С конца ноября «Лаборатория Касперского» стабильно фиксирует рост количества случаев несанкционированного использования вредоносного программного обеспечения, которое занимается добычей цифровых денег Zcash. Как правило, программы действуют в интересах третьей стороны и не вызывают лишних вопросов у многих антивирусов.
Пользователи не догадываются, что на их компьютерах появилось нежеланное приложение, но этот незначительный вирус предварительно на тысяче зараженных компьютеров позволяет получать около 6,2 тысяч долларов ежемесячно, а это 75 тысяч в год.
Цифровые деньги Zcash были представлены на киберрынке 28 октября и уже известны широкому потребителю, как безопасная и конфиденциальная альтернатива Биткоину. Многие цифровые деньги пытаются добиться высокого уровня анонимности, и ZEC быстро впечатлил представителей интернет-сообщества, привлекая майнеров и инвесторов. Вместе с тем цифровыми деньгами заинтересовались и киберпреступники, о чем пишет эксперт в области антивирусов Александр Гостев, работающий в «Лаборатории Касперского».
После огромного спроса на Zcash интерес к криптовалюте значительно снизился, чего и ожидали эксперты. Так, стоимость одного токена упала с 70 до 40 долларов, но это нормальная тенденция после бурного роста. По словам господина Гостева, майнинг Zcash все равно остается одним из наиболее прибыльных, если сравнивать уровень дохода добытчиков с другими криптовалютами. Это стимулировало киберпреступников распространять программы-майнеры, активизировать свои усилия, чтобы получать доход от их нелегального распространения.
Представители Лаборатории Касперского уже зафиксировали несколько случаев заражения компьютеров вредоносным ПО. Генератор Zcash чаще всего работает, как nheqminer в майнинг-пуле Nicehash. Для того чтобы определить наличие вируса, владельцам компьютеров нужно использовать антивирус Касперского, который определяет хакерскую программу, как опасный объект RiskTool.Win.64.
На данный момент приложения-майнеры распространяются в интернете вместе с другими программами, которые предлагаются на пиратских сайтах. Пока не зарегистрированы случаи с массовыми почтовыми рассылками или эксплойтами, которые доставляют PPI-схемы. Но в будущем возможны и подобные методы распространения хакерского приложения.
Платежная система Zcash предусматривает работу с двумя типами кошельков – публичными и приватными. Если первые позволяют наблюдателям следить за информацией о распространяющем пуле и заработанной сумме, то вторые являются полностью приватными. Майнеры в секунду генерируют от 20 хэшей, и уже сейчас существует около тысячи компьютеров, на которых установлена вредоносная программа. И даже если таковым будет итоговое количество майнеров, хакеры в течение месяца получают доход около 6,2 тысяч долларов.
Господин Гостев предупреждает пользователей, перечисляя основные имена процессов, и файлов, под которыми скрывается программа злоумышленников. Имена процессов совпадают с системными, но имеют другое место прописки. К таковым относятся svchost.exe, system.exe и другие. Чтобы запустить Zcash-майнер, используется Tash Sheduler, который создает собственные записи в реестре Windows. Вместе с программой устанавливаются и ее библиотеки.
Нельзя назвать майнеры вредоносными программами, поэтому их не определяют многие антивирусы. Но пользователю ПК придется больше платить за электроэнергию, а производительность компьютера снизится значительно. К примеру, в процессе работы вредоносная программа отнимает около 90 процентов оперативной памяти. Можно противостоять мошенникам только при помощи современных антивирусных программ. Если же эта она не справляется, можно самостоятельно проверить реестр на наличие посторонних ключей реестра и папок.