Monero Miner移除指南
什么是Monero Miner?
加密货币热炒,促进了恶意 Monero Miners 的开发
Monero Miner 是一个恶意的程序,自 2016 年以来它就一直在积极地挖掘 Monero 加密货币 。在 2017 年,该病毒已经更新了,并通过受侵入计算机的中央处理器 (CPU) 非法地继续赚取虚拟货币。目前,Vatico Monero (XMR) CPU Miner、Shadowsocks Miner、Wise XMRig 病毒和其他挖掘工具正在网络上蔓延。
Monero Miner 病毒大多数都是以木马程序的形式传播,并通过软件包进入系统。然而,安全专家也发现 Coinhive JS 挖掘工具被非法使用。这个 JavaScript 库已经被注入了几个流行的网站和浏览器扩展程序。
Gplyra Miner、Vnlgp Miner 及 CPU Miner 只是这种威胁病毒的其中一些网络威胁,它们的目的都是一样的——挖掘加密货币。当其他挖掘工具专注于Bitcoins(比特币)、Dash 或 Decred 时, Monero Miner 正如其名称所暗示的那样—— 是以挖掘 Monero 的加密钱币为目标的。
这个恶意软件偷偷地占用计算机,但仍然可以在系统的任务管理器中看到它以NsCpuCNMiner32.exe 或 Photo.scr 运行。事实上,黑客创建了这些计算机的僵尸网络,所有的目的都是同样的。当然,计算机的主人完全没有意识到这些活动正在计算机里进行,只有当他们的设备开始表现怪异时,他们才注意到计算机了发生了一些事情。
由于挖掘工具会占用大部分的 CPU 容量,计算机自然开始比平常运行得缓慢,甚至可能完全崩溃。所有这些额外的资源使用不仅会降低设备的速度,还可能会导致硬件因过热而损坏。
坦白地说,木马程序的创建者不会关心你的计算机性能,他们只是用它来为自己制造利润。幸运的是,你不必面对所有这些不便,有一种方法可以从计算机上停止并清除 Monero Miner。准确地说,类如 FortectIntego 或 Malwarebytes 的自动防病毒工具可以帮助你处理这个问题。请继续阅读文章,了解有关病毒清除的更多建议。
Coinhive 技术迅速被网络犯罪分子滥用
Coinhive 是 Monero Blockchain 的JavaScript 库,它可以纳入到各种网站中。这个工具是于 9 月 14 日,即几个星期前才发布的,但是已经成功地吸引了骗子的注意。不法分子利用这个工具在用户浏览特定的网站时,利用计算机的 CPU 来挖掘加密货币。此外,Coinhive JS 挖掘工具也被发现通过技术支援诈骗活动传播。
研究人员发现 Coinhive 也被纳入 SafeBrowse 扩展程序里。当用户安装这个扩展程序时,Monero Miner 就会开始运行,并使用了高达 50% 的计算机 CPU。由于这种活动,计算机的行动变得迟缓,并可能由于高温操作而受到物理损坏。用户关闭浏览器之前,挖掘过程会持续地运行。因此,这个活动可能会持续几个小时。
更重要的是,Coinhive 被嵌入到各种模仿流行社交网络的网站,例如 Twitter。事实上,有一个注册网域,twitter.com.com ,一旦有人输错了 Twitter 的地址并进入这个网站后,挖矿程序就会被加载。很有可能骗子已经注册了许多类似的网站,目前正从粗心的计算机用户中赚取收入。
此外,根据报道,一些网站暗中使用了浏览器内置的挖掘工具,这些网站包括了The Pirate Bay、、showtime.com 和 showtimeanytime.com。。后者会在被发现后就立即停止这些活动。网上社区讨论,这些网站的拥有者可能已经赚取了数十万美元。
2017 年 8 月 更新: Vatico Monero (XMR) CPU Miner 浮出水面
最新版本的恶意软件被设置来挖掘 XMR、Monero 和其他数码货币。就像之前的版本,恶意软件也以木马程序的形式来运行。另一方面,它可能被检测为 moloko.exe。文件名称暗示了恶意软件可能是源自或针对俄罗斯用户。不幸的是,挖矿木马是该国的一个相关问题。。
任务管理器会将它识别为 Monero (XMR) CPU 挖掘工具。极高的 CPU 使用率就是挖掘工具病毒存在的关键指标 。恶意软件也会连接到 xmr-eu.dwarfpool.com:8050 的 XMR 矿池,然后开始其活动。
即使你没有隔段时间检查任务管理器的习惯,你也会注意到恶化的计算机进程。如果你碰到了这个网络不幸,请马上把它消除。
在详细说明 Monero Miner 的操作方法时,需要注意的是,这种感染以 Photo.scr 文件的形式进入计算机,然后在所有受感染的计算机驱动器上置放相同文件的副本。最终,该木马程序会提取负责挖掘过程的可执行文件 NsCpuCNMiner32.exe。
该文件将被放置在 %Temp% 文件夹中,并从中进行操作。每当计算机启动时,这个过程也会自动启动。幸运的是,如果你的设备与互联网断开连接,黑客就无能为力了,因为所有的挖掘过程都需要网络连接才能正常运行。因此,也建议在离线状态下进行 Monero Miner 移除。欲了解如何手动执行,请向下滚动。
2017 年 11 月 2 日:恶意 Monero Miners 出现在 Google Play 商店里
Google Play 商店再一次被证明是一个不值得信赖的“官方应用程序”商店。似乎所有最新的恶意软件都成功地进入了这个应用程序平台,而且立即开始攻击 Android 用户。这次,研究人员发现到隐藏了加密货币挖掘脚本的恶意应用程序。恶意Android Monero Miner 病毒通常被识别为NDROIDOS_JSMINER 或 ANDROIDOS_CPUMINER。
JSMiner 版本被检测到出现在 “Recitiamo Santo Rosario Free”(宗教移动用户应用程序)和 “SafetyNet Wireless App”(一个承诺在观看视频和进行问卷调查后提供优惠券的应用程序)里。这没什么奇怪,这些应用程序利用了 Coinhive 技术(如上所述)来挖掘数码货币。 JavaScript 代码在应用程序的 webview 中执行;然而,除了以下问题外,受害者不会发现任何可疑的事情:
- 更短的电池寿命;
- 设备性能下降;
- 应用程序崩溃。
CPUMiner 被检测到出现在 “Car Wallpaper HD: mercedes, ferrari, bmw and audi” 应用程序里。这组恶意应用程序配置了应用程序的合法版本,并通过加密货币挖掘库,例如 cpuminer(犯罪分子使用了更新的 2.5.1 版本)来感染它们。
之后,它们被重新包装和分发。TrendMicro 的分析显示,这种类型的恶意软件能够挖掘多个加密货币(并不特别指 Monero)
负责挖掘的代码从犯罪分子的服务器获取配置文件。该文件含有采用 Stratum 挖矿协议的矿池数据。
Monero Miner 病毒持续针对毫无预防的用户。
Monero Miner 版本及与它们相关联的进程
ShellExperienceHost.exe 和 MicrosoftShellHost.exe。在被木马程序入侵后,这些进程可能会出现在 Windows 的任务管理器中。恶意程序创建了会在系统启动时自动启动的ShellExperienceHost.exe,此进程还启动了 MicrosoftShellHost.exe,它负责使用受侵计算机 CPU 的处理功率来挖掘 Monero 加密货币。
Booster.exe。这个木马程序可能会在广告软件包的帮助下进入系统。进入系统后,它就会配置 Windows 设置,以便在系统启动时自动启动。在任务管理器里,Booster.exe 文件被描述为VsGraphics 桌面引擎。但是,它使用了高达 25%的计算机 CPU,这是挖掘虚拟货币的明确指标。
Wise XMRig 病毒。它是一个木马程序,为了挖掘 Monero 货币,它会在受侵入的设备上创建两个进程——AudioHD.exe 和 winserv.exe。当这个木马程序进入系统时,它会立即创建AudioHD.exe 挖矿工具,在用户打开他/她的计算机时开始运行。在任务管理器里,这个进程含有 XMRig 的描述。
另一个与 Wise Miner 相关的文件是 winserv.exe,它含有 WindowsHub 的描述。这两个进程都使用了大量的计算机 CPU 功率,导致系统不稳定。
Shadowsocks Miner。这个木马程序会在受侵入的设备上创建和启动 service.exe 或 websock.exe 进程。用户会在 Windows 任务管理器中看到它们使用了大量的计算机资源。恶意软件通常以软件包形式进入系统。此外,它可能会将其他间谍软件或潜在的垃圾应用程序也带入系统。
Vatico Monero (XMR) CPU Miner。这个木马程序以有用程序的形式进入系统,但在进入系统后,它会启动一个自动运行进程,moloko.exe。因此,每当受害者启动 Windows 时,挖矿工具就会开始使用多达 80% 的计算机 CPU 来挖掘 Monero。
Adylkuzz Miner 病毒。这个 Monero 挖矿工具利用 EternalBlue 漏洞和 DoublePulsar 后门进入系统。恶意软件将受侵入的计算机连接到挖矿僵尸网络,并开始使用其 CPU 来挖掘加密货币。将受侵入的计算机连接到网络有助于生成比平常更多的加密货币。
Coinhive Miner。挖矿工具的创建者利用了合法的 Coinhive 工具,这个工具允许网站拥有者挖掘加密货币。骗子把一个采矿代码放入恶意的浏览器扩展和被黑客攻击的网站。此外,犯罪分子通过技术支援诈骗或损坏的网站传播这种病毒,这些网站是在强行退出浏览器后才能打开的。
Monero Miner 分布技巧
大多数情况下,Monero Miner 是通过各种可疑网域和欺诈性网站分布的。将它下载到计算机上的用户会认为他们正在获取一些有用的内容。实际上,他们下载的是一个被感染的文件,这个文件会立即开始将病毒传播到整个计算机,准备进行挖掘过程。
定期检查计算机是否存有恶意软件是非常重要的,尤其是在经常在线下载软件的情况下。建议你密切注意进入计算机的程序,并且使用可靠的防病毒扫描程序进行检查。
恶意软件也于 2017 年 9 月被注意到通过 SafeBrowse 扩展程序传播。因此,建议 Google Chrome 用户远离这个扩展程序。这个版本的恶意软件对计算机来说是非常危险的,因为它使用了大量的计算机 CPU。在任务管理器中,用户可以看到 Chrome 使用多达 50% 的 CPU。然而,如果你打开 Chrome 任务管理器,你会发现问题是 SafeBrowse 扩展程序。
使用专业的指南来移除 Monero Miner 木马程序
虽然 Monero Miner 病毒比浏览器劫持者、广告软件和类似的轻量级感染要复杂一点,但它几乎可以毫不费力地从受感染的计算机中清除。正如我们已经提到的,你可以自动移除 Monero Miner。你只需要选择一个受信任的防病毒实用程序,例如 FortectIntego 或 Malwarebytes。
使用你所选的反恶意软件、反间谍软件或防病毒软件来扫描你的计算机,你将不必面对系统变慢和计算机崩溃的问题。我们应该提醒你,使用安全模式离线执行 Monero Miner 移除的成功率是更高的。
此外,如果你安装了(或随着软件包而来) SafeBrowse Chrome 扩展程序,你必须将它卸载。正如我们在文章中提到的那样,它与恶意软件密切相关,并且由于 CPU 的高使用率而导致你的计算机处于危险之中。
手动Monero Miner移除指南
使用 Safe Mode with Networking 来移除 Monero Miner
重新启动系统并启动网络安全工具来消除 Monero Miner 木马程序。
-
步骤1: 将你的计算机重新启动至 Safe Mode with Networking
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
- 从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
- 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
-
步骤2: 移除 Monero Miner
请使用你那个已受感染的账户登录并打开网页浏览器。下载 FortectIntego 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序,将属于勒索软件的恶意文件移除,并完成整个Monero Miner 的移除过程。
如果你的勒索软件正在封锁 Safe Mode with Networking,请试试看其他方法。
使用 System Restore 来移除 Monero Miner
-
步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt
Windows 7 / Vista / XP- 点击 Start → Shutdown → Restart → OK.
- 当你的计算机处在活跃的状态时,开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
- 从列表中选择 Command Prompt
Windows 10 / Windows 8- 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift,然后点击 Restart。.
- 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击
- 一旦你的计算机处在活跃的状态,选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
-
步骤2: 将你的系统文件和设置还原
- 一旦 Command Prompt 窗口显示时,输入 cd restore 并点击 Enter。
- 现在输入 rstrui.exe 然后再点击 Enter 一次。.
- 当显示新的窗口时,点击 Next 然后选择在 Monero Miner 渗入之前的还原点,完成后点击 Next。
- 现在请点击 Yes 以启动系统还原。
最后,你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止Monero Miner 或其他勒索软件的侵入,请使用信誉良好的反间谍软件,比如 FortectIntego、SpyHunter 5Combo Cleaner 或 Malwarebytes
向你推荐
不要让政府监视你
政府在跟踪用户数据和监视公民方面存在许多问题,因此你应该考虑到这一点,并了解有关可疑信息收集实践的更多信息。请在互联网上完全匿名以避免任何不必要的政府跟踪或监视。
你可以选择不同的位置,上网并访问所需的任何资料,而不受到特殊内容的限制。通过使用 Private Internet Access VPN.,你可以轻松享受互联网连接,并且不会遭到黑客入侵。
控制政府或任何其他不需要方可以访问的信息,并且可以在不被监视的情况下在线浏览。即使你并没有参与非法活动,或者你信任你所选择的服务和平台,你也要对自己的安全性保持怀疑,并通过使用 VPN 服务采取预防措施。
备份文件以便在被恶意软件攻击后可以使用
由于网络感染或自己的错误行为,计算机用户可能会遭受各种各样的损失。恶意软件造成的软件问题,或加密导致的直接数据丢失,都可能会导致设备出现问题或永久损坏。如果你拥有适当的最新备份,那你可以在发生此类事件后轻松还原数据,继续工作。
在设备上进行任何更改后,创建新的备份更新非常重要,这样你就可以回到恶意软件更改任何内容或设备问题导致数据或性能损坏时的工作点。请持续这种行为,让文件备份成为你每天或每周的习惯。
当你拥有每个重要文档或项目的先前版本时,你就不会感到沮丧和崩溃,因为当恶意软件突然出现时,它就能派上用场。请使用 Data Recovery Pro 进行系统还原。