Önem ölçekli:  
  (98/100)

Monero Miner. Nasıl temizlenir? (Kaldırma kılavuzu)

Lucia Danes ile - - | Kötücül yazılım Yaz
12

Kripto para çılgınlığı kötücül Monero Madencilerinin geliştirilmesni hızlandırdı

Monero Miner

Monero Miner, Monero kriptopara birimini kazmak için 2016 yılından beri kullanılan kötücül bir programdır. 2017 yılında, virüs güncellendi ve etkilediği kurbanların bilgisayarların işlemcilerini kullanarak bu dijital para birimini kazmaya başladı. Şu anda, Vatico Monero (XMR) CPU Miner, Shadowsocks Miner, Wise XMRig virüsü ve diğer madencileri internette virüsü aktif olarak yaymaya devam etmekte.

The Monero Miner virüsü çoğu zaman Truva atı gibi yayılıp sistemin içine diğer yazılımlar ile birlikte girmektedir. Bununla birlikte güvenlik uzmanları yoğun bir Coinhive JS miner kullanımı da saptamış bulunmaktalar. Bu JavaScript kütüphanesi bir kaç popüler web sitesineki tarayıcı eklentilerine eklenmiştir.

Gplyra Miner, Vnlgp Miner ve CPU Miner bu virüse benzer etki gösteren virüslerden sadece birkaç tanesidir. Amaçları – kriptopara kazmaktır. Bazı diğer programlar Bitcoins, Dash, Decred gibi farklı farklı veya Monero Miner – adından da belli olduğu gibi –  Monero kripto parasını kazmaktadır.

Bu kötücül yazılım bilgisayarlara gizlice girip, Görev Yöneticisinde NsCpuCNMiner32.exe veya Photo.scr adı altında gözükmektedir. Aslında, hackerlar bu tarz bilgisayarlardan bir çoklu ağ yaratıp hepsini bir amaç için çalıştırmaktalar. Elbette, bilgisayar sahipleri sistemleri garip davranmaya başlayana kadar bu hareketlerden tamamen bihaberlerdir.

Madenciler işlemci kapasitesini sömürdükleri içim, bilgisayar doğal olarak daha yavaş çalışmaya hatta zaman zaman çökmelere başlar. Tüm bu ekstra kaynak kullanımı sadece sisteminizi yavaşlatmak kalmaz aynı zamanda donanımınızda ekstra ısınmalara da sebebiyet verir.

Dürüst olmak gerekirse, Truva atı yaratıcıları bilgisayarınızın performansı ile hiç ilgilenmemekte sadece karlarını arttırmayı düşünmekteler. Neyse ki, siz bunların hiçbirisi ile yüzleşmek zorunda değilsiniz. Artık Monero Miner virüsünü durdurmanın ve bilgisayarınızdan kaldırmanın bir yolu bulunmakta. Yani, Reimage veya Malwarebytes Anti Malware gibi otomatik virüs silme araçları size bu konuda yardımcı olabilir. Virüs temizleme ile ilgili daha fazla bilgi için yazıyı okumaya devam edin.

Coinhive teknolojisi siber suçlular tarafından hızlıca kötüye kullanıldı

Coinhive çeşitli websitelerine entegre edilmiş Monero Blokzinciri için kullanılan bir JavaScript kütüphanesidir. Bu araç sadeve birkaç hafta önce 14 Eylül tarihinde ortaya çıkmış olmasına rağmen çoktan dikkatleri üzerine çekmeyi başarmıştır. Kötü niyetli insanlar çeşitli web sitelere yerleştirdikleri bu araçla kurbanların bilgisayarlarındaki işlemci ile kriptopara kazmaktalar. Ayrıca, Coinhive JS miner teknik destek dolandırıcılığı yöntemi ile de yayılmakta.

Araştırmacılar, Coinhive'ın SafeBrowse uzantısı ile de yayıldığını tespit ettiler. Kullanıcılar bu uzantıyı kurduklarında, Monero Miner işlemcinin %50'ye kadar olan performnsını kullanmaya başlar. Bu aktiviteden dolayı da bilgisayar fiziki olarak zorlanır ve hızlı çalışma sonucu ısınmadan zarar görür. Madencilik işlemi kullanıcılar bilgisayarlarını kapatana kadar devam eder. 

Dahası, Coinhive popüler websitelerini taklit eden sayfalara gömülmektedir. Twitter, örneğin twitter.com.com adlı kayıtlı bir adres olup Twitter'ın adresini yanlış yazanlar için tuzak durumundadır. Muhtemelen dolandırıcılar bunun gibi bir sürü adresi daha kaydedip masum kullanıcıların dikkatsizliklerinden faydalanmaktalar.

Ek olarak, Birkaç websitesinin ve bu madencilik işlemini gizlice kullandıkları rapor edilmiştir. Bu siteler arasında The Pirate Bay,, showtime.com ve showtimeanytime.com. bulunmaktadır. Bu adreslerden kimisnin bu aktiviteleri durdurduğu bilinse de online komünitenin hesaplarına göre sitenin sahipleri binlerce dolardlık kazanç elde etmiş olabilirler.

Güncelleme Ağustos 2017: Vatico Monero (XMR) CPU Miner yüzeye çıkar

Kötücül yazılımın en güncel versiyonu  XMR, Monero ve diğer dijital para birimlerini kazacak şekilde ayarlanmıştır. Önceli versiyonunda olduğu gibi, sistemlere hala trojan ile sızmaktadır. Öte yandan moloko.exe olarak tespit edilmektedir. Dosya adına bakılırsa Rus kullanıcıları hedef aldığı düşünülmektedir. Ne yazık ki, madenci truva atları ülkede sorunlara yol açmıştır. 

Görev Yöneticisinde kendisini Monero (XMR) CPU miner olarak tanıtmaktadır. Anahtar indikatör ise aşırı işlemci gücü tüketmesidir. Kötücül yazılım ayrıca XMR maden havuzuna xmr-eu.dwarfpool.com:8050 adresinden bağlanmaktadır. 

Her ne kadar bir süredir Görev Yöneticisini kontrol etmemiş olsanız da, sistem performansından farkedebilirsiniz. Bu talihsiz virüsle karşılaşmanız halinde derhal kaldırmalısınız. 

Monero Miner üzerine konuşurken, sisteme Photo.scr dosyası ile sızdığını söylememiz gerekir. Daha sonra, Truva atı içindeki kazım işleminden sorumlu yürütülebilir NsCpuCNMiner32.exe dosyasını açıp aktive eder. 

Bu dosya %Temp% klasörüne yerleşip işlemlerine aynı yerden devam eder. Bu işlem her bilgisayar açıldığında yenilenmektedir. Neyseki, hackerler bilgisayarınız internete bağlı değilken çaresizdir çünkü madencilik işlemi için internet bağlantısı gerekmektedir. Bu yüzden Monero Miner kaldırma işleminin offline olarak yapılması tavsiye edilmektedir. Bu işlemi elle nasıl yapacağınızı öğrenmek için aşağı doğru devam edin.

2 Ekim, 2017: Google Play Store'da Kötücül Monero Miner'a Rastlandı

Bir kez daha, Google Play Store güvenilmez bir  “resmi uygulama” dükkanı olduğunu ispatladı. Görünüşe göre tüm güncel kötücül aktiviteler bu platforma ulaşıp android kullanıcılarını etkilemeyi başarmakta. Bu sefer de araştırmacılar içlerinde kriptopara-kazma skriptlerine rastladılar. Kötücül Android Monero Miner virüsü genelde ANDROIDOS_JSMINER veya ANDROIDOS_CPUMINER olarak geçer.

JSMiner versiyonu “Recitiamo Santo Rosario Free” (dindar bilgisayar kullanıcıları için bir uygulama) ve “SafetyNet Wireless App” (video izleyip ankete katılarak indirim kuponu kazanılan bir uygulama) içinde tespit edildi. Bu uygulamaların dijital para kazmak için Coinhive teknolojisini kullanması şaşırtıcı değildir. JavaScript kodu kendisini uygulamanın içinde aktie eder ve kurban hiçbir şeyden şüphelenmezken şu gibi sonuçlarla karşılaşır:

  • Kısa pil ömrü;
  • Cihazda düşük performans;
  • Uygulama çökmesi.

CPUMiner ise “Car Wallpaper HD: mercedes, ferrari, bmw and audi” adlı uygulamada tespit edildi. Bu grup kötücül uygulamalar meşru uygulamaları ele geçirir ve kripto-kazma işlemi yapacak şekilde modifiye eder örneğin cpuminer (suçlular güncellenmiş 2.5.1. versiyonunu kullanmaktalar).

Daha sonra, ambalaj değişikliğine uğrar ve dağıtılır. TrendMicro analizlerinin de gösterdiğine göre bu tarz kötücül yazılımlar birkaç farklı dijital parayı kazabilmekteler(sadece Monero değil).

Kod, suçluların serverlerından aldığı config dosyasına göre kazım işlemi yapmaktan sorumludur. Dosya Stratm mining protocol adı verilen bir veri paketi taşır.

Monero Miner versiyonları ve gerçekleştirdikleri işlemleri

ShellExperienceHost.exe ve MicrosoftShellHost.exe. Bu işlemler Windows Görev Yöneticisinde bir Trojan Sızıntısından sonra ortaya çıkabilir. Kötücül program başlangıçta otomatik çalışan ShellExperienceHost.exe yaratır. Bu işlem ise Monero kriptopara kazma işinden sorumlu MicrosoftShellHost.exe dosyasını çalıştırıp işlemci gücünü etkiler.

Booster.exe. Bu truva atı sisteme reklam yazılımları ile girmektedir. Sisteme sızdıktan sonra, başlangıçta otomatik olarak çalıştırılacak şekilde Windows ayarlarını değiştirir. Görev yöneticisinde, Booster.exe dosyası VsGraphics Desktop Engine olarak geçer. Fakat bilgisayarın İşlemci gücünün %25'lik güç tüketimi olması kripto para kazdığının en büyük kanıtıdır.

Wise XMRig virüsü. The Wise Miner bilgisayarda Monero kazabilmek için iki ayrı işlem çalıştırabilen bir truva atıdır- AudioHD.exe ve winserv.exe. Bu Truva atı sisteme girdiğinde, derhal AudioHD.exe dosyasını yaratıp kazım işlemlerine başlar. Görev Yöneticisinde bu işlem XMRig olarak geçer.

Wise Miner ile özdeşleştirilen diğer bir dosya ise WindowsHub'ın tanımı olan winserv.exe dosyasıdır. Bu iki işlem de çok fazla işlemci gücü kullanıp bilgisayarı yorar.

Shadowsocks Miner. Bu truva atı ise etkilediği sistemlerde service.exe veya websock.exe işlemleri çalıştırması ile bilinir. Kullanıcılar bunları, Windows Görev Yöneticisi'nde bulabilirler. Kötücül yazılım genelde sisteme diğer yazılımlarla girmektedir. Ayrıca sisteme diğer istenmeyen yazılımlar veya uygulamaların girmesine sebebiyet verebilir.

Vatico Monero (XMR) CPU Miner. Bu Truva atı sisteme faydalı bir programmış gibi davranır. Aslında sistme bir kere sızdıktan sonra, otomatik olarak moloko.exe dosyasını çalıştırmaktadır. Bu yüzden de kurban bilgisayarını her yeniden başlattığında, %80'lik bir işlemci gücü ile Monero kazmaktadır.

Adylkuzz Miner virüsü. Bu monero kazıcı sisteme EternalBlue açığı ve DoublePulsar arka kapısı ile sızmaktadır. Kötücül yazılım etkilediği bilgisayarları oluşturduğu bilgisayar ağına bağlayarak işlemcileri ile kriptopara kazmaktadır. Sisteme bağlanan bilgisayarlar normalden daha çok para kazanır.

Coinhive Miner. Burada da tasarımcılar meşru bir yazılım olan Coinhive aracından faydalanarak kripto-para kazmaktadırlar. Dolandırıcılar, hacklenmiş siteler ve kötücül tarayıcı eklentilerine madencilik yazılımları eklemektedirler. Ayrıca, suçlular virüsü teknik destek dolandırıcılığı yöntemi ile de yaymaktadırlar.

Monero Miner yayılma teknikleri

Genel olarak, Monero Miner şüpheli adresler ve dolandırıcı websiteleri tarafından yayılmaktadır. Kullanıcılar faydalı bir içerik elde edecekleri konusunda kandırılarak bu yazılımı sistemlerine indirmek için kandırılmaktalar. Gerçekte, viüslü bir dosya indirip sistemleri derhal madencilik işlemi için kullanılmaya başlamaktadır.

Bilgisayarınızı kötücül yazılımlara karşı  düzenli olarak kontrol etmek özellikle çok önemlidir, özellikle sıksık ücretsiz yazılım indiriyorsanız. Ayrıca bilgisayarınıza yüklediğiniz programları güvenilir bir antivirüs tarayıcısı ile kontrol etmeniz tavsiye edilmektedir.

2017 Eylül'de kötücül yazılımın SafeBrowse uzantısı ile yayıldığı tespit edildi. Bu yüzden, Chrome kullanıcılarının uzak durması tavsiye edilmekte. Çok fazla işlemci kullandığı için bu versiyoun oldukça zararldır. Görev Yöneticisinde Chrome'un %50 işlemci gücü kullandığını görebilirsiniz. Aslında, Chrome Görev Yöneticisini açarsanız bunun neredeyse tamamaen SafeBrowse uzantısı ile kullanıldığını göreceksiniz.

Monero Miner Truva atını profesyonel kılavuzumuz ile hızlıca kaldırın

Her ne kadar Monero Miner virüsü diğer tarayıcı korsanları, reklam virüsleri ve benzeri yazılımlardan biraz daha komplike olsa da, içine sızmayı başardığı bilgisayardan kolayca kaldırılabilmektedir. Daha önce de bahsettiğimiz gibi, Monero Miner otomatik olarak kaldırılabilmektedir. Bunun için güvenilir bir anti-virüs aracı seçmelisiniz örneğin Reimage veya Malwarebytes Anti Malware.

Bilgsayarınızı seçtiğiniz anti-kötücül yazılım programı ile taratın ve bu yavaşlama, çökmelerle bir daha karşılaşmak zorunda kalmayın. Offline ve Güvenli Mod kullanılarak gerçekleştirilen virüs kaldırma işleminin daha başarılı olduğunu belirtmek isteriz.

Ayrıca, SafeBrowse adlı Chrome uzantısını kurduysanız, kaldırmanız gerekmektedir. Bu yazıda da bahsettiğmiz gibi çok fazla işlemci gücü kullanımına bağlı hasarlara yol açabilmektedir.

Sitemizde önerdiğimiz ürünlerle bağlantılı olabiliriz. Kullanım sözleşmemizde bu belirtilmektedir. Tavsiye ettiğimiz herhangi bir anti-casusyazılım yazılımını Monero Miner silmek için indirdiğinizde gizlilik politikamızı ve Kullanım sözleşmesi.
Şİmdi yapın!
İndir
Reimage (temizleyici) Mutluluk
Garanti
İndir
Reimage (temizleyici) Mutluluk
Garanti
Microsoft Windows ile uyumludur. OS X ile uyumludur.
Başarılı olunamadığında ne yapmalı?
Reimage kullanarak sorununuzu gideremezseniz, mümkün olduğu kadar çok detay vererek destek ekibimize sorunuzu sorabilirsiniz
Monero Miner programını kaldırmak için Reimage kullanımı tavsiye edilir. Ücretsiz tarayıcı bilgisayarınızın virüslü olup olmadığını anlamanızı sağlar. Kötü amaçlı yazılım kaldırmanız gerekirse "Reimage kötü yazılım kaldırma aracının tam sürümünü almanız gerekir.
Bu program ile ilgili daha fazla bilgiyi Reimage incelemesinde bulabilirsiniz.
Basında Reimage

Monero Miner'i Elle Kaldırma Rehberi:

Safe Mode with Networking kullanarak Monero Miner programını kaldır

  • Adım 1: Bilgisayarınız Safe Mode with Networking modunda yeniden başlat

    Windows 7 / Vista / XP
    1. Start Shutdown Restart OK seçeneğine tıkla.
    2. Bilgisayarınızın yeniden çalıştığında F8 tuşuna basmaya başlayın ve Advanced Boot Options penceresini görene dek devam edin.
    3. Listeden Safe Mode with Networking seçeneğini seçin 'Safe Mode with Networking' seçeneğini seçin

    Windows 10 / Windows 8
    1. Windows giriş ekranından Power tuşuna basın. Şimdi Shift tuşuna basılı tutun ve Restart seçeneğine tıklayın. .
    2. Troubleshoot tuşunu seçin Advanced options Startup Settings ve Restart tuşuna basın.
    3. Bilgisayar çalışmaya başladığında Startup Settings penceresinde Enable Safe Mode with Networking seçeneğini seçin. 'Enable Safe Mode with Networking' seçeneğini seçin
  • Adım 2: Monero Miner seçeneğini kaldırın

    Virüslü hesabınıza girin ve tarayıcıyı başlatın. Reimage veya başka bir casus yazılım karşıtı programı indirin. Güncelleyin ve zararlı dosyalardan kurtulmak için sistem taraması yaparak Monero Miner virüsünü kaldırma işlemini tamamlayın.

Fidye yazılım Safe Mode with Networking programını engelliyorsa, diğer yöntemleri deneyin.

Son olarak kripto- fidye yazılımlara karşı korumanız olmalı. Bilgisayarınızı Monero Miner ve diğer fidye yazılımlardan korumak için güvenilir bir korsan yazılım programı kullanın. Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus veya Malwarebytes Anti Malware bu iş için uygun olabilir.

Yazar hakkında

Lucia Danes
Lucia Danes - Virüs araştırmacısı

Eğer bu ücretisz kaldırmal yöntemi size yardımcı oldusysa lütfen bu servici sürdürebilmemiz için bize bağış yapın. En ufak miktarda bile minnettat olacağız.

Lucia Danes ile iletişme geç
Esolutions Şirketi hakkında

Kaynak: https://www.2-spyware.com/remove-monero-miner.html

DİĞER DİLLERDE KALDIRMA KILAVUZLARI