Denna blogg har skapats för att hjälpa till att förklara vad som är NRSMiner miner appen och hur du kan försöka ta bort den och hindra den från gruvdrift Monero cryptocurrencies på din dator.
En ny, mycket farligt cryptocurrency miner virus har upptäckts av trygghet forskare. Det skadliga programmet, som kallas NRSMiner kan infektera mål offer med hjälp av en mängd olika sätt. Den huvudsakliga idén bakom NRSMiner miner är att anställa cryptocurrency miner aktiviteter på datorer offer för att få Monero inträden på offrens bekostnad. Resultatet av detta gruvarbetare är den höga el-räkningar och om du lämnar den under längre perioder NRSMiner kan även skada din dators komponenter.
Den NRSMiner malware använder två populära metoder som används för att infektera datorn mål:
- Nyttolast Leverans via Tidigare Infektioner — Om en äldre NRSMiner malware är utplacerade på offret system kan automatiskt uppdatera själv eller ladda ner en nyare version. Detta är möjligt via den inbyggda uppdateringen kommando som får släppa. Detta görs genom att ansluta till en viss fördefinierad hacker-kontrollerade servern som innehåller den skadliga koden. Hämtade virus kommer att få namnet på en Windows service och placeras i mappen %systemroot%temp läge. Viktiga egenskaper och operativsystemet filer som har ändrats för att ge en stadig och tyst infektion.
- Programvaran Utnyttjar Sårbarhet — Den senaste versionen av NRSMiner skadlig kod har visat sig vara orsakade av EternalBlue utnyttjar, populärt känd för att användas i WannaCry ransomware attacker. Infektioner sker genom att rikta öppna tjänster via TCP-port 445. Attackerna är automatiserad genom en hacker-kontrollerade ramar som ser upp om porten är öppen. Om detta villkor är uppfyllda kommer det att skanna service och hämta information om det, inklusive eventuella version och konfiguration. Utnyttjar och populära kombinationer av användarnamn och lösenord kan göras. När EternalBlue utnyttja utlöses mot de utsatta kod gruvarbetare kommer att distribueras tillsammans med DoublePulsar bakdörr. Detta kommer att presentera en dubbel infektion.
Bortsett från dessa metoder med andra strategier som kan användas. Gruvarbetare kan distribueras av phishing e-postmeddelanden som skickas i bulk i ett SPAM-liknande sätt och beror på social ingenjörskonst tricks för att förvirra offer till att tro att de har fått ett meddelande från en legitim tjänst eller företag. Virus kan vara antingen direkt bifogas eller infogas i kroppen innehållet i multimedia innehåll eller textlänkar.
Brottslingar kan också skapa skadlig målsidor som kan personifiera säljaren ladda ner sidor, ladda ner programvara portaler och andra besökta platser. När de använder sig av liknande klingande domännamn till legitima adresser och säkerhetscertifikat användarna får tvingas att interagera med dem. I vissa fall bara att öppna dem kan utlösa miner infektion.
Ett annat tillvägagångssätt skulle vara att använda nyttolast transportörer som kan spridas med hjälp av ovan nämnda metoder eller via nätverk för fildelning, BitTorrent är en av de mest populära. Det används ofta för att distribuera både seriösa program och filer och pirate innehåll. Två av de mest populära nyttolast transportörer är följande:
- Infekterade Dokument — hackare kan bädda in skript som installerar NRSMiner skadlig kod så fort de lanseras. Alla de populära dokument är potentiella bärare: presentationer, rtf-dokument, presentationer och databaser. När de öppnas av den som har utsatts visas ett meddelande som ber användarna att aktivera den inbyggda makron för att på rätt sätt visa dokumentet. Om detta är gjort miner kommer att användas.
- Ansökan Installatörer — brottslingar kan infoga miner installation manus till ansökan installatörer över alla populära programvara som laddas ned senast i slutet av användare: system utilities, produktivitet apps, office-program, kreativitet sviter och även spel. Detta görs för att ändra seriösa installatörer — de är oftast hämtade från officiella källor och anpassade för att inbegripa de nödvändiga kommandon.
Andra metoder som kan anses vara av brottslingar inkluderar användning av webbläsare kapare — farliga plugins som görs kompatibel med de mest populära webbläsarna. De är uppladdade till relevanta arkiv med falska recensioner användare och utvecklare referenser. I många fall beskrivningar kan innehålla bilder, videoklipp och utförliga beskrivningar lovande stor funktion förbättras och prestanda optimeringar. Men vid installationen beteende påverkas webbläsare kommer att ändra — användare kommer att finna att de kommer att omdirigeras till en hacker-kontrollerad lanidng sida och deras inställningar kan ändras — standard hemsida, sökmotor och nya flikar.
Den NRSMiner malware är ett klassiskt fall av en cryptocurrency miner som beroende på konfiguration kan orsaka en mängd olika farliga åtgärder. Dess främsta mål är att göra komplexa matematiska uppgifter som kommer att dra fördel av den tillgängliga systemresurser: CPU, GPU, minne och utrymme på hårddisken. Hur de fungerar är genom att ansluta till en speciell server som heter mining pool där det krävs kod laddas ner. Så snart som en av de uppgifter som hämtas kommer det att vara igång på en gång, flera instanser som kan köras på en gång. När en uppgift är slutförd kommer en annan laddas ner på sin plats och slingan kommer att fortsätta tills datorn är avstängd, infektionen tas bort eller en annan liknande händelse inträffar. Cryptocurrency kommer att belönas för att de kriminella controllers (hacking grupp eller en enda hacker) direkt till deras plånböcker.
En farlig egenskap hos denna kategori av skadlig kod är att prover som denna kan man ta in alla resurser och praktiskt taget göra offrets dator oanvändbar tills hotet har tagits bort helt. De flesta av dem har en ihållande installation som gör dem riktigt svårt att ta bort. Dessa kommandon kommer att göra förändringar för att starta upp alternativ, konfigurationsfiler och Windows registervärden som kommer att göra NRSMiner malware starta automatiskt när datorn är påslagen. Tillgång till återhämtning menyerna och alternativen kan vara blockerad, vilket gör många manuella borttagning guider praktiskt taget värdelösa.
Denna infektion kommer att ställa en Windows tjänst för sig, efter genomförd säkerhetsanalys ther följande åtgärder som har observerats:
- Information Skörd — gruvarbetare kommer att skapa en profil för installerad maskinvara och operativsystem information. Detta kan inkludera anythnig från specifika miljö värden till installerade program från tredje part och användarinställningar. Den kompletta rapporten kommer att göras i realtid och kan köras kontinuerligt eller med vissa tidsintervall.
- Nätverk för Kommunikation — Som snart infektion görs en nätverksport för förmedling av den avverkade data kommer att öppnas. Det kommer att tillåta den kriminella styrenheter för att logga in till tjänsten och hämta alla kapade information. Denna komponent kan uppdateras i framtiden till en fullfjädrad Trojan exempel: det skulle göra det möjligt för brottslingar att ta över kontrollen av maskiner, spionera på användare i realtid och stjäla deras filer. Dessutom Trojan infektioner är en av de mest populära sätten att använda andra skadliga hot.
- Automatiska Uppdateringar — Genom att ha en uppdatering kontrollera modul NRSMiner malware ständigt kan övervaka om en ny version av hotet är släppt och automatiskt tillämpa det. Detta omfattar alla förfaranden som krävs: nedladdning, installation, sanering av gamla filer och omkonfigurering av systemet.
- Applikationer och Tjänster Ändring — Under den gruvarbetare verksamhet i samband malware kan krok upp till redan kör Windows tjänster och tredje part installerade program. Genom att göra så att systemadministratörer kan inte märka att den resurs last som kommer från en separat process.
Denna typ av malware infektioner är särskilt effektiva på att utföra avancerade kommandon om den är konfigurerad så. De bygger på ett ramverk som tillåter den kriminella styrenheter för att orkestrera alla typer av farligt beteende. En av de populära exempel är modifiering av Windows Registret — ändringar strängar i samband med operativsystemet som kan orsaka allvarliga prestanda störningar och oförmåga att få tillgång till Windows tjänster. Beroende på omfattningen av förändringar det kan också göra datorn helt obrukbar. Å andra sidan manipulation av registervärden som tillhör någon tredje part installerade program kan sabotera dem. Vissa program kan inte starta helt och hållet, medan andra kan oväntat sluta att fungera.
Detta särskilt miner i sin nuvarande version är inriktade på gruvdrift Monero cryptocurrency innehåller en modifierad version av XMRig CPU gruv-motor. Om kampanjer bevisa lyckad då framtida versioner av NRSMiner kan komma att lanseras i framtiden. Malware använder sårbarheter i mjukvara för att infektera mål värdar, det kan vara en del av en farlig co-infektion med ransomware och Trojaner.
Borttagning av NRSMiner rekommenderas starkt, eftersom du riskerar inte bara en stor elräkning om det körs på din PC, men miner kan också utföra andra oönskade aktiviteter på den och till och med skada din DATOR permanent.
Om du vill ta bort detta gruvarbetare från din DATOR, observera att det kan ta bort dina filer. Det är därför vi råder dig att säkerhetskopiera alla dina viktiga filer om DATORN innan du tar bort detta virus.
För att ta bort NRSMiner miner automatiskt från din DATOR, rekommenderar vi dig att följa de manuell borttagning nedan. Det är åtskilda I manuell och automatisk borttagning, eftersom detta kommer på ett effektivt sätt hjälpa till att ta bort virus filer permanent. Om manuell borttagning inte hjälpa, men vi rekommenderar vad de flesta forskare ge råd och det är att ladda ner en avancerad anti-malware program för att köra en scan med det på din infekterade DATORN. Så kommer programmet automatiskt att ta hand om NRSMiner miner virus från din dator och kommer att se till att det tas bort helt och hållet plus att din DATOR är skyddad i framtiden.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i NRSMiner.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Dr.Web | Adware.Searcher.2467 | |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
NRSMiner beteende
- NRSMiner visar kommersiella annonser
- NRSMiner ansluter till internet utan din tillåtelse
- Integreras i webbläsaren via webbläsartillägget NRSMiner
- Ändrar användarens hemsida
- Saktar internet-anslutning
- Ändrar skrivbordet och webbläsarinställningar.
NRSMiner verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
NRSMiner geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).