Антивирусная правДА!TM

27 ноября 2025

Компьютер — это частная собственность, его ресурсы принадлежат исключительно владельцу. Тем не менее случается, что эти ресурсы используются другими людьми нелегально. Например, злоумышленниками для майнинга криптовалюты без ведома владельца. Это называется криптоджекингом.

«Крипто» — сокращение от «криптовалюта», «джекинг» (от англ. jacking) — в контексте кибербезопасности означает незаконный захват ресурсов, фактически это «угон» вычислительных мощностей устройства. Да, это не угон автомобиля, но тоже преступление.

Получаем, что криптоджекинг — несанкционированное использование чужого оборудования для майнинга криптовалюты. Мы в компании называем это явление по праву его происхождения, то есть незаконным майнингом.

«Доктор Веб» разъясняет: криптоджекинг — это не мелкая шалость, и в зависимости от обстоятельств может расцениваться как гражданско-правовой деликт и/или уголовное преступление, а в скором будущем и как административное правонарушение. И мы делаем так, чтобы защитить ваши устройства от атак, а нервы от истощения.

Незаконный майнинг в деталях

В основе криптоджекинга лежит специальная программа‑майнер с вредоносными функциями — она скрытно внедряется в систему (устройство) пользователя и использует ее ресурсы для добычи криптовалюты. Значит, мы имеем дело с классическим троянцем. Он маскируется под легитимный процесс, избегает обнаружения и работает без согласия пользователя. Как и в классической троянской легенде, за современным «троянским конем» тоже стоит идейный руководитель. В нашем случае правонарушитель.

Когда майнинг становится преступлением

В случае, если злоумышленники используют вычислительные ресурсы устройства без ведома и согласия пользователя. Если разрешить третьему лицу такое использование или самостоятельно установить на устройство майнер без вредоносных функций для добычи криптовалюты (в личных целях) с соблюдением всех условий законодательства РФ — ни антивирус, ни закон это не осудят.

Как проникает на устройства

Злоумышленники действуют разными методами, чтобы доставить незаконный майнер на устройство. Расскажем вкратце о некоторых из них. В любом случае нет разницы, как именно устройство было заражено. Важно, что дальше делать, и кто будет отвечать перед законом и пострадавшим пользователем.

Итак, один из распространенных путей проникновения — с помощью эксплуатации уязвимостей. Это могут быть как уязвимости в операционных системах (особенно в необновленных версиях), так и слабые места в прикладном программном обеспечении — офисных пакетах, медиаплеерах с устаревшими библиотеками и других. Злоумышленники целенаправленно ищут «дыры» в защите, чтобы внедрить вредоносный код и испортить пользователям жизнь.

Другой популярный способ — через зараженные веб‑страницы. Незаконный майнер использует механизмы браузера для функционирования и запускается автоматически при открытии страницы — без запросов на установку и предупреждений, как видео или реклама. Он может остановиться, если закрыть страницу, но отдельные вредоносные версии продолжают майнить, скрытно удерживая фоновое окно открытым.

Есть и другие стратегии внедрения. Например, незаконные майнеры «зашивают» в пиратские версии программ, вредоносные расширения, рекламные баннеры. Не все, конечно, и не всегда. Поэтому не стоит надеяться только на интуицию и удачу, лучше доверить защиту антивирусу: его работа в том числе подразумевает борьбу с незаконными майнерами.

Какой несет ущерб

Что именно эксплуатируется в процессе атаки:

• вычислительные мощности процессора;
• ресурсы видеокарты (если доступна);
• электроэнергия;
• интернет‑трафик.

Пользователь может сразу ощутить последствия. Постоянная чрезмерная нагрузка приводит к перегреву оборудования, ускоренному износу компонентов и сильно увеличивает расходы на электроэнергию. Не получится игнорировать и риски для данных: незаконные майнеры зачастую служат «точкой входа» для других атак. Через них злоумышленники могут получить доступ к конфиденциальной информации, зашифровать файлы или использовать устройство для дальнейших противоправных действий, если им надоест только майнить.

В корпоративной сети риск кратко выше. Одно зараженное устройство способно запустить эффект домино: из точки входа оно превращается в командный центр для «бокового перемещения» по сети — отсюда злоумышленник выстраивает маршрут к критически важным системам. Он будет постепенно продвигаться от машины к машине, шаг за шагом расширять контроль и подбираться к самым защищенным участкам сети.

На тему незаконного майнера против бизнеса у нас есть показательный кейс. Назовем его:

Дело №1978 о криптошахте

Июль 2017 года. В компании все как обычно — серверы работают, товары проходят по складу, программа Х работает как часы.

И вдруг — сбой. Эксперты «Доктор Веб» выясняют: кто-то получил доступ к серверу, создал нового администратора и установил незаконного майнера под именем Trojan.BtcMine.1978. Троянец прятался под видом системной службы Windows, его нельзя было отключить (вылетал «синий экран смерти» — сообщение от операционной системы о критической ошибке). Он подключался к удаленному серверу и управлялся злоумышленниками через скрытую командную строку.

Успеху атаки способствовало то, что в серверном приложении Х была найдена уязвимость нулевого дня, обнаружили которую специалисты «Доктор Веб». Разработчики ПО быстро выпустили обновление, но некоторые администраторы не установили его. А злоумышленники этим воспользовались и получили целую армию зараженных серверов, добывающих криптовалюту Monero (XMR) и Aeon.

Оказалось, технический директор компании разработчика программы Х «минирует» сервера компаний для добычи криптовалюты. Он организовал процесс таким образом, что незаконный майнер попадал на любой сервер, который использовал ПО компании Х, то есть его собственной компании. Зараженными оказались многие юрлица по всей стране: магазины, склады и производства, которые работали на Windows-серверах. Дело дошло до директора, но преступник до беседы не дошел и бесследно исчез.

Остановить работу критически важных систем ему не удалось благодаря Dr.Web.

Как понять, что устройство заражено

Если у пациента болит горло, доктор увидит это на осмотре. А как визуально определить, что на компьютере сидит троянец и незаконно майнит? Обращаемся за помощью к антивирусу.

Dr.Web способен выявить признаки незаконного майнинга по нескольким ключевым индикаторам. Среди них подозрительный сетевой трафик и попытки скрытой установки программного обеспечения без подтверждения со стороны пользователя. Такие симптомы, как шум, перегрев или быстрая разрядка батареи устройства — это неочевидные признаки, хотя о них очень часто пишут в интернете. Мнение специалистов «Доктор Веб»: эти процессы могут указывать на проблему, но точный диагноз способен поставить только антивирус.

Криптоджекинг не пройдет

Для пользователей Dr.Web незаконный майнинг не представляет проблемы.

Защита не ограничивается только обнаружением незаконных майнеров — мы пресекаем их деятельность до причинения ущерба, буквально хватаем за руку. Превентивная защита Dr.Web блокирует угрозу на подступах: антивирус узнает и нейтрализует незаконного майнера в момент проявления им первых признаков вредоносной активности.

Сложность в том, что современные троянцы стремительно эволюционируют. «Свежие» образцы часто не похожи на своих предшественников внешне, но сохраняют схожие алгоритмы нападения. Для распознавания и обезвреживания таких угроз, как новейшие модификации троянцев, в решениях Dr.Web используется целый комплекс несигнатурных технологий. Они сводят к нулю шанс того, что троянец или любая другая угроза навредит пользователю. Несигнатурные технологии раз за разом доказывают свою эффективность в борьбе с новейшими угрозами.

Комплексная защита работает в трех направлениях:

• Сканирование — проверка всех загружаемых файлов в реальном времени.
• Мониторинг сети — выявление подозрительного трафика (например, попыток связи с майнинг‑пулами).
• Защита браузера — блокировка вредоносных скриптов до их запуска.

А ежечасное обновление баз сигнатур позволяет мгновенно добавлять новые модификации троянцев и предотвращать их распространение.

Если вы подозреваете заражение…

Возникли подозрения о заражении устройства при отсутствии антивируса? Проведите полное сканирование системы с помощью утилиты Dr.Web CureIt!.

Давайте уже их поймаем и накажем

С точки зрения законодательства РФ незаконный майнинг может быть связан с причинением имущественного и другого вреда, который придется возместить.
Например, компенсировать пострадавшей стороне перерасход электроэнергии.

Незаконный майнинг сопряжен и с преступными действиями, квалифицируемыми по нескольким статьям Уголовного кодекса РФ. В частности, это:

• ст. 272 — «Неправомерный доступ к компьютерной информации»,
• ст. 273 — «Создание, использование и распространение вредоносных программ»,
• а в некоторых случаях и ст. 274 — «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Нарушать закон нельзя, преступник должен быть наказан. И в зависимости от выявленных обстоятельств дела, кроме возмещения пострадавшей стороне причиненных убытков, наказание предусмотрено от штрафа или исправительных работ до лишения свободы на срок до 7 лет.

Есть одна проблема: поймать злоумышленника суперсложно. Основная трудность — анонимность и распределенность атак. Вредоносный код часто распространяется через легальные сайты, взломанные серверы и браузерные расширения. А злоумышленники используют цепочки прокси-серверов, VPN и TOR-сети, чтобы скрыть местоположение. Сам код может обновляться и управляться через децентрализованные или «мертвые» командные серверы. Но даже в этих случаях если шанс разоблачения.

Если пользователь — пострадавшая сторона. При подозрении на незаконный доступ к вычислительным мощностям своего устройства и для защиты собственных прав рекомендуем обращаться в правоохранительные органы. Если устройство заражено, вы потерпевший, а не соучастник — обратитесь в полицию.

Легальный майнинг возможен, но требует соблюдения определенных в законе условий (регистрации, уплаты налогов и других). Все остальное — риск привлечения к ответственности.

В практике нашей страны был громкий случай поимки и наказания за криптоджекинг — в 2019 году. Инженеры одного из российских НИИ были задержаны за попытку использовать суперкомпьютер для майнинга. Их вычислили по неожиданно возросшей нагрузке на систему и вменили превышение должностных полномочий и неправомерный доступ к вычислительным мощностям, что подпадает под ст. 273 и 274 УК РФ.