v uplynulých rokoch zaznamenala veľké výkyvy cien, jej hodnota je stále poriadne vysoká. Aktuálne stojí 1 Bitcoin takmer 6 920 €.

Ťaženie je však omnoho komplexnejší proces. Okrem bežných „baníkov“ sú tu však aj takí, ktorí by si radi privyrobili na úrok cudzích ľudí. Napádanie počítačov a webových stránok za účelom ťažby kryptomeny neprestáva a aj po rokoch sa stále stretávame s prípadmi, kedy útočníci napádajú výpočtovú techniku, aby prostredníctvom nej mohli ťažiť. V poslednom čase sme zaznamenali najmä šírenie malvéru známeho ako Trojan.BitCoinMiner, ktorý sa objavil už pred rokmi, no počítače napáda dodnes.

Malvér pre ťaženie Bitcoinu stále napáda počítače. Antivírus nepomôže

Majiteľ napadnutého zariadenia pritom vôbec nemusí pri bežnom používaní zistiť, že výkon jeho počítača využívajú útočníci na ťažbu Bitcoinu. To platí najmä pri výkonných zostavách, ktoré majú dostatok výpočtovej sily a používateľ si takýto proces na pozadí zrejme ani nevšimne. V redakcii sme však zaznamenali takýto prípad ťaženia a na rovnaký problém nás upozornil aj čitateľ Martin, ktorého počítač bol taktiež napadnutý malvérom pre ťaženie Bitcoinu.

 

Stalo sa tak aj napriek nainštalovanému antivírusovému programu (ESET), ktorý nedokázal hrozbu zachytiť. Problém je zdanlivo nepatrný, no Trojan.BitCoinMiner sa dokáže skryť do pozadia, aby používateľ nepocítil žiadne zmeny pri používaní svojho zariadenia. Indikátorom toho, že počítač je napadnutý takýmto malvérom, je, že používateľ nemôže žiadnym spôsobom spustiť príkazový riadok „cmd“.

 

V skutočnosti celý proces začína už pri zapnutí počítača, kedy sa pred načítaním plochy nakrátko zapne príkazový riadok. Už takéto rýchle zapnutie a vypnutie je dostatočným dôkazom, že niečo nie je v poriadku. Príklad tohto problému môžeš vidieť na videu od nášho čitateľa. Video však bolo komprimované cez Messenger, no napriek nízkej kvalite sú malvéry pri hľadaní viditeľné.

Ako ho najjednoduchšie odhaliť?

Pokiaľ sa pokúsi používateľ spustiť „cmd“ cez lištu vyhľadávania alebo akýmkoľvek iným spôsobom, opakuje sa rovnaký scenár a príkazový riadok sa na obrazovke zobrazí iba na zlomok sekundy. Nie je možné ho zapnúť ani ako správca počítača. Problém sa neprejavuje pri vytvorení druhého používateľského účtu, ak už bol počítať infikovaný. V prípade, že je zariadenie s menej výkonným hardvérom napadnuté takýmto škodlivým kódom, používateľ pocíti zmeny v jeho fungovaní a spomalené reakcie, zdĺhavé načítavanie programov a podobné anomálie.

Najjednoduchším spôsobom, ako takéhoto trójskeho koňa odstrániť, je využiť bezplatný softvér Malwarebytes, ktorý dokáže skontrolovať počítač a odhaliť problémové súbory. Okrem potencionálne škodlivých súborov nájde aj malvér, ktorý využíva počítač pre ťaženie Bitcoinu. Samotný program je dostupný na stiahnutie zadarmo a po registrácii získaš kľúč na jeho bezplatné používanie.

Výsledky skenovania prostredníctvom Malwarebytes nakoniec odhalili prítomnosť malvéru Trojan.BitCoinMiner, ktorý zabraňoval spusteniu príkazového riadka „cmd“. Vo výstupe zo skenovania sa ukázalo, akým spôsobom tento kód fungoval.

Malvér pri spustení počítača automaticky spúšťal pred domovskou obrazovkou príkazový riadok, prostredníctvom ktorého využíval zariadenie na ťažbu kryptomeny. Po umiestnení škodlivých súborov do karantény bol problém odstránený. Príkazový riadok znova fungoval správne a pred zobrazením plochy už nedochádzalo k žiadnemu spúšťaniu tohto programu.

Čo je Trojan.BitCoinMiner a aké škody môže spôsobiť?

Tento druh malvéru funguje na pozadí a používateľ si ho vo svojom počítači nemusí vôbec všimnúť. Jediným spôsobom, ako ho odhaliť, je, pokiaľ sa prejavia anomálie a neobvyklé fungovanie zariadenia. Procesor infikovaného počítača býva vyťažený, čo ovplyvňuje ďalšie programy a jeho výkon. To je možné zistiť prostredníctvom Správcu úloh (Ctrl+Alt+Delete), ktorý zobrazuje bežiace procesy a vyťaženie hardvéru. Najmä procesor je v takomto prípade vyťažený na viac ako 50 % aj bez spustenia náročnejších aplikácií.

Malvér však môže ťažiť kryptomeny aj cez grafickú kartu. V takom prípade nie je preťaženie cez Správu úloh vidieť. Na kontrolu vyťaženia je možné využiť program GPU-Z, kde sa dá skontrolovať aktuálne vyťaženie (GPU Load).

Pokiaľ je grafická karta vyťažená viac ako by mala, na odstránenie malvéru môžeš využiť niektorý z programov ako Malwarebytes alebo Zemana AntiMalware. Takýto malvér sa pritom môže v počítači nachádzať pod viacerými názvami, no vo všeobecnosti každý obsahuje aj pomenovanie BitCoinMiner alebo BitMine, informoval BleepingComputer.

Vo všeobecnosti môže tento malvér uškodiť obeti nielen zneužitím výkonu jeho počítača, ale tiež odcudzením údajov. Po napadnutí totiž otvára zadné vrátka pre ďalšie vírusy a môže ukradnúť osobné údaje, heslá a ďalšie citlivé dáta. Infikovať zariadenie malvérom je možné viacerými spôsobmi. Okrem škodlivých príloh v emailoch sa môže takýto škodlivý kód šíriť aj nelegálnymi verziami rôznych programov alebo cez webové stránky.

Je preto vhodné dávať si pozor na to, aké weby navštevuješ a aké programy do svojho počítača inštaluješ. Taktiež treba dbať na to, ktoré prílohy v emailoch otvoríš. Platí však, že správy od neznámeho adresáta s podozrivým predmetom alebo adresou by si nemal vôbec otvárať a čo najskôr odstrániť.

Ťažia aj slovenské weby

Pred niekoľkými rokmi sme upozorňovali aj na fakt, že kryptomeny dokážu ťažiť tiež webové stránky, ktoré po otvorení využívajú výkon počítačov.

Portál Root.cz vtedy informoval, že takýmto spôsobom zneužívajú výpočtovú silu počítačov aj známe slovenské a české weby. Hoci sa v tomto smere situácia upokojila a mnohé stránky s ťažením prestali, stále sa môžeme stretávať s infikovanými webmi, ktoré obsahujú skript na ťažbu kryptomeny.

Takéto weby je podľa analytika Scotta Helmeho možné nájsť aj cez vyhľadávač Google, kde stačí do vyhľadávania zadať „intitle:“var miner = new CoinHive“ site:sk“ a následne sa zobrazia stránky, ktoré obsahujú spomínaný skript.

Na konci príkazu je možné zmeniť „sk“ na „cz“, aby Google prehľadal české weby. Pri nedávnom prehľadávaní sa však ukázalo, že takýmto spôsobom stále fungujú viaceré stránky na Slovensku a v Česku už iba jediný web (Artway.cz).

Ďakujeme za čitateľský tip.