Kaj storiti, ko je vaš računalnik okužen z virusom za rudarjenje virtualnih valut?

• Po WannaCry je "izsiljevalska" zlonamerna programska oprema Petya razširjena, to je, kako jo popraviti in preprečiti
• Kako prepoznati zlonamerno programsko opremo WannaCry iz Vietnamskega računalniškega odzivnega centra (VNCERT)
• WannaCry ni mrtev, le napadel je Hondo in avstralski sistem prometnih kamer

Včeraj je Wiki.SpaceDesktop poročal, da je na tisoče računalnikov v Vietnamu ugrabil virus W32.AdCoinMiner prek spletne oglaševalske storitve Adf.ly. Ko bodo ti virusi prevzeli nadzor nad računalnikom, bodo še naprej prodirali skozi varnostne luknje v programski opremi in prevzeli nadzor nad uporabnikovim računalnikom ter prenašali skrite koristne podatke in izvajali virtualno rudarjenje denarja. Ko pridobi nadzor nad žrtvino napravo, lahko napadalec poleg prenosa tovora rudarjenja virtualne valute prek svojega nadzornega strežnika namesti dodatno zlonamerno kodo za izvajanje vohunjenja in kibernetskih napadov, krajo informacij in celo šifriranje podatkov za izsiljevanje.

Po mnenju strokovnjakov podjetja Trend Micro morajo uporabniki za zmanjšanje vdora virusov v računalnike nemudoma posodobiti najnovejši popravek za operacijski sistem ter nadgraditi Trend Micro Security različice 12 in vzpostaviti visoko raven zaščite.

Če sumite, da je vaš računalnik okužen z virusom za rudarjenje virtualne valute W32.AdCoinMiner, lahko ukrepate naslednje:

1. korak : Pred izvajanjem kakršnih koli postopkov skeniranja morajo uporabniki operacijskih sistemov Windows XP, Vista in Windows 7 najprej onemogočiti »Obnovitev sistema«, da lahko pregledajo celoten računalnik.

2. korak : Med postopkom namestitve bodo imeli različni operacijski sistemi različne datoteke, elemente, mape ali "registrske ključe". Če ste te predmete že našli v računalniku, vam ni treba izvesti naslednjih korakov. Vendar veliko računalnikov nima teh elementov, zato upoštevajte spodnja navodila.

3. korak: Poiščite in izbrišite virusno datoteko Coinminer v obliki COINMINER_MALXMR.AB-WIN64.

Med iskanjem in brisanjem te virusne datoteke se bo pojavilo nekaj primerov, kot so:

• Upravitelj opravil Windows morda ne bo prikazal vseh delujočih aplikacij. V tem primeru lahko uporabniki za odkrivanje datotek, ki vsebujejo zlonamerno kodo, uporabijo drugo aplikacijo za spremljanje dejavnosti tretje osebe, kot je Process Explorer. Uporabniki lahko prenesejo Process Explorer tukaj .
• Drugi primer je, da sta Windows Task Manager in Process Explorer oba prikazana, vendar ju ni mogoče izbrisati, uporabnik mora znova zagnati računalnik v varnem načinu.
• Tretjič, Windows Task Manager in Process Explorer ne prikažeta te datoteke, uporabniki morajo nadaljevati z naslednjim korakom.

4. korak: Izbrišite »Vrednost registra«.

Opomba : Če niste previdni pri urejanju »registra« Windows, lahko uporabniki naletijo na sistemske težave in ne bodo mogli obnoviti. Trend Micro priporoča, da ta korak izvedete le, če veste, kako to storiti, ali prosite za pomoč skrbnika sistema. Če želijo uporabniki nadaljevati z urejanjem »Registra«, si lahko vnaprej ogledajo nekaj Microsoftovih člankov o tej težavi.

Dostop prek povezave:

V HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

XMRRUN = »%SystemRoot%\Windows\SysWOW64\audiodig.exe –c%SystemRoot%\Windows\SysWOW64\audiodig«

V HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wextract_cleanup0 = “rundll32.exe%System%\advpack.dll,DelNodeRunDLL32”%User Temp%\IXP000.TMP\””

5. korak: Poiščite in izbrišite spodnje datoteke

Opomba: Preden najdejo in izbrišejo datoteke, morajo uporabniki vklopiti funkcijo »Iskanje skritih datotek in map« v razdelku »Več naprednih možnosti«, da zagotovijo, da spodnje datoteke med iskanjem niso skrite.

%Uporabniška Temp%\IXP000.TMP\TMP{naključno}.TMP

· %Uporabniška Temp%\IXP000.TMP\audiodig

· %User Temp%\IXP000.TMP\audiodig.exe

· %Uporabniška Temp%\IXP000.TMP\audiodig.reg

· %Uporabniška Temp%\IXP000.TMP\init.bat

· %System Root%\SysWOW64\audiodig

· %System Root%\SysWOW64\audiodig.exe

· %System Root%\SysWOW64\audiodig.reg

· %Sistemski koren%\SysWOW64\init.bat

6. korak : Končno naj uporabniki uporabijo protivirusno programsko opremo Trend Micro Security za odkrivanje in brisanje datotek s formati, kot je COINMINER_MALXMR.AB-WIN64. Ko odkrijejo z virusom okužene datoteke, naj jih uporabniki izbrišejo ali popolnoma izolirajo od drugih datotek, da preprečijo širjenje.

Poglej več:

• Protivirusna programska oprema upočasnjuje vaš računalnik
• Top 10 najboljših protivirusnih programov v začetku leta 2018 za Windows 10
• Bkav 2018 uporablja umetno inteligenco za odkrivanje virusov in zaščito računalnikov
• Nekdanji heker NSA je protivirusno programsko opremo Kaspersky spremenil v vohunsko orodje