Що робити, якщо ваш компютер заражений вірусом для майнінгу віртуальної валюти?

• Після WannaCry зловмисне програмне забезпечення для «вимагання» Petya нестримно поширене. Ось як це виправити та запобігти
• Як визначити зловмисне програмне забезпечення WannaCry за допомогою В’єтнаму, Центр реагування на надзвичайні ситуації з комп’ютерами (VNCERT)
• WannaCry не мертвий, він просто атакував Honda та австралійську систему камер дорожнього руху

Вчора Wiki.SpaceDesktop повідомив, що тисячі комп’ютерів у В’єтнамі були захоплені вірусом W32.AdCoinMiner через сервіс онлайн-реклами Adf.ly. Отримавши контроль над комп’ютером, ці віруси продовжуватимуть проникати через діри в безпеці програмного забезпечення та захоплюватимуть комп’ютер користувача, щоб завантажувати приховані корисні дані та виконувати видобуток грошей. Отримавши контроль над пристроєм жертви, окрім завантаження корисного навантаження для майнінгу віртуальної валюти, зловмисник може встановити додатковий шкідливий код через свій контрольний сервер для здійснення шпигунства та кібератак, крадіжки інформації та навіть шифрування даних для шантажу.

За словами експертів Trend Micro, щоб мінімізувати проникнення вірусів в комп'ютери, користувачам необхідно негайно оновити останній патч для операційної системи, а також оновити Trend Micro Security до версії 12 і налаштувати безпеку високого рівня захисту.

Якщо ви підозрюєте, що ваш комп’ютер заражений вірусом для майнінгу віртуальної валюти W32.AdCoinMiner, ви можете вжити таких заходів:

Крок 1 : перш ніж виконувати будь-які операції сканування, користувачі Windows XP, Vista та Windows 7 повинні спочатку вимкнути «Відновлення системи», щоб мати можливість сканувати весь комп’ютер.

Крок 2. Під час інсталяції різні операційні системи матимуть різні файли, елементи, папки або «ключі реєстру». Якщо ви вже знайшли ці елементи на своєму комп’ютері, вам не потрібно виконувати наступні дії. Однак багато комп’ютерів не мають цих елементів, тому дотримуйтеся наведених нижче інструкцій.

Крок 3. Знайдіть і видаліть файл вірусу Coinminer у форматі COINMINER_MALXMR.AB-WIN64.

Під час пошуку та видалення цього вірусного файлу з’явиться кілька випадків, наприклад:

• Диспетчер завдань Windows може не відображати всі запущені програми. У цьому випадку користувачі можуть використовувати іншу сторонню програму моніторингу активності, наприклад Process Explorer, щоб виявити файли, що містять шкідливий код. Користувачі можуть завантажити Process Explorer тут .
• У другому випадку диспетчер завдань Windows і провідник процесів відображаються, але не можуть їх видалити, користувачеві слід перезавантажити комп’ютер у безпечному режимі.
• По-третє, диспетчер завдань Windows і провідник процесів не відображають цей файл, користувачам слід перейти до наступного кроку.

Крок 4. Видаліть «Значення реєстру».

Примітка . Якщо ви не будете обережно редагувати «Реєстр» Windows, користувачі можуть зіткнутися з проблемами системи та не зможуть відновити систему. Trend Micro рекомендує виконувати цей крок, лише якщо ви знаєте, як це зробити, або попросите допомоги у свого системного адміністратора. Користувачі можуть заздалегідь переглянути деякі статті Microsoft про цю проблему, якщо вони хочуть продовжити редагування "Реєстру".

Доступ за посиланням:

У HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

XMRRUN = «%SystemRoot%\Windows\SysWOW64\audiodig.exe –c%SystemRoot%\Windows\SysWOW64\audiodig»

У HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wextract_cleanup0 = “rundll32.exe%System%\advpack.dll,DelNodeRunDLL32”%User Temp%\IXP000.TMP\””

Крок 5. Знайдіть і видаліть наведені нижче файли

Примітка. Перш ніж шукати та видаляти файли, користувачі мають увімкнути функцію «Пошук у прихованих файлах і папках» у розділі «Додаткові параметри», щоб переконатися, що наведені нижче файли не приховані під час пошуку.

%User Temp%\IXP000.TMP\TMP{випадковий}.TMP

· %User Temp%\IXP000.TMP\audiodig

· %User Temp%\IXP000.TMP\audiodig.exe

· %User Temp%\IXP000.TMP\audiodig.reg

· %User Temp%\IXP000.TMP\init.bat

· %System Root%\SysWOW64\audiodig

· %System Root%\SysWOW64\audiodig.exe

· %System Root%\SysWOW64\audiodig.reg

· %System Root%\SysWOW64\init.bat

Крок 6 : Нарешті, користувачі повинні використовувати антивірусне програмне забезпечення Trend Micro Security для виявлення та видалення файлів у таких форматах, як COINMINER_MALXMR.AB-WIN64. Виявляючи заражені вірусом файли, користувачі повинні видалити їх або повністю ізолювати від інших файлів, щоб уникнути поширення.

Побачити більше:

• Антивірусне програмне забезпечення сповільнює роботу комп’ютера
• Топ-10 найкращих антивірусних програм на початку 2018 року для Windows 10
• Bkav 2018 використовує штучний інтелект для виявлення вірусів і захисту комп’ютерів
• Колишній хакер АНБ перетворив антивірус Касперського на шпигунський інструмент