Nicehash блокирует антивирус windows

Обновлено: 04.07.2024

В Интернете распространяют бесплатные и взломанные программы, снабженные скрытым майнером криптовалют от NiceHash.

25 декабря 2017

На первый взгляд все хорошо: софт нормально скачивается, устанавливается и запускается, не требуя ключа или кода активации. Некоторое время наш герой радуется жизни. А потом замечает, что компьютер стал работать хуже. Если раньше проблем с запуском игр не было, то теперь они начали ощутимо тормозить и зависать. Еще один сюрприз ждет его в начале следующего месяца: счет за электричество заметно вырастет.

Что же произошло?

Бесплатное ПО и майнер на сдачу

Мы уже предупреждали о том, как опасно скачивать якобы бесплатные версии обычно платных программ. Стремление сэкономить может привести к целому букету неприятностей. В последнее время среди них все чаще встречаются попытки зарабатывать за счет любителей халявы криптовалюту, внедряя в безопасные программы майнеры (о том, что это такое и с чем их едят, мы недавно писали здесь и здесь).

Вот и на компьютер нашего героя вместе с пиратским видеоредактором установилась специальная версия майнера от NiceHash, настроенная так, чтобы майнить в кошелек распространителей пиратского софта.

С этого момента доверчивый пользователь начал зарабатывать для преступников деньги, даже не подозревая об этом. Чтобы не привлекать внимание, злоумышленники убирают майнер с глаз долой: сворачивают окно программы и не показывают ее среди запущенных приложений. Максимум, что остается — крохотный значок в нижней части экрана рядом с теми, что нужны для регулировки звука или переключения языка.

Игры и другие ресурсоемкие программы начали тормозить, потому что майнер на полную задействует ресурсы компьютера, и видеокарта занята вычислениями для создания криптовалюты. А счет за электричество у нашего любителя халявы вырос, потому что майнинг — крайне энергоемкий процесс, из-за которого компьютер потребляет куда больше электричества, чем обычно.

Впрочем, обзавестись непрошеным майнером рискуют не только любители халявы: осторожность следует соблюдать и с действительно бесплатными программами, скачивая их только с официальной страницы компании-разработчика. Недавно наши эксперты обнаружили целый ряд типовых сайтов с бесплатными и пиратскими приложениями — OpenOffice, TeamSpeak, Adobe Premiere Pro, ABBYY Fine Reader, CorelDraw, Microsoft Outlook, Microsoft PowerPoint, Microsoft Office Picture Manager, XPadder, — в довесок к которым ничего не подозревающий пользователь получал еще и майнер.

Как защититься?

Чтобы не делиться компьютером со злоумышленниками, придерживайтесь простых правил:

  • Скачивайте программы — в том числе и бесплатные — только с официальных сайтов разработчиков или из официальных магазинов приложений.
  • Установите надежное защитное решение — например, Kaspersky Internet Security.
  • Включите в нем определение Riskware.

Дело в том, что сами по себе программы для майнинга вполне легальны, и их может поставить себе на компьютер любой желающий подзаработать на криптовалюте. Поэтому антивирусы не блокируют майнеры — они не могут точно определить, поставил ли программу сам пользователь или это сделал без его ведома киберпреступник. Защитные решения определяют такие программы как Riskware или Not-a-virus — законное ПО, которое могут использовать в своих целях злоумышленники.

Подробную инструкцию, как включить нужную функцию в Kaspersky Internet Security, можно найти здесь.

Привет майнеры сидящие на Пикабу!
Сегодня я расскажу как я решил проблему с бесконечным стартом начала майнинга!
Дело в том, что если ты майнишь и у тебя подвисла ферма, перезагрузилась. То майнинг на новом майнере от Nicehash может не запуститься и висеть, а простои - это убытки.
Порыскав по сети рунета, нашёл информацию о якобы каком то ограничении "Типо хватит карточки палить, дай им отдохнуть". Не знаю правда это или нет, но простой есть и сейчас я расскажу как от него избавиться!

Первое - продайте ферму! Нет фермы - нет простоя! Шучу, а теперь серьёзно:

Нам понадобиться:
Программа Proxifier.
300 рублей для покупки американских прокси.

Создаём в компьютере bat'ник, в него прописываем следующее и сохраняем его:

taskkill /F /IM Proxifier.exe

Теперь пишем в поиске компьютера: "Планировщик задач", открываем его.
Нам нужно что бы "батник" открывался с правами администратора, поэтому мы заходим в Действие->Создать задачу.

Решение проблемы Nicehash майнера версии 2 Nicehash, Майнинг, Длиннопост

Приступим к созданию новой задачи. В пункте подчёркнутым красным, вводим имя vpn (или любое другое но желательно короткое) и ставим галочку в выделенном пункте

Решение проблемы Nicehash майнера версии 2 Nicehash, Майнинг, Длиннопост

Теперь переходим в раздел "Действия", тут мы указываем ссылку на созданный нами батник, жмём "Окей" и закрываем наш планировщик.

Решение проблемы Nicehash майнера версии 2 Nicehash, Майнинг, Длиннопост

Теперь создаём ярлык и пишем в него: schtasks.exe /run /tn ИмяКотороеВыДалиВыше.
Пример: schtasks.exe /run /tn vpn

Теперь качаем и устанавливаем Proxifier, после этого заходим в гугл и там пишем что то на подобии: "Купить прокси", после чего покупаем самые дешёвые американские прокси, я взял на 3 месяца за 209 рублей. Зачем покупать спросите вы? Нам нужны стабильные прокси, а их скорость и пинг нам не важны! Теперь настраиваем Proxifier под наши прокси и закрываем его!

Решение проблемы Nicehash майнера версии 2 Nicehash, Майнинг, Длиннопост

Всё нам осталось нажать сочетание клавиш Win+R или в диспетчере задач нажать: "Создать новый процесс", и ввести туда: shell:startup

В открывавшуюся папку закидываем созданный вами ярлык и ярлык программы Proxifier.

Готово! Теперь при старте фермы будет включаться Proxifier через который будет идти трафик, что позволит майнеру стартануть, после чего через 80 секунд созданный нами батник, сам его выключит!

Хорошего курса вам майнеры!

Майню на пуле. Пробовал найсхеш, он запускает для каждой карты свой алгоритм, даже иногда так - для каждой карты один и тот же алгоритм но в разных окнах, что за бред? Это на легаси. А вторая версия запускает долбаный экскаватор на картах нвидия, профит меньше.

На найсе майнить не выгодно. Это для новичков. Лучше батник майнера отредактировать самому.

На пикабу не любят майнинг, считают крипты одним большим пузырём. Не туда ты с этой темой зашёл. Но по делу есть вопрос - какая у тебя самая большая ферма и сколько в ней карточек, и каких. Мне для нейронной сети нужна сборка с несколькими видяхами, есть вариант взять в аренду 8 карточек 1080, но стоит это $1000 в месяц. Либо докупить себе ещё 2x1080Ti, что бы было суммарно 3, использовать по назначению, но это стоит $2000 и после того, как я сеть натренирую мне их девать некуда будет. Если устроит твоя конфигурация, то заплачу больше на 10-20%, чем ты за это время намайнишь(в среднем, с учетом того что на найсхеше больше доход).

Фух, ну слава богу, а то пол Пикабу на Найсхэше майнит

Догадывался, что пост заминусят геймеры и те у кого нет денег на майнинг ферму

С темой майнеров лично я столкнулся после заявления Германа Клименко о том, что огромное количество серверов Москвы поражены майнерами. До этого майнеры были лично для меня лишь одним из видов вредоносных программ. Времени с тех пор прошлом не так уж и много, но количество желающих заработать на чужих компьютерах растет и думаю настала пора поговорить об этом явлении.

Кому интересно сколько майнеров создается в день, как они распространяются и (самое главное) как относятся к ним антивирусы — прошу под кат!

Начнем с последней заявленной темы — об отношении антивирусов и майнеров. Для ответа на этот вопрос нужно понимать, что есть вредоносная программа с точки зрения антивируса.

Вредоносная программа — это программа, устанавливаемая на компьютер без ведома пользователя или выполняющая на компьютере пользователя несанкционированные действия. Определение не идеальное, но очень близкое к истине.

Проблема для жертвы заключается в том, что ее компьютер, зараженный криптомайнером, работает значительно медленнее обычного…

… продвинутые зловреды прекращают работу во время запуска на ПК «тяжелых» приложений вроде игр.

Однозначно вредоносное поведение, делающие майнеров законной добычей антивирусов (и иных систем защиты, ибо не антивирусами едиными).

Но может ли антивирус поймать майнер?

Майнеров довольно много, а сложность их детектирования заключается в том, что сам по себе майнинг — стандартный процесс. Это не попытки стирать или модифицировать файлы, изменять содержимое загрузочного сектора жесткого диска и т.п. Нет, майнинг в обычном случае не будет определяться антивирусом. Поэтому разработчикам антивирусов приходится искать новые способы определения наличия таких программ на компьютерах жертв

Не совсем так. В приведенной выше цитате речь идет о поведенческом анализаторе (или его разновидности — облачном антивирусе). Эти компоненты антивируса действительно отслеживают поведение. И если бы вредоносная программа занималась чисто майнингом, то действительно решить, что это вредоносная программа или нет — было бы невозможно. Поэтому предлагаю посмотреть какие бывают майнеры.

Грубо говоря разновидностей две. Первая реализует майнинг самонаписанным компонентом. И тут все понятно — сигнатуры антивирусных баз не дадут даже запуститься майнеру, как бы он не проник на машину. Упомянутая статья утверждает, что «cервера в сети злоумышленники заражают, эксплуатируя уязвимость вроде EternalBlue». Точно также распространялся Wanna Cry. Но при этом запуститься он мог не всегда. Так один из антивирусов отлавливал его эвристиком, другой при наличии включенного облака — его компонентами.

Майнер Trojan.BtcMine.1259 скачивается на компьютер троянцем-загрузчиком Trojan.DownLoader24.64313, который, в свою очередь, распространяется с помощью бэкдора DoublePulsar. Сразу после старта Trojan.BtcMine.1259 проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации троянца числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96). Затем Trojan.BtcMine.1259 сохраняет на диск свою копию и запускает ее в качестве системной службы. После успешного запуска троянец пытается скачать с управляющего сервера, адрес которого указан в конфигурационном файле, свое обновление.

Второй вариант — использование обычного майнера.

Trojan.BtcMine.1, использует две легитимные программы для майнинга, с помощью которых задействует вычислительные ресурсы компьютера жертвы с целью «добычи» виртуальных монет. Будучи запущенным в системе ничего не подозревающим пользователем, Trojan.BtcMine.1 сохраняет себя во временную папку под именем udpconmain.exe. Затем он прописывает путь к исполняемому файлу в отвечающем за автозагрузку приложений ключе реестра. Потом вредоносная программа скачивает из Интернета и размещает во временной папке под именем miner.exe второй «майнер» с целью максимально загрузить компьютер расчетами. После этого троянские программы подключаются к одному из пулов платежной системы и начинают вести расчеты, зарабатывая для злоумышленников соответствующее вознаграждение. На иллюстрации можно увидеть нагрузку на процессор, которую создает программа-майнер, запущенная троянцем Trojan.BtcMine.1.

image


В данном случае для запуска легитимного майнера его надо сначала доставить на машину, запустить и желательно скрыть присутствие процесса в системе/значка в трее. А значит есть вредоносные компоненты, которые опять же могут быть обнаружены или по сигнатурам или по поведению

В общем — будет сигнатура — майнер не пройдет. Не будет сигнатуры, майнер обнаружат по выросшей загрузке машин и сигнатура появится.


На выбранную дату обойденным вниманием вирусописателей оказался Android, возьмем пример из новостей
Android-майнеры Android.CoinMine.1.origin и Android.CoinMine.2.origin, предназначенные для добычи виртуальных валют Litecoin, Dogecoin и Casinocoin распространялись злоумышленниками в модифицированных ими популярных приложениях и активизировались в те промежутки времени, когда мобильное устройство не использовалось его владельцем. Т. к. данные вредоносные программы активно задействовали аппаратные ресурсы зараженных смартфонов и планшетов, это могло стать причиной их перегрева, ускоренного разряда аккумулятора и даже обернуться финансовыми потерями для пользователей вследствие чрезмерного потребления троянцами интернет-трафика. А уже в апреле 2014 года появились новые версии данных троянцев, которые были обнаружены в каталоге Google Play и предназначались для добычи криптовалюты Bitcoin. Эти вредоносные приложения скрывались в безобидных «живых обоях» и также начинали свою противоправную деятельность, если зараженное мобильное устройство не использовалось определенное время.

image
image

Пример майнера для Линукс можно посмотреть здесь.

Как распространяются майнеры?

Всеми путями распространения вредоносных программ. Пара примеров

Trojan.BtcMine.737 перечисляет доступные в сетевом окружении компьютеры и пытается подключиться к ним, перебирая логины и пароли с использованием имеющегося в его распоряжении специального списка. Помимо этого, вредоносная программа пытается подобрать пароль к локальной учетной записи пользователя Windows. Если это удается, Trojan.BtcMine.737 при наличии соответствующего оборудования запускает на инфицированном компьютере открытую точку доступа WiFi. Если вредоносной программе удалось получить доступ к одному из компьютеров в локальной сети, предпринимается попытка сохранить и запустить на нем копию троянца либо с использованием инструментария Windows Management Instrumentation (WMI), либо при помощи планировщика заданий

image

Суммарно майнеры составят порядка 0.3 от всех пойманных за месяц. Не каждый месяц, но периодически майнеры попадают в топ самых распространенных вредоносных программ.

  1. Майнеры — законная цель антивирусов и при наличии сигнатур и правил они могут удаляться и удаляются
  2. Любые вредоносные программы находятся и удаляются антивирусом только при наличии правил/сигнатур. Поскольку майнеры любят создавать ботнеты, то в руки аналитиков они попадают гарантированно
  3. Антивирус — не панацея и не золотая пуля. Поэтому не стоит пренебрегать иными методами защиты, тем же ограничением прав
  1. Обновите антивирус и проверьте систему. Смешно кажется, но у огромного количества народа базы устаревшие
  2. Если базы свежие — скачайте иной антивирус и проверьтесь им
  3. Проверьте наличие неизвестных процессов им системных служб. Как правило майнер не затрудняет себя маскировкой и службы/процессы видны. Пример

Update2. Есть ли майнеры, процессов которых не видно? Мало, но есть.… Майнер выбирает в netsvcs существующую системную службу, заменяет файл службы, восстанавливает аттрибуты времени и и запускает службу… Но нет в мире совершенства — обнаружены по загрузке процессора

Тут кроме поведенческого анализатора изменений мер защиты вряд-ли придумаешь. Плюс конечно контроль всего, что запускается нового

NiceHash Miner Запрашивает интернет соединение

nicehash miner запрашивает интернет соединение

Рассмотрим разные способы и варианты решения.

1 вариант

Отключить «Протокол Интернета версии 6»

Заходим в Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом или правой кнопкой мышки на беспроводном соединении или сети.

nicehash miner запрашивает интернет соединение 2

Далее открываем ваше подключение, у меня это «Беспроводная сеть».

nicehash miner запрашивает интернет соединение 3

Далее открываем свойства беспроводного соединения.

nicehash miner запрашивает интернет соединение4

Дальше находим в списке «Протокол Интернета версии 6» и убираем галочку. После нажимаем «ок» и закрываем все окна.

nicehash miner запрашивает интернет соединение 5

После этого советую перезагрузить вашу ферму и попробовать запустить Nicecash Miner снова.

2 вариант

Вариант замены файлов. Один энтузиаст разработал фичу, расположена она на гихабе. Скачиваем от сюда архив.


Далее переходим в архив с NiceHash Miner Legacy и вставляем все с заменой.


После этого запускаем найсхеш, должен запустится корректно и показать баланс.

3 вариант

Проверить в настройках «Брандмауэр Windows» не стоит ли запрет на майнер.

Для этого заходим в Панель управления\Все элементы панели управления\Брандмауэр Windows. Затем на левом меню выбираем «Разрешение взаимодействия…».

nicehash miner запрашивает интернет соединение 6

Теперь в списке ищем что-то подобное и смотрим, стоят ли галочки «Публичные». Возможны различные варианты имен. Ищите что-то связанное с Nicehash Miner, названия монет в имени.

nicehash miner запрашивает интернет соединение 7

После жмем «ок» и перезагружаем на всякий случай ферму. А можете попробовать сразу запустить майнер.

Но не забываем, что перед всеми действиями нужно завершить процессы Nicecash Miner, и затем все настраивать.

4 вариант

Второй вариант решения проблемы таков, что нужно выставить правильную дату на своей ферме. Снова перезагрузить ферму и запустить майнер.

5 вариант

Отключить все антивирусные программы. Снова перезагрузить ферму и запустить майнер.

6 вариант

Следующий вариант таков, нужно поменять локализацию сервера в майнере.

После того как найсхеш покажет ошибку, что требуется интернет, нажимаем «Да», чтобы продолжить работу с майнером.

nicehash miner запрашивает интернет соединение

Далее в майнере выбираем другую локацию и закрываем майнер. Советую перезагрузится и запустить Nicecash Miner Legacy.

7 вариант

Если все это не помогло, то попробуйте установить (обновить) все драйвера с официального сайта.

8 вариант

Удалить антивирусные программы и перезагрузить ферму, снова запустить майнер.

9 вариант

Поставить более раннюю версию Nicecash Miner.

10 вариант

Обратиться в поддержку Nicecash Miner Legacy.

На данный момент только такие мысли. Со временем будет пополняться. Так же можете использовать такие инструкции:

Читайте также: