Deze blog post is gemaakt om te helpen uit te leggen wat is de NRSMiner mijnwerker app en hoe u kunt proberen en te verwijderen en te voorkomen dat het uit de mijnbouw Monero cryptocurrencies op uw computer.
Een nieuwe, zeer gevaarlijke cryptocurrency mijnwerker virus is gedetecteerd door security-onderzoekers. De malware, genaamd NRSMiner kan infecteren doel slachtoffers met behulp van een verscheidenheid van manieren. Het belangrijkste idee achter de NRSMiner miner is om te gebruiken cryptocurrency mijnwerker activiteiten op de computers van de slachtoffers te verkrijgen Monero pionnen op de slachtoffers kosten. De uitkomst van deze mijnwerker is de verhoogde elektriciteitsrekeningen en als u het voor langere tijd NRSMiner kan zelfs schade aan de componenten van je computer.
De NRSMiner malware maakt gebruik van twee populaire methodes die worden gebruikt voor het infecteren van de computer doelen:
- Laadvermogen Levering via Voorafgaande Infecties — Als een oudere NRSMiner malware wordt ingezet op het slachtoffer systemen kan zichzelf automatisch updaten of download een nieuwere versie. Dit is mogelijk via de ingebouwde update-opdracht die resulteert in het loslaten. Dit wordt gedaan door verbinding te maken met een aantal vooraf bepaalde hacker-gestuurde server die de malware code. De gedownloade virus zal het verwerven van de naam van een Windows service en worden geplaatst in de map %systemroot%temp locatie. Belangrijke eigenschappen en de configuratie van het besturingssysteem bestanden worden gewijzigd, zodat een blijvende en stille infectie.
- Software Kwetsbaarheid Uitbuit — De nieuwste versie van de NRSMiner malware gevonden te worden veroorzaakt door de EternalBlue exploits, in de volksmond bekend als gebruikt in de WannaCry ransomware aanvallen. De infecties zijn gedaan door zich te richten openen van de dienstverlening via de TCP poort 445. De aanvallen worden geautomatiseerd door een hacker-gecontroleerde kader, dat eruit ziet als de poort open is. Als aan deze voorwaarde wordt voldaan zal het scannen van de service en het ophalen van informatie over het, met inbegrip van elke versie en de configuratie gegevens. Exploits en populaire gebruikersnaam en wachtwoord combinaties kunnen worden gedaan. Wanneer de EternalBlue exploit is geactiveerd tegen de kwetsbare code in de mijnwerker zal worden ingezet samen met de DoublePulsar achterdeur. Dit zal het een dubbele infectie.
Afgezien van deze methoden andere strategieën kunnen worden gebruikt. Mijnwerkers kunnen worden gedistribueerd door phishing e-mails die worden verzonden in bulk in een SPAM-achtige wijze en afhankelijk van social engineering trucs om te verwarren de slachtoffers te laten geloven dat ze een bericht ontvangen van een legitieme dienst of bedrijf. Het virus bestanden kunnen worden, hetzij direct of ingevoegd in het lichaam van de inhoud in de multimedia-inhoud of tekst links.
De criminelen kunnen ook kwaadaardige landing pagina ‘s dat kan imiteren verkoper download pagina’ s, software, download portals en andere vaak gebruikte plaatsen. Wanneer zij maken gebruik van soortgelijke klinkende domeinnamen voor legitieme adressen en beveiligingscertificaten kunnen de gebruikers worden gedwongen in de interactie met hen. In sommige gevallen louter openen van hen kan leiden tot de mijnwerker infectie.
Een andere benadering is het gebruik van lading dragers die kunnen worden verspreid met behulp van de hierboven genoemde methoden of via file sharing-netwerken, van BitTorrent is één van de meest populaire. Het wordt vaak gebruikt voor het distribueren van beide legitieme software en bestanden en illegale inhoud. Twee van de meest populaire lading providers zijn de volgende:
- Geïnfecteerde Documenten — De hackers kunnen inbedden van scripts installeren, NRSMiner malware code zodra ze worden ingevoerd. Alle van de populaire document zijn de potentiële dragers: presentaties, rich text documenten, presentaties en databases. Wanneer ze worden geopend door de slachtoffers verschijnt de vraag van de gebruikers, zodat de ingebouwde macro ‘ s in voor een correcte weergave van het document. Als dit gedaan is wordt de mijnwerker zal worden ingezet.
- Toepassing Installateurs — De criminelen kunnen plaats de mijnwerker installatie scripts in toepassing installateurs in alle populaire software gedownload door de gebruikers: hulpprogramma ‘s, productiviteit apps, office-programma’ s, creativiteit suites en zelfs games. Dit is gedaan met het wijzigen van de legitieme installateurs — ze zijn meestal gedownload van de officiële bronnen en aangepast om de nodige opdrachten.
Andere methoden die kunnen worden beschouwd als door de criminelen zijn het gebruik van browser hijackers — gevaarlijke plugins die gemaakt zijn compatibel met de meest populaire webbrowsers. Ze worden geüpload naar de relevante archieven met nep-ervaringen en ontwikkelaar referenties. In veel gevallen zijn de beschrijvingen kunnen zijn screenshots, video ‘ s en uitgebreide beschrijvingen veelbelovend grote functionaliteit en prestatie-optimalisaties. Echter na de installatie van het gedrag van de betreffende browsers zal veranderen — gebruikers zullen merken dat ze zullen worden doorverwezen naar een hacker-gecontroleerde lanidng pagina en hun instellingen kunnen worden gewijzigd — de standaard-startpagina, zoekmachine en de nieuwe tabbladpagina.
De NRSMiner malware is een klassiek geval van een cryptocurrency mijnwerker die afhankelijk van de configuratie kan leiden tot een breed scala van gevaarlijke acties. De belangrijkste doelstelling is voor het uitvoeren van complexe wiskundige taken die zal profiteren van de beschikbare systeembronnen: CPU, GPU, geheugen en harde schijf ruimte. De manier waarop ze functioneren is door verbinding te maken met een speciale server genoemd mijnbouw zwembad waar de vereiste code is gedownload. Zodra één van de taken is gedownload zal worden gestart in een keer, meerdere exemplaren kunnen worden uitgevoerd in een keer. Wanneer een bepaalde taak is voltooid, andere zullen worden gedownload in de plaats en de loop wordt doorlopen totdat de computer is uitgeschakeld, wordt de infectie wordt verwijderd of een andere soortgelijke gebeurtenis plaatsvindt. Cryptocurrency zal beloond worden met de strafrechtelijke controllers (hacken van de groep of een hacker) rechtstreeks in hun portemonnee.
Een gevaarlijke eigenschap van deze categorie malware is dat monsters als deze kan nemen van alle systeembronnen en praktisch maken van het slachtoffer computer onbruikbaar totdat de dreiging is in zijn geheel verwijderd. De meeste van hen zijn voorzien van een permanente installatie waardoor ze erg moeilijk te verwijderen. Deze commando ‘ s om de wijzigingen aan de boot opties, de configuratie bestanden en Windows Register waarden die de NRSMiner malware automatisch starten als de computer eenmaal is ingeschakeld. Toegang tot herstel menu ‘ s en opties kunnen worden geblokkeerd waardoor veel handmatige verwijdering gidsen praktisch nutteloos.
Deze bijzondere infectie zal setup een Windows service voor zichzelf, na de uitgevoerde veiligheidsanalyses ther volgende maatregelen zijn genomen:
- Informatie Oogsten — De mijnwerker zal het genereren van een profiel van de geïnstalleerde hardware componenten en specifieke besturingssysteem informatie. Dit kan zijn anythnig van de specifieke omgeving van waarden naar geïnstalleerde toepassingen van derden en gebruiker instellingen. Het volledige verslag zal worden gemaakt in real-time en kan worden uitgevoerd, continu of op bepaalde tijdstippen.
- Netwerk Communicatie — zodra de infectie is gemaakt van een netwerk poort voor het doorgeven van de geoogste gegevens zullen worden geopend. Zo kunnen de criminele controllers in te loggen bij de dienst en het ophalen van alle gekaapt informatie. Deze component kan worden bijgewerkt in toekomstige releases tot een volwaardige Trojan bijvoorbeeld: het zou toestaan dat de criminelen de controle van de machines, spion van de gebruikers in real-time en stelen van hun bestanden. Bovendien Trojan infecties zijn een van de meest populaire manieren om te implementeren andere malware bedreigingen.
- Automatische Updates — Door het hebben van een update check-module de NRSMiner malware kunnen voortdurend te controleren of een nieuwe versie van de dreiging is uitgebracht en automatisch toe te passen. Dit is inclusief alle benodigde procedures: het downloaden, de installatie, het opruimen van oude bestanden en herconfiguratie van het systeem.
- Toepassingen en Diensten Wijziging — Tijdens de mijnwerker activiteiten de bijbehorende malware kan aansluiten bij reeds lopende Windows diensten en derde-partij geïnstalleerde toepassingen. Door dit te doen, zodat de systeembeheerders niet merkt, dat de bron belasting is afkomstig van een apart proces.
Deze vorm van malware-infecties zijn vooral effectief bij het uitvoeren van geavanceerde commando ‘ s als zodanig. Ze zijn gebaseerd op een modulair kader, waardoor de criminele controllers te organiseren allerlei gevaarlijke gedrag. Een van de bekende voorbeelden is de wijziging van de Windows Register — wijzigingen snaren met het besturingssysteem kan leiden tot ernstige prestaties van storingen en het onvermogen om toegang te krijgen tot Windows diensten. Afhankelijk van de omvang van de wijzigingen het kan ook de computer volledig onbruikbaar. Aan de andere kant manipulatie van de Register-waarden toebehorend aan een derde partij geïnstalleerde toepassingen kunnen saboteren. Sommige applicaties kunnen niet meer opstarten in totaal, terwijl anderen kan onverwacht stoppen met werken.
Deze bijzondere mijnwerker in de huidige versie is gericht op de mijnbouw Monero cryptocurrency met een aangepaste versie van XMRig CPU mijnbouw motor. Als de campagnes blijken succesvol dan toekomstige versies van de NRSMiner kan gestart worden in de toekomst. Als de malware maakt gebruik van kwetsbaarheden in de software te infecteren doel hosts, het kan onderdeel zijn van een gevaarlijke co-infectie met ransomware en Trojaanse paarden.
Het verwijderen van NRSMiner is sterk aan te raden, omdat u niet alleen het risico een grote elektriciteitsrekening als deze actief is op uw PC, maar de mijnwerker kan ook het uitvoeren van andere ongewenste activiteiten op en zelfs schade aan uw PC permanent.
Als u wilt verwijderen van deze mijnwerker van uw PC, worden geadviseerd dat het kan verwijderen van uw bestanden. Dit is de reden waarom we adviseren u een back-up van al uw belangrijke bestanden als op uw PC voor het verwijderen van dit virus.
Verwijderen NRSMiner mijnwerker automatisch van uw PC adviseren wij u om de verwijdering van de handleiding hieronder. Het is gescheiden In handmatige en automatische verwijdering, omdat dit effectief zal helpen verwijderen van het virus bestanden permanent. Als handmatige verwijdering niet helpen, echter, wij raden dan wat de meeste onderzoekers adviseren en dat is te downloaden van een geavanceerde anti-malware software voor het uitvoeren van een scan op uw geïnfecteerde PC. Een dergelijk programma zal automatisch zorgen voor de NRSMiner mijnwerker virus van uw computer en zorg ervoor dat het volledig verwijderd plus uw PC beschermd blijft ook in de toekomst.
Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in NRSMiner gedetecteerd.
| Anti-Virus Software | Versie | Detectie |
|---|---|---|
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Dr.Web | Adware.Searcher.2467 | |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
NRSMiner gedrag
- Gemeenschappelijke NRSMiner gedrag en sommige andere tekst emplaining som info in verband met gedrag
- Uw browser omleiden naar geïnfecteerde pagina's.
- Verspreidt zich via pay-per-install of is gebundeld met terts-verschijnende partij software.
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Integreert in de webbrowser via de NRSMiner Grazen verlenging
- Vertraagt internet-verbinding
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Wijzigingen van gebruiker homepage
- NRSMiner shows commerciële advertenties
- Zichzelf installeert zonder machtigingen
NRSMiner verricht Windows OS versies
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
NRSMiner Geografie
NRSMiner elimineren van Windows
NRSMiner uit Windows XP verwijderen:
- Klik op Start om het menu te openen.
- Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.
- Kies en Verwijder de ongewenste programma.
Verwijderen NRSMiner uit uw Windows 7 en Vista:
- Open menu Start en selecteer Configuratiescherm.
- Verplaatsen naar een programma verwijderen
- Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.
Wissen NRSMiner van Windows 8 en 8.1:
- Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.
- Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
- Klik op verwijderen .
NRSMiner verwijderen uit uw Browsers
NRSMiner Verwijdering van Internet Explorer
- Klik op het pictogram van het vistuig en selecteer Internet-opties.
- Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.
- Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
- Klik op sluiten en selecteer OK.
- Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.
- Ga naar Search Providers en kies een nieuwe standaard zoekmachine
Wissen NRSMiner van Mozilla Firefox
- Voer "about:addons" in het URL -veld.
- Ga naar Extensions en verwijderen verdachte browser-extensies
- Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.
Beëindigen NRSMiner van Chrome
- Typ in "chrome://extensions" in het veld URL en tik op Enter.
- Beëindigen van onbetrouwbare browser- extensies
- Opnieuw Google Chrome.
- Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).