Fjerne Monero Miner (Fjernelsesguide) - jan 2018 opdatering

Hvad er Monero Miner?

Cryptocurrency hypen fremmer udviklingen af ondsindede Monero Miners

Monero Miner er et ondsindet program, der har været en aktiv miner af Monero cryptocurrency siden 2016. I 2017 er virussen opdateret og fortsætter med at tjene virtuel valuta på ulovlig vis, ved at bruge den berørte computers CPU. I øjeblikket spredes Vatico Monero (XMR) CPU Miner, Shadowsocks Miner, Wise XMRig-virus og andre minedriftsprogrammer på nettet.

Monero Miner-virussen spredes mest som en trojan og kommer ind i systemet med en softwarepakke. Sikkerhedseksperter har dog også opdagedt en uretfærdig brug af Coinhive JS miner. Dette JavaScript-bibliotek er blevet injiceret på flere populære websteder og browserudvidelser.

Gplyra Miner, Vnlgp Miner og CPU Miner er blot nogle få af de cyberstrusler, der står ved siden af denne trusselvirus. Deres formål er det samme – at mine cryptokurrency. Mens andre minedriftsprogrammer fokuserer på Bitcoins, Dash eller Decred, er Monero Miner – som dens titel tyder på – baseret på at indsamle Monero cryptocoins.

Denne malware kommer ind i computere via list, men kan stadig ses kørende som NsCpuCNMiner32.exe eller Photo.scr i systemets Jobliste. Faktisk skaber hackerne Botnets af sådanne computere, der alle arbejder for samme formål. Selvfølgelig er deres ejere helt uvidende om, at sådanne aktiviteter udføres, og kan kun mærke noget er galt, når deres enheder begynder at fungere underligt.

Fordi minedriftsprogrammer bruger størstedelen af CPU-kapaciteterne, begynder computeren naturligvis at arbejde uforligneligt langsommere end normalt, eller måske endda lide af nedbrud. Alt denne ekstra ressourceudnyttelse vil ikke kun bremse din enhed, men det kan også forårsage hardwareskader på grund af overophedning.

Helt ærligt bekymrer disse skabere af trojans sig ikke om computerens ydeevne og bruger den kun til at generere fortjeneste til sig selv. Heldigvis behøver du ikke stå over for alle disse ulemper. Der er en måde at stoppe og fjerne Monero Miner fra din computer på. For at være præcise, så kan automatiske virusbekæmpelsesværktøjer som FortectIntego eller Malwarebytes hjælpe dig med at gøre dette. Fortsæt med at læse artiklen for flere anbefalinger om viruseliminering.

Coinhive teknologi blev hurtigt misbrugt af cyberkriminelle

Coinhive er et JavaScript-bibliotek til Monero Blockchain, der kan integreres i forskellige hjemmesider. Dette værktøj blev lanceret for et par måneder siden, den 14. september, men det lykkedes det allerede at få fat i svindlernes opmærksomhed. Skrupelløse mennesker benyttede sig af dette værktøj til at mine cryptokurrency ved hjælp af computerens CPU, mens brugeren browses bestemte websites. Desuden blev Coinhive JS miner også spredt via teknisk support scam-kampagner.

Researchere fandt også Coinhive integreret i SafeBrowse-udvidelsen. Når brugere installerede denne udvidelse, begyndte Monero Miner at køre og bruge op til 50% af computerens CPU. På grund af denne aktivitet bliver computeren langsom og kan være fysisk beskadiget på grund af arbejde med høj varme. Minedriftsprocessen fortsætter, indtil brugeren lukker browseren. Derfor kan denne aktivitet tage flere timer.

Desuden blev Coinhive integreret i forskellige hjemmesider, der efterligner populære sociale netværker, for eksempel Twitter. Faktisk er der et registreret domæne twitter.com.com, der indlæser et minedriftsprogram, så snart en person skriver Twitters adresse forkert, og går ind på dette websted. Det er muligt, at svindlerne har registreret mange lignende websteder og i øjeblikket drager fordel af uopmærksomme computerbrugere.

Derudover blev en masse websider rapporteret for brug af in-browser miner i hemmelighed. Blandt sådanne steder var The Pirate Bay,, showtime.com og showtimeanytime.com.. De sidstnævnte websteder stoppede dog disse aktiviteter, så snart det blev opdaget. Dog diskuterer online-fællesskabet, om ejere af disse websteder måske har tjent hundredtusindvis af dollars.

Opdatering August 2017: Vatico Monero (XMR) CPU Miner vinder frem

Den nyeste version af malwaren er sat til at grave efter XMR, Monero og anden digital valuta. Som sin tidligere version fungerer malwaren også via en trojan. På den anden side kan det detekteres som moloko.exe. Filnavnet antyder, at malwaren måske er opstået eller målrettet mod russiske brugere. Desværre er minetrojans et relevant problem i landet.

Joblisten vil identificere den som Monero (XMR) CPU miner. Nøgleindikatoren, der tyder på tilstedeværelsen af en mine-virus, er ekstremt høj CPU-brug. Malwaren vil også forbinde til XMR minedriftspool ved xmr-eu.dwarfpool.com:8050 og starte sin aktivitet.

Selvom du ikke har for vane at kontrollere TJoblisten en gang imellem, vil du bemærke de forværrede pc-processer. Hvis du støder på denne cyber-ulykke, skal du fjerne den med det samme.

Uddybende om Monero Miner's modus operandi er det vigtigt at bemærke, at denne infektion kommer ind i computeren som en Photo.scr-fil, som derefter smider kopier af den samme fil på alle de inficerede computerdrev. Til sidst udtrækker denne trojan den eksekverbare NsCpuCNMiner32.exe, der er ansvarlig for minedriftsprocessen.

Denne fil vil blive placeret i mappen %Temp% og opererer fra den. Denne proces starter også automatisk hver gang computeren startes. Heldigvis er hackerne hjælpeløse, hvis din enhed er slået fra internettet, fordi alle mineprocesser har brug for en netværksforbindelse, for at kunne fungere korrekt. Således anbefales det også at udføre Monero Miner-fjernelsen, mens computeren er offline. For at lære at gøre dette manuelt, skal du køre ned til slutningen af artiklen.

2. november 2017: Ondsindede Monero Miners fundet i Google Play Butik

Endnu en gang har Google Play Butik vist sig at være en utroværdig “officiel app” butik. Det ser ud til, at alle de nyeste malware-tendenser succesfuldt når denne app-platform, og begynder at angribe Android-brugere med det samme. Denne gang opdagede researchere ondsindede apps, der skjuler cryptocurrency-mining scripts i dem. Den ondsindede Android Monero Miner-virus er normalt anerkendt som ANDROIDOS_JSMINER eller ANDROIDOS_CPUMINER.

JSMiner-versionen blev registreret i “Recitiamo Santo Rosario Free” (en app til religiøse mobile brugere) og “SafetyNet Wireless App” (en app, der lover gode tilbud og kuponer til at se videoer og tage undersøgelser). Ikke overraskende udnytter disse apps Coinhive teknologi (beskrevet ovenfor) til at mine efter digitale valuta. JavaScript-koden kører sig selv inden for apps webview; dog vil ofret ikke bemærke noget mistænkeligt, undtagen følgende problemer:

• Kortere batterilevetid;
• Langsom ydelse på enheden;
• App-nedbrud.

CPUMiner blev registreret som “Car Wallpaper HD: mercedes, ferrari, bmw og audi” applikation. Denne gruppe af ondsindede applikationer konfigurerer legitime versioner af apps og inficerer dem med cryptocurrency-mining biblioteker som cpuminer (de kriminelle bruger en opdateret 2.5.1. version af den).

Senere bliver disse ompakket og distribueret. Analyse fra TrendMicro viser, at denne type malware er i stand til at mine efter flere cryptocurrencies (ikke undtagelsesvis Monero).

Koden, der er ansvarlig for minedrift, får en config-fil fra kriminelle servere. Filen indeholder data om mining pool via Stratum mining protocol.

Monero Miner virus går stadig efter intetanende brugere.

Monero Miner versioner og processer forbundet med dem

ShellExperienceHost.exe og MicrosoftShellHost.exe. Disse processer kan dukke op i Windows Joblisten efter ved trojaninfiltration. Det ondsindede program opretter ShellExperienceHost.exe, som startes automatisk ved systemstart. Denne proces kører også MicrosoftShellHost.exe, som er ansvarlig for minedrift efter Monero cryptocurrency, ved at bruge den berørte computers CPU-processorkraft.

Booster.exe. Denne trojan kan komme ind i systemet ved hjælp af adwarebundter. Når den er inde, konfigurerer den Windows-indstillinger for at starte ved systemstart. I Joblisten beskrives Booster.exe-filen som VsGraphics Desktop Engine. Men den bruger op til 25% af computerens CPU, som er en klar indikator for minedrift efter virtuel valuta.

Wise XMRig-virus. The Wise Miner er en trojan, der kan skabe to processer på den berørte enhed for at mine efter Monero-valuta – AudioHD.exe og winserv.exe. Når denne trojan kommer ind i systemet, opretter den straks AudioHD.exe miner, der begynder at køre, når brugeren tænder sin computer. I Joblisten har denne proces beskrivelsen XMRig.

En anden fil, der er forbundet med Wise Miner, er winserv.exe, som har beskrivelsen WindowsHub. Begge disse processer bruger masser af computerens CPU-kraft og gør systemet langsomt.

Shadowsocks Miner. Denne trojan er kendt for at oprette og starte service.exe eller websock.exe-processer på den berørte enhed. Brugere kan se dem i Windows Joblisten i færd med at bruge masser af computerens ressourcer. Malwaren ankommer ofte på systemet i softwarebundter. Derudover kan det medføre andre spywares eller potentielt uønskede apps til systemet.

Vatico Monero (XMR) CPU Miner. Denne trojan kommer ind i systemet ved at foregive at være et nyttigt program. Men når det kommer ind i systemet, starter det en autorun-proces moloko.exe. Hver gang et offer starter Windows, begynder mineren at bruge op til 80% computers CPU til at mine efter Monero.

Adylkuzz Miner-virus. Denne Monero-miner kommer ind i systemet ved hjælp af EternalBlue-exploit og DoublePulsar-bagdøren. Malwaren forbinder den berørte computer med minedriftsbotnet og begynder at bruge dens CPU til minedrift efter cryptocurrency. Tilslutning af den berørte computere til netværk hjælper med at generere flere krypto-penge end normalt.

Coinhive Miner. Skaberne til mineren benyttede sig af det legitlige Coinhive-værktøj, der tillader website-ejere minedrift efter krypto-valuta. Svindlere tog en minedriftskode ind i ondsindede browserudvidelser og hackede hjemmesider. Derudover spredte de kriminelle denne virus via tech support svindel eller beskadigede websteder, der er umulige at åbne uden at tvinge browseren til at afslutte.

Monero Miner distributionsteknikker

For det meste er Monero Miner distribueret via forskellige mistænkelige domæner og utroværdige websteder. Brugerne, der henter det på deres computere, bliver narret til at tro, at de får noget nyttigt indhold. I virkeligheden downloader de en inficeret fil, som straks begynder at sprede virussen igennem computeren, for at forberede minedriftsprocessen.

Det er især vigtigt at kontrollere din computer for malware regelmæssigt, især hvis du ofte downloader software online. Det er også tilrådeligt at holde styr på de programmer, der kommer ind på din pc, og desuden kontrollere dem med pålidelige antivirus-scannere.

I september 2017 er malwaren også blevet opdaget spredt via SafeBrowse-udvidelsen. Derfor anbefales Google Chrome-brugere at holde sig væk fra denne udvidelse. Denne version af malwaren er yderst farlig for computeren, fordi den bruger masser af computerens CPU. I Joblisten kan brugerne se, at Chrome bruger op til 50% af CPU'en. Men hvis du åbner Chrome Joblisten, finder du ud af, at problemet er SafeBrowse-udvidelsen.

Fjern Monero Miner Trojan øjeblikkeligt ved hjælp af professionelle retningslinjer

Selvom Monero Miner-virussen er lidt mere kompleks end browser hijackere, adware og lignende lette infektioner, kan den elimineres fra de inficerede computere. Som vi allerede har nævnt, kan du fjerne Monero Miner automatisk. Du skal kun vælge et betroet antivirusprogram til jobbet, som for eksempel FortectIntego eller Malwarebytes.

Scan din computer med din valgte anti-malware-, antispyware- eller antivirussoftware, og du behøver ikke at beskæftige dig med systemnedbrud og computerbrud længere. Vi skal minde om, at Monero Miner-fjernelsen vil blive mere succesfuld, hvis du udfører den offline, ved hjælp af Sikker Tilstand.

Desuden, hvis du har installeret (eller den kom i software bundle) SafeBrowse Chrome udvidelsen, skal du også afinstallere dennw. Som vi har nævnt i artiklen, er den tæt forbundet med malware og sætter din computer i fare på grund af det høje forbrug af CPU.