«Лаборатория Касперского» фиксирует рост числа резидентных генераторов криптовалюты Zcash (ZEC), появившейся в конце октября. Судя по всему, в большинстве случаев эти программы, редко вызывающие подозрение у антивирусов, устанавливаются на компьютеры пользователей без их ведома. Исходя из текущих цен эксперты подсчитали, что обнаруженная ими новая армия майнеров (около 1000 единиц) может приносить своим хозяевам порядка $6,2 тыс. в месяц, или $75 тыс. в год.
Криптовалюта Zcash появилась на киберрынке 28 октября и позиционируется как более защищенная и анонимная альтернатива биткойну. «Подобный уровень анонимности давно востребован на рынке криптовалют, и ZEC вызвал значительный интерес как со стороны инвесторов и майнеров, так и со стороны киберпреступности», — пишет в блоге Securelist Александр Гостев, главный антивирусный эксперт GReAT, глобального исследовательского центра «Лаборатории Касперского». После взрывного спроса на Zcash ее стоимость, как и следовало ожидать, снизилась и на момент публикации блог-записи на Securelist составляла около $70 (по состоянию на 16 декабря — немногим более $40).
Показать связанные сообщения Эксплойт-пак DNSChanger атакует роутеры, а не браузеры 19 декабря 2016 , 03:07 Mirai опробовал алгоритм DGA 19 декабря 2016 , 00:02 Половина всех сайтов в мире потенциально опасны 15 декабря 2016 , 09:17
Тем не менее майнинг Zcash, как отметил Гостев, «остается одним из наиболее прибыльных по сравнению с другими существующими криптовалютами», в том числе с биткойном. Как результат, вновь активизировались программы-майнеры; в ноябре «лаборанты» зафиксировали несколько случаев несанкционированной установки генератора Zcash — варианта nheqminer от майнинг-пула Nicehash (при включении соответствующей опции защитные решения «Лаборатории» детектируют его как потенциально опасную программу с вердиктом not-a-virus:RiskTool.Win64.BitCoinMiner.bfa).
По данным GReAT, в настоящее время майнеры Zcash распространяются в комплекте с другими программами, зачастую вместе с пиратским ПО. Массовых email-рассылок, использования эксплойтов для доставки или PPI-схем (установки на готовый ботнет) пока не замечено, хотя эксперты не исключают такие способы распространения в дальнейшем.
Поскольку Zcash предусматривает два вида кошельков — полностью приватные, которые пока не имеют широкого распространения, и публичные, у экспертов была возможность найти информацию о пуле, распределяющем прибыль (ее потом можно обменять на другую криптовалюту или доллары), и о размерах поступлений. Как оказалось, новые майнеры в среднем генерируют около 20 хэшей в секунду. В течение ноября исследователи обнаружили около 1 тыс. уникальных машин, на которых тайно установлен майнер Zcash; с учетом выявленной производительности и текущей цены Zcash этот небольшой ботнет за месяц мог принести доход в размере $6,2 тыс.
В своей блог-записи Гостев приводит примеры имен, под которыми устанавливается майнер Zcash, и возможное местоположение в системе. Имена эти зачастую совпадают с именами легитимных приложений: taskmngr.exe, diskmngr.exe, system.exe, svchost.exe и т.п., отличается лишь место прописки. Для запуска Zcash-майнер использует задачи Task Scheduler или создает свой ключ в реестре Windows. Вместе с майнером устанавливаются необходимые ему библиотеки, их список также приведен в блог-записи на Securelist.
Майнеры криптовалюты не являются вредоносными программами, и многие антивирусы их игнорируют, однако для пользователя такая установка грозит значительным ростом энергозатрат (и счетов за электроэнергию) и снижением производительности компьютера: во время работы майнер потребляет до 90% оперативной памяти.
Предотвратить установку программы-майнера поможет защитное решение, способное обнаруживать наличие нежелательных программ. При отсутствии такой опции эксперты рекомендуют пользователям произвести проверку папок и ключей реестра, указанных в блоге Securelist, на наличие подозрительных файлов и записей.