NRSMiner Malware- Hoe actieve infecties verwijderen
BEDREIGING VERWIJDEREN

NRSMiner malware - Hoe actieve infecties verwijderen

Deze blogpost is opgericht om te helpen uit te leggen wat is de NRSMiner mijnwerker app en hoe u kunt proberen te verwijderen en te voorkomen dat mijnbouw Monero cryptocurrencies op uw computer.

Een nieuw, zeer gevaarlijk cryptogeld mijnwerker virus werd ontdekt door security onderzoekers. de malware, genoemd NRSMiner kan infecteren doel slachtoffers met behulp van een verscheidenheid van manieren. Het belangrijkste idee achter de NRSMiner mijnwerker is om cryptogeld mijnwerker activiteiten op de computers van de slachtoffers te gebruiken voor het verkrijgen van Monero tokens op kosten van de slachtoffers. Het resultaat van deze mijnwerker is de verhoogde elektriciteitsrekeningen en als je laat het voor langere tijd NRSMiner kan zelfs onderdelen van de computer beschadigen.

bedreiging Samenvatting

NaamNRSMiner
TypeCryptogeld Miner Virus
Korte OmschrijvingEen crypto mijnwerker die gericht is op de middelen van uw computer gebruiken om mijn voor cryptocurrencies.
SymptomenUw computer kan slow-downs, oververhitting, verdachte processen draaien en andere vormen van ongewenste neveneffecten..
Distributie MethodeZwakke plekken in software, Gebundeld downloads. Fake downloadportals
Detection Tool Zien of je systeem is getroffen door NRSMiner

Download

Malware Removal Tool

GebruikerservaringWord lid van onze Forum om te bespreken NRSMiner.

NRSMiner - distributiemethoden

De NRSMiner malware gebruikt twee populaire methoden die worden gebruikt om doelen computer infecteren:

  • Payload Levering via Prior Infecties - Als een ouder NRSMiner malware wordt ingezet op het slachtoffer systeem kan zichzelf automatisch updaten of download een nieuwere versie. Dit kan via de ingebouwde bijwerken commando dat de release verkrijgt. Dit gebeurt door het verbinden van een bepaalde vooraf gedefinieerde hacker gecontroleerde server die de malware code voorziet. De gedownloade virus zal de naam van een Windows-service te verwerven en in het worden geplaatst %systemroot%\temp plaats. Belangrijke eigenschappen en het besturingssysteem configuratiebestanden worden gewijzigd met het oog op een aanhoudende en stille infectie toestaan.
  • Software Vulnerability Exploits - De nieuwste versie van de NRSMiner malware zijn gevonden te worden veroorzaakt door de Eternalblue exploits, algemeen bekend voor toepassing in de WannaCry ransomware aanslagen. De infecties worden gedaan door zich te richten geopend diensten via de TCP-poort 445. De aanvallen zijn geautomatiseerd door een hacker gecontroleerd kader die opkijkt als de poort open. Als aan deze voorwaarde wordt voldaan, zal de dienst te scannen en op te halen informatie over, waaronder een versie en configuratiegegevens. Exploits en populaire gebruikersnaam en wachtwoord combinaties kunnen worden gedaan. Wanneer de Eternalblue exploit geactiveerd tegen de kwetsbare code mijnwerkers wordt ingezet met de achterdeur DoublePulsar. Dit zal een dubbele infectie presenteren.

Afgezien van deze methoden andere strategieën kunnen ook worden gebruikt. Mijnwerkers kunnen worden gedistribueerd door phishing e-mails die in bulk worden verzonden in een SPAM-achtige wijze en afhankelijk zijn van social engineering trucs om de slachtoffers te verwarren te laten geloven dat ze een bericht hebt ontvangen van een legitieme dienst of bedrijf. Het virus bestanden kunnen hetzij direct bevestigd of ingebracht in het lichaam inhoud van multimedia-inhoud of tekstlinks.

De criminelen kunt ook kwaadaardige landing pages die kunnen nabootsen vendor downloadpagina's, software download portals en andere veelgebruikte plaatsen. Wanneer zij gebruik van soortgelijke klinkende domeinnamen aan legitieme adressen en beveiligingscertificaten de gebruikers kunnen worden gedwongen tot interactie met hen. In sommige gevallen bestaat deze open te kunnen mijnwerkers infectie veroorzaken.

Een andere benadering zou zijn om te gebruiken payload carriers eventueel verdeeld met de bovengenoemde werkwijzen of via file sharing netwerken, BitTorrent is een van de meest populaire. Het wordt vaak gebruikt om zowel legitieme software en bestanden en piraten inhoud te verspreiden. Twee van de meest populaire payload dragers zijn de volgende:

  • geïnfecteerde Documenten - De hackers kunnen scripts die de NRSMiner malware code te installeren zodra ze worden gestart insluiten. Alle van de populaire document zijn potentiële dragers: presentaties, rich tekstdocumenten, presentaties en databases. Wanneer ze worden geopend door de slachtoffers een prompt waarin wordt gevraagd de gebruikers om de ingebouwde macro's inschakelen om het document goed te kunnen bekijken. Als dit gebeurt de mijnwerker zal worden ingezet.
  • Application Installateurs - De criminelen kunnen de mijnwerker installatie scripts in installatieprogramma's in te voegen in alle populaire software gedownload door eindgebruikers: nut van het systeem, productiviteit apps, office-programma's, creativiteit suites en zelfs games. Dit wordt gedaan tot wijziging van de legitieme installateurs - ze zijn meestal gedownload vanaf de officiële bronnen en aangepast aan de noodzakelijke commando's omvatten.

Andere methoden die door de criminelen kunnen worden beschouwd omvatten het gebruik van browser hijackers - gevaarlijke plugins die compatibel zijn gemaakt met de meest populaire web browsers. Ze worden geüpload naar de relevante repositories met recensies valse gebruikers en ontwikkelaars referenties. In veel gevallen kan de beschrijvingen screenshots omvatten, video's en uitgebreide beschrijvingen veelbelovende grote verbeterde functies en prestaties optimalisaties. Maar bij de installatie van het gedrag van de betrokken browsers zal veranderen - gebruikers zullen merken dat ze zullen worden doorgestuurd naar een-hacker gecontroleerde lanidng pagina en hun instellingen kunnen worden gewijzigd - de standaard startpagina, zoekmachine en nieuwe tabbladen pagina.

NRSMiner - Analyse

De NRSMiner malware is een klassiek geval van een cryptogeld mijnwerker die, afhankelijk van de configuratie kan een breed scala van gevaarlijke acties veroorzaken. Zijn belangrijkste doel is om complexe wiskundige taken die zullen profiteren van de beschikbare systeembronnen te voeren: CPU, GPU, geheugen en ruimte op de harde schijf. De manier waarop ze werken is door te verbinden met een speciale server genaamd mijnbouw pool van waar de gewenste code wordt gedownload. Zodra één van de taken is gedownload zal worden gestart in een keer, meerdere exemplaren kan worden uitgevoerd tegelijkertijd. Wanneer een bepaalde taak is voltooid zal een ander worden gedownload op zijn plaats en de lus zal doorgaan tot de computer is uitgeschakeld, de infectie wordt verwijderd of een soortgelijke gebeurtenis plaatsvindt. Cryptogeld zal beloond worden naar de correctionele controllers (hacken groep of een enkele hacker) direct naar hun portemonnee.

Een gevaarlijke kenmerk van deze categorie malware is dat monsters als deze alle systeembronnen kan nemen en in de praktijk te maken van het slachtoffer computer onbruikbaar totdat de dreiging volledig is verwijderd. De meeste van hen zijn voorzien van een persistent installatie waardoor ze heel moeilijk te verwijderen. Deze commando's zullen veranderingen op te starten opties maken, configuratiebestanden en Windows-register waarden die ervoor zorgt dat de NRSMiner malware automatisch te starten zodra de computer wordt ingeschakeld. Toegang tot herstel menu's en opties kunnen worden geblokkeerd die vele handmatige verwijdering gidsen praktisch nutteloos maakt.

Deze bijzondere infectie zal het inrichten van een Windows-service voor zichzelf, naar aanleiding van de uitgevoerde security analysis ther volgende acties zijn waargenomen:

  • informatie Oogsten - De miner zal een profiel van de geïnstalleerde hardwarecomponenten en specifieke informatie besturingssystemen genereren. Dit kan onder meer anythnig van specifieke omgeving waarden geïnstalleerde applicaties van derden en gebruikersinstellingen. Het volledige rapport zal worden gemaakt in real-time en kan continu of op bepaalde tijdstippen worden uitgevoerd.
  • Network Communications - Zodra de infectie een netwerkpoort voor het doorgeven van de geoogste data gemaakt wordt geopend. Het zal de criminele controllers in te loggen op de service en alle gekaapte informatie op te halen. Deze component kan in toekomstige versies worden bijgewerkt naar een volwaardige Trojan bijvoorbeeld: zou het mogelijk maken de criminelen om de controle over de machines te nemen, bespioneren van de gebruikers in real-time en stelen hun bestanden. Verder Trojan infecties zijn een van de meest populaire manieren om andere malware bedreigingen inzetten.
  • Automatische updates - Door een update controle module de NRSMiner malware kan voortdurend te controleren of een nieuwe versie van de bedreiging wordt vrijgegeven en automatisch toe te passen. Dit is inclusief alle benodigde procedures: downloaden, installatie, sanering van oude bestanden en herconfiguratie van het systeem.
  • Applications and Services Modification - Tijdens de mijnwerker de activiteiten van de bijbehorende malware kan aansluiten op reeds met Windows services en thrid partij geïnstalleerde toepassingen. Door dit te doen de systeembeheerders mag niet in de gaten dat de belasting van bronnen afkomstig is van een afzonderlijk proces.

Dit soort malware-infecties zijn bijzonder effectief bij het uitvoeren van geavanceerde commando's als zo geconfigureerd. Ze zijn gebaseerd op een modulair kader waardoor de criminele controllers om allerlei gevaarlijk gedrag orkestreren. Een van de populaire voorbeelden is de wijziging van de Windows-register - wijzigingen strings gerelateerd door het besturingssysteem kan leiden tot ernstige prestaties van storingen en het onvermogen om toegang te krijgen tot Windows-services veroorzaken. Afhankelijk van de omvang van de veranderingen het kan ook de computer volledig onbruikbaar maken. Aan de andere kant manipulatie van de Register-waarden behoren tot een van derden geïnstalleerde toepassingen kan ze saboteren. Sommige toepassingen kunnen niet om helemaal te lanceren, terwijl anderen onverwacht kan stoppen met werken.

Deze bijzondere mijnwerker in zijn huidige versie is gericht op de mijnbouw de valuta cryptogeld met een aangepaste versie van XMRig CPU mijnbouw motor. Als de campagnes blijken succesvolle vervolgens toekomstige versies van de NRSMiner kan worden gelanceerd in de toekomst. Als de malware maakt gebruik van software kwetsbaarheden te misbruiken doelhosts infecteren, Het kan deel uitmaken van een gevaarlijke co-infectie met ransomware en Trojaanse paarden.

Verwijdering van NRSMiner wordt sterk aanbevolen, omdat je het risico niet alleen een grote energierekening als het op uw pc, maar de mijnwerker mag ook andere ongewenste activiteiten op het en zelfs schade aan uw PC permanent.

Verwijder NRSMiner Miner uit uw pc

Als u dit wilt mijnwerker verwijderen van uw pc, er rekening mee dat het uw bestanden kunt verwijderen. Dit is waarom, raden wij u aan een backup van al uw belangrijke bestanden als op uw pc voordat u dit virus.

Verwijderen NRSMiner automatisch mijnwerker van uw pc, raden wij u aan de verwijdering handleiding hieronder volgen. Het wordt gescheiden in handmatige en automatische verwijdering, aangezien dit effectief zal helpen het virus bestanden permanent te verwijderen. Als handmatige verwijdering niet helpt, echter, we raden wat de meeste onderzoekers adviseren en dat is om een ​​geavanceerde anti-malware software te downloaden naar een scan met het uit te voeren op de geïnfecteerde pc. Een dergelijk programma zal automatisch zorgen voor de NRSMiner mijnwerker virus van uw computer en zal ervoor zorgen dat het volledig is verwijderd plus uw pc beschermd blijft ook in de toekomst.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...