Hiện nay, tình trạng các hacker lợi dụng những thiết bị như CPU hay GPU từ máy tính của người khác để giải những thuật toán trên hệ thống, từ đó kiếm tiền ảo là điều rất thường gặp. Vậy làm sao để nhận biết virus đào coin trên PC và loại bỏ chúng như thế nào? Hãy cùng Vietnix tìm hiểu qua bài viết sau đây nhé!
Tìm hiểu về virus đào coin
Để khai thác các đồng tiền mã hóa, những người đào coin cần phải giải những phép toán với độ phức tạp rất cao, đòi hỏi những cỗ máy đào coin phải có cấu hình CPU và GPU khủng, luôn hoạt động với công suất cao nhất có thể.
Tuy nhiên, để duy trì hoạt động khai thác như vậy thì chi phí rất cao. Do đó, nhiều người đào coin đã nghĩ đến các giải pháp sử dụng máy tính của những người dùng phổ thông. Bên cạnh các hình thức trả phí sử dụng máy tính hoặc cung cấp giải pháp khai thác tiền ảo để hưởng hoa hồng và thu phí như Norton Crypto thì nhiều kẻ xấu sẽ thực hiện hành vi cryptojacking.
Cryptojacking là hành vi tấn công mà hacker sẽ chạy một phần mềm đào coin trên phần cứng máy tính khi không được sự cho phép của người dùng. Các loại malware (phần mềm độc hại) được dùng để thực hiện hành vi này sẽ được đặt theo của đồng coin. Ví dụ: Bitcoin Miner.
Virus đào coin thâm nhập vào PC như thế nào?
Virus đào coin có thể thâm nhập vào PC của người dùng thông qua:
- Các file có chứa mã độc được đính kèm vào trong email.
- Các website lợi dụng lỗ hổng trên trình duyệt web hoặc các phần mềm giao tiếp với internet khác.
- Các website tận dụng sức mạnh xử lý của máy tính thông qua việc chạy các tập lệnh khi người dùng truy cập vào nó.
- Các loại mã độc này còn được tích hợp sẵn trong các ứng dụng rác, ứng dụng lậu vi phạm bản quyền.
Các dấu hiệu nhận biết virus đào coin trên PC
1. Nếu bạn gặp phải trường hợp PC của mình thường hay bị tắt đột ngột dù đã active windows bản quyền. Check lỗi thì nguyên nhân bị tắt là do BSOD. Mở file dump BSOD bằng phần mềm BlueScreenView thì thấy báo lỗi ở chương trình ntoskrnl.exe bị crash. Thật tế không phải chương trình ntoskrnl.exe bị lỗi mà có thể máy tính của bạn đã dính phải 1 loại virus biến máy tính của bạn trở thành 1 con bot đào coin.
2. CPU + Ram của VPS bị chiếm dụng bởi chương trình Isass.exe (giả mạo 1 chương trình real của windows). Luôn duy trì resource của VPS/Server ở mức 80%. Link check VirusTotal
3. Ngoài ra virus có xuất hiện ở các tên khác như explorer.exe, svhost.exe,…
Mở CMD và tìm xem PID của Virus có đang mở port nào để kết nối tới máy chủ điều khiển của hacker không bằng lệnh sau: netstat -nao | findStr PID
Hậu quả của việc dính virus đào coin trên PC
- Khiến cho hiệu suất của máy tính bị sụt giảm nghiêm trọng.
- Hoạt động liên tục sẽ làm các linh kiện của thiết bị máy tính như CPU, GPU, pin và quạt tản nhiệt bị hao mòn nhanh chóng. Thông thường, các thiết bị của người dùng được hacker nhắm đến có mức cấu hình cao, do đó chi phí sửa chữa sẽ không nhỏ.
- Máy tính hoạt động công suất cao sẽ phát sinh rất nhiều điện năng, dẫn đến tăng tiền điện. Nguy hiểm hơn là máy tính có thể phát cháy và gây ra hỏa hoạn.
Cách xóa virus đào coin
Hacker sẽ có 2 phương thức gọi virus sau khi bị kill (sẽ update nếu phát hiện thêm). Đó là chèn thêm regedit tại:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Hoặc sẽ tạo 1 Task Schedule để gọi lại Virus. Task Schedule thường được dấu tại đường dẫn Task Scheduler Library/Microsoft/Windows/RAC/BackupEvent.
Sau khi kiểm tra và xóa không cho virus khởi động lại thì tiến hành tìm thư mục chứa virus bằng chương trình Process Explorer. Truy cập vào phân vùng chứa Virus sau đó điều chỉnh hiện file ẩn lên.
Tìm tên virus ở mục Search in folder.
Phải chuột để xóa nhưng không bấm Yes vội. Mở Process Explorer > Kill Process. Sau đó mới bấm Yes.
Cách phòng tránh bị nhiễm virus đào coin
Theo các khuyến cáo từ Kaspersky, McAfee và một số chuyên trang bảo mật khác, để phòng tránh các hành vi cryptojacking, bạn cần lưu ý những điều sau:
- Không mở các email bị đánh dấu là spam, nhất là các file được đính kèm trong đó. Trừ trường hợp bạn chắc chắn nguồn gửi an toàn.
- Khi tải phần mềm, cần lựa chọn tải từ các nguồn chính thống, rõ ràng. Không nên tải các phần mềm reupload hoặc phần mềm lậu, phần mềm vi phạm bản quyền.
- Không nên nhấp vào quảng cáo dạng pop-up trên các website không uy tín.
- Nên sử dụng phần mềm diệt virus có bản quyền, uy tín và luôn bật chế độ phòng chống chủ động theo thời gian thực (real-time protection).
Lời kết
Hy vọng bài viết trên sẽ giúp bạn hiểu thêm về virus đào coin. Khi sử dụng máy tính, bạn hãy thật cẩn thận trước những hacker chuyên lợi dụng CPU, GPU để đào coin, vắt kiệt công suất của máy tính bạn nhé. Nếu có đóng góp hay thắc mắc, mời bạn bình luận phía dưới bài viết này để được hỗ trợ giải đáp nhanh chóng. Vietnix xin chân thành cảm ơn bạn.
ở mục check virus bằng cmd mình nhập theo lệnh của ad và nó hiện ra 1 list dài ip thì đó là dấu hiệu gì thế ạ
Hi Khang,
Tình trạng này chỉ là danh sách kết nối mạng hiện tại của máy tính nên không ảnh hưởng gì đâu nhé.
Cho em hỏi 2 cái lệnh đầu trong cách diệt virus là làm thế nào ạ