严重程度量表:  
  (98/100)

Monero Miner. 如何移除? (卸载指南)

卢西亚·戴恩斯 评价 - - | 类型:恶意软件

加密货币热炒,促进了恶意 Monero Miners 的开发Monero Miner 图像

Monero Miner 是一个恶意的程序,自 2016 年以来它就一直在积极地挖掘 Monero 加密货币 。在 2017 年,该病毒已经更新了,并通过受侵入计算机的中央处理器 (CPU) 非法地继续赚取虚拟货币。目前,Vatico Monero (XMR) CPU Miner、Shadowsocks Miner、Wise XMRig 病毒和其他挖掘工具正在网络上蔓延。

Monero Miner 病毒大多数都是以木马程序的形式传播,并通过软件包进入系统。然而,安全专家也发现 Coinhive JS 挖掘工具被非法使用。这个 JavaScript 库已经被注入了几个流行的网站和浏览器扩展程序。

Gplyra MinerVnlgp Miner 及 CPU Miner 只是这种威胁病毒的其中一些网络威胁,它们的目的都是一样的——挖掘加密货币。当其他挖掘工具专注于Bitcoins(比特币)、Dash 或 Decred 时, Monero Miner 正如其名称所暗示的那样—— 是以挖掘 Monero 的加密钱币为目标的。

这个恶意软件偷偷地占用计算机,但仍然可以在系统的任务管理器中看到它以NsCpuCNMiner32.exe 或 Photo.scr 运行。事实上,黑客创建了这些计算机的僵尸网络,所有的目的都是同样的。当然,计算机的主人完全没有意识到这些活动正在计算机里进行,只有当他们的设备开始表现怪异时,他们才注意到计算机了发生了一些事情。

由于挖掘工具会占用大部分的 CPU 容量,计算机自然开始比平常运行得缓慢,甚至可能完全崩溃。所有这些额外的资源使用不仅会降低设备的速度,还可能会导致硬件因过热而损坏。

坦白地说,木马程序的创建者不会关心你的计算机性能,他们只是用它来为自己制造利润。幸运的是,你不必面对所有这些不便,有一种方法可以从计算机上停止并清除 Monero Miner。准确地说,类如 ReimagePlumbytes Anti-MalwareMalwarebytes Malwarebytes 的自动防病毒工具可以帮助你处理这个问题。请继续阅读文章,了解有关病毒清除的更多建议。

Coinhive 技术迅速被网络犯罪分子滥用

Coinhive 是 Monero Blockchain 的JavaScript 库,它可以纳入到各种网站中。这个工具是于 9 月 14 日,即几个星期前才发布的,但是已经成功地吸引了骗子的注意。不法分子利用这个工具在用户浏览特定的网站时,利用计算机的 CPU 来挖掘加密货币。此外,Coinhive JS 挖掘工具也被发现通过技术支援诈骗活动传播。

研究人员发现 Coinhive 也被纳入 SafeBrowse 扩展程序里。当用户安装这个扩展程序时,Monero Miner 就会开始运行,并使用了高达 50% 的计算机 CPU。由于这种活动,计算机的行动变得迟缓,并可能由于高温操作而受到物理损坏。用户关闭浏览器之前,挖掘过程会持续地运行。因此,这个活动可能会持续几个小时。

更重要的是,Coinhive 被嵌入到各种模仿流行社交网络的网站,例如 Twitter。事实上,有一个注册网域,twitter.com.com ,一旦有人输错了 Twitter 的地址并进入这个网站后,挖矿程序就会被加载。很有可能骗子已经注册了许多类似的网站,目前正从粗心的计算机用户中赚取收入。

此外,根据报道,一些网站暗中使用了浏览器内置的挖掘工具,这些网站包括了The Pirate Bay、、showtime.com 和 showtimeanytime.com。。后者会在被发现后就立即停止这些活动。网上社区讨论,这些网站的拥有者可能已经赚取了数十万美元。

2017 年 8 月 更新: Vatico Monero (XMR) CPU Miner 浮出水面

最新版本的恶意软件被设置来挖掘 XMR、Monero 和其他数码货币。就像之前的版本,恶意软件也以木马程序的形式来运行。另一方面,它可能被检测为 moloko.exe。文件名称暗示了恶意软件可能是源自或针对俄罗斯用户。不幸的是,挖矿木马是该国的一个相关问题。。

任务管理器会将它识别为 Monero (XMR) CPU 挖掘工具。极高的 CPU 使用率就是挖掘工具病毒存在的关键指标 。恶意软件也会连接到 xmr-eu.dwarfpool.com:8050 的 XMR 矿池,然后开始其活动。

即使你没有隔段时间检查任务管理器的习惯,你也会注意到恶化的计算机进程。如果你碰到了这个网络不幸,请马上把它消除。

在详细说明 Monero Miner 的操作方法时,需要注意的是,这种感染以 Photo.scr 文件的形式进入计算机,然后在所有受感染的计算机驱动器上置放相同文件的副本。最终,该木马程序会提取负责挖掘过程的可执行文件 NsCpuCNMiner32.exe

该文件将被放置在 %Temp% 文件夹中,并从中进行操作。每当计算机启动时,这个过程也会自动启动。幸运的是,如果你的设备与互联网断开连接,黑客就无能为力了,因为所有的挖掘过程都需要网络连接才能正常运行。因此,也建议在离线状态下进行 Monero Miner 移除。欲了解如何手动执行,请向下滚动。

2017 年 11 月 2 日:恶意 Monero Miners 出现在 Google Play 商店里

Google Play 商店再一次被证明是一个不值得信赖的“官方应用程序”商店。似乎所有最新的恶意软件都成功地进入了这个应用程序平台,而且立即开始攻击 Android 用户。这次,研究人员发现到隐藏了加密货币挖掘脚本的恶意应用程序。恶意Android Monero Miner 病毒通常被识别为NDROIDOS_JSMINER 或 ANDROIDOS_CPUMINER。

JSMiner 版本被检测到出现在 “Recitiamo Santo Rosario Free”(宗教移动用户应用程序)和 “SafetyNet Wireless App”(一个承诺在观看视频和进行问卷调查后提供优惠券的应用程序)里。这没什么奇怪,这些应用程序利用了 Coinhive 技术(如上所述)来挖掘数码货币。 JavaScript 代码在应用程序的 webview 中执行;然而,除了以下问题外,受害者不会发现任何可疑的事情:

  • 更短的电池寿命;
  • 设备性能下降;
  • 应用程序崩溃。

CPUMiner 被检测到出现在 “Car Wallpaper HD: mercedes, ferrari, bmw and audi” 应用程序里。这组恶意应用程序配置了应用程序的合法版本,并通过加密货币挖掘库,例如 cpuminer(犯罪分子使用了更新的 2.5.1 版本)来感染它们。

之后,它们被重新包装和分发。TrendMicro 的分析显示,这种类型的恶意软件能够挖掘多个加密货币(并不特别指 Monero)

负责挖掘的代码从犯罪分子的服务器获取配置文件。该文件含有采用 Stratum 挖矿协议的矿池数据。

Monero Miner 版本及与它们相关联的进程

ShellExperienceHost.exe  MicrosoftShellHost.exe。在被木马程序入侵后,这些进程可能会出现在 Windows 的任务管理器中。恶意程序创建了会在系统启动时自动启动的ShellExperienceHost.exe,此进程还启动了 MicrosoftShellHost.exe,它负责使用受侵计算机 CPU 的处理功率来挖掘 Monero 加密货币。

Booster.exe。这个木马程序可能会在广告软件包的帮助下进入系统。进入系统后,它就会配置 Windows 设置,以便在系统启动时自动启动。在任务管理器里,Booster.exe 文件被描述为VsGraphics 桌面引擎。但是,它使用了高达 25%的计算机 CPU,这是挖掘虚拟货币的明确指标。

Wise XMRig 病毒。它是一个木马程序,为了挖掘 Monero 货币,它会在受侵入的设备上创建两个进程——AudioHD.exe 和 winserv.exe。当这个木马程序进入系统时,它会立即创建AudioHD.exe 挖矿工具,在用户打开他/她的计算机时开始运行。在任务管理器里,这个进程含有 XMRig 的描述。

另一个与 Wise Miner 相关的文件是 winserv.exe,它含有 WindowsHub 的描述。这两个进程都使用了大量的计算机 CPU 功率,导致系统不稳定。

Shadowsocks Miner。这个木马程序会在受侵入的设备上创建和启动 service.exe 或 websock.exe 进程。用户会在 Windows 任务管理器中看到它们使用了大量的计算机资源。恶意软件通常以软件包形式进入系统。此外,它可能会将其他间谍软件或潜在的垃圾应用程序也带入系统。

Vatico Monero (XMR) CPU Miner。这个木马程序以有用程序的形式进入系统,但在进入系统后,它会启动一个自动运行进程,moloko.exe。因此,每当受害者启动 Windows 时,挖矿工具就会开始使用多达 80% 的计算机 CPU 来挖掘 Monero。

Adylkuzz Miner 病毒。这个 Monero 挖矿工具利用 EternalBlue 漏洞和 DoublePulsar 后门进入系统。恶意软件将受侵入的计算机连接到挖矿僵尸网络,并开始使用其 CPU 来挖掘加密货币。将受侵入的计算机连接到网络有助于生成比平常更多的加密货币。

Coinhive Miner。挖矿工具的创建者利用了合法的 Coinhive 工具,这个工具允许网站拥有者挖掘加密货币。骗子把一个采矿代码放入恶意的浏览器扩展和被黑客攻击的网站。此外,犯罪分子通过技术支援诈骗或损坏的网站传播这种病毒,这些网站是在强行退出浏览器后才能打开的。

Monero Miner 分布技巧

大多数情况下,Monero Miner 是通过各种可疑网域和欺诈性网站分布的。将它下载到计算机上的用户会认为他们正在获取一些有用的内容。实际上,他们下载的是一个被感染的文件,这个文件会立即开始将病毒传播到整个计算机,准备进行挖掘过程。

定期检查计算机是否存有恶意软件是非常重要的,尤其是在经常在线下载软件的情况下。建议你密切注意进入计算机的程序,并且使用可靠的防病毒扫描程序进行检查。

恶意软件也于 2017 年 9 月被注意到通过 SafeBrowse 扩展程序传播。因此,建议 Google Chrome 用户远离这个扩展程序。这个版本的恶意软件对计算机来说是非常危险的,因为它使用了大量的计算机 CPU。在任务管理器中,用户可以看到 Chrome 使用多达 50% 的 CPU。然而,如果你打开 Chrome 任务管理器,你会发现问题是 SafeBrowse 扩展程序。

使用专业的指南来移除 Monero Miner 木马程序

虽然 Monero Miner 病毒比浏览器劫持者、广告软件和类似的轻量级感染要复杂一点,但它几乎可以毫不费力地从受感染的计算机中清除。正如我们已经提到的,你可以自动移除 Monero Miner。你只需要选择一个受信任的防病毒实用程序,例如 ReimagePlumbytes Anti-MalwareMalwarebytes Malwarebytes

使用你所选的反恶意软件、反间谍软件或防病毒软件来扫描你的计算机,你将不必面对系统变慢和计算机崩溃的问题。我们应该提醒你,使用安全模式离线执行 Monero Miner 移除的成功率是更高的。

此外,如果你安装了(或随着软件包而来) SafeBrowse Chrome 扩展程序,你必须将它卸载。正如我们在文章中提到的那样,它与恶意软件密切相关,并且由于 CPU 的高使用率而导致你的计算机处于危险之中。

优惠
现在就行动!
下载
Reimage (移除工具) 快乐
保证
下载
Reimage (移除工具) 快乐
保证
Microsoft Windows兼容 Supported versions OS X兼容 Supported versions
如果失败了,该怎么办呢?
如果您无法使用  Reimage 来移除病毒损坏,请提交问题 给我们的支援团队,并尽可能提供详细的信息。
建议使用 Reimage 来移除病毒损坏。 免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件,你必须购买恶意软件移除工具 Reimage 的许可版。

手动Monero Miner移除指南:

关于作者

Lucia Danes
Lucia Danes - 病毒研究员

如果这个移除指南对你有帮助,你也对我们的服务感到满意,请考虑捐助我们以便将这个服务延续下去,即使只是一小笔捐款,我们也将感激不尽。

联系 Lucia Danes
关于 Esolutions 公司

来源:https://www.2-spyware.com/remove-monero-miner.html

其他语言的移除指南