Come individuare e rimuovere un malware miner di cripto valuta.
Questo articolo sarà utile ai nostri lettori per individuare e rimuovere i nuovi malware file less (sotto una breve spiegazione) per l'estrazione di cripto vauta.
Bitcoin è un sistema di moneta digitale: la differenza tra usare un Bitcoin o la moneta regolare sta nel fatto che il Bitcoin può essere usato senza che si abbia nessuna informazione sulla reale identità di chi li estrae/usa. Il mining di Bitcoin è quel processo tramite il quale le transazioni vengono verificate aggiunte alla blockchain. Questo processo è estremamente importante perchè rende la rete Bitcoin stabile, sicura e verificata. Tutto ciò però non ha impedito l'utilizzo del Bitcoin da parte di cyber criminali a fine di guadagno illegale.
L'immagine sotto mostra il flusso di una transazione in Bitcoin.
Una panoramica sui malware per il mining di Bitcoin
Per malware per il mining si intende quel malware che i cyber criminali usano per installare miner di Bitcoin sui sistemi degli utenti senza il loro consenso. Qui a Quick Heal abbiamo osservato che la maggior parte di questi malware appartengono alla categoria dei malware file less.
Cosa è un malware filess?
Un malware fileless è una variante di un codice dannoso che infetta i sistemi senza scaricarvi in memoria nessun file.E' un malware che viene scritto direttamente nella memoria volatile del computer bersaglio, ovvero nella RAM. Il suo codice viene iniettato entro i processi in esecuzione, spesse volte nei browser web come Internet Explorer, Chrome, Firefox ecc...
Come si diffonde e infetta i pc?
I miner di Bitcoin vengono diffusi in vari metodi: dai siti web compromessi alle email di spam. Possono anche venire scaricati o copiati da altri malware. Spesso gli utenti subiscono l'infezione perchè eseguono download sul proprio sistema di file sconosciuti da siti web compromessi. Abbiamo individuato perfino dei Tweet con link abbreviati che conducono al download di questi malware. I cyber criminali più sofisticati invece utilizzano exploit per sfruttare le vulnerabilità di una certa rete per infettare il sistema dell'utente.
Una volta che il malware è installato, costringe il sistema infetto a generare Bitcoin (ma anche altre cripto valute come Monero e Ethereum), oppure a entrare a far parte come nodo di un pool di mining senza che l'utente ne sia al corrente.
Il metodo esatto di infezione dei malware di mining non è chiaro, tuttavia, potrebbe accadere per l'esecuzione di una molteplicità diversa di tipi di malware (trojan, worm e altri malware) che potrebbero avere precedentemente infettato il pc. Il metodo di distribuzione inoltre varia molto da tipo a tipo di malware.
Se noti che il tuo computer rallenta improvvisamente, potrebbe non dipendere solo dal fatto che la macchina sia stata infettata, ma potrebeb anche significare che sta generando Bitcoin per qualcun altro (l'attaccante). Secondo la telemetria ricevuta dai Quick Heal Security Lab, i malware per il mining si diffondono sopratutto tramite i browser, gli attacchi di brute force, i worm, gli attacchi DoS (Denial of Service).
Come individuare un malware per il mining?
E' piuttosto difficile individuare qusti malware proprio per la loro caratteristica di essere fileless. Sotto elenchiamo i sintomi più evidenti di un attacco di questo tipo sui computer:
1. surriscaldamento del computer;
2. l'utilizzo della CPU o della scheda grafica è molto più alto della normalità;
3. il sistema rallenta drasticamente;
4. l'hardware del sistema protrebbe smettere di funzionare normalmente.
L'individuazione da parte di Quick Heal
I Quick Heal Security Lab hanno individuato con successo milioni di malware per il mining. Il grafico seguente fornisce le statistiche di individuazione:
Come rimuovere questi malware?
Segui i seguenti step:
- Resetta il tuo browser
- Usa Quick Heal
- Pulisci il registro di Windows usando tool specifici come Quick Heal PCTuner.
In che maniera Quick Heal ti difende a questa minaccia?
- Quick Heal offre una individuazione multi livello (statica e dinamica) contro queste minacce.
- Grazie al suo sistema di individuazione comportamentale di prossima generazione, Quick Heal monitora attivamente sotto controllo questo tipo di attività dannose.
- Quick Heal blocca e impedisce all'utente di visitare siti web dannosi, li protegge dai download e da tutti quei file dannosi provenienti da fonti sconosciute.