AVG Signal-blog Beveiliging Virussen Wat is een ‘minervirus’ en hoe kunt u het verwijderen?
Cryptojacking-Hero

Wat is ‘cryptojacking’?

Bij cryptojacking wordt de besturing van iemands computer overgenomen en wordt deze gebruikt om stiekem cryptomunten te delven (‘minen’). 

Er is steeds meer rekenkracht nodig om cryptomunten als bitcoins te delven en dus zoeken miners naar nieuwe manieren om meer rekenkracht in te zetten. Dat doen ze onder meer door de rekenkracht te ‘lenen’ van duizenden argeloze internetgebruikers.

Dit artikel omvat:

    In 2017 werden bitcoins ongelooflijk lucratief. Toen steeg de prijs namelijk naar een ongekende hoogte van 20.000 dollar per munt. Het staat vast dat persoonlijke apparaten dat jaar meer bezig waren met het delven van cryptomunten dan met iets anders. Digitaal geld had internet veroverd en reken maar dat er mensen zijn die gewetenloze manieren hebben gevonden om daarvan te profiteren. 

    Een bitcoin-minervirus kan zo agressief zijn dat het uw batterij in mum van tijd leegtrekt, uw computer gedurende lange tijd onbruikbaar maakt en de levensduur van uw apparaat verkort.

    Eén gevolg was de ontwikkeling van malware waarmee bitcoin wordt ontgonnen. Hackers hebben manieren bedacht om rekenkracht te stelen van computers die door mensen als u worden gebruikt. Vermenigvuldig die rekenkracht met duizenden en u ziet dat de kans op succesvolle ontginning aanzienlijk toeneemt. Waar het om gaat, is dat dit veel goedkoper is dan het gebruik van tientallen, vele duizenden dollars kostende ASIC-miners (de traditionele manier om cryptovaluta te delven).

    Wat merkt u van cryptojacking?

    Degene die uw computer infecteert met malware om cryptomunten te ontginnen doet dat alleen om er geld mee te verdienen. Strikt genomen zijn cryptojackers er niet op uit uw privégegevens te lezen of te delen.

    Maar cryptojackers gebruiken wel zonder uw medeweten of goedkeuring de verwerkingskracht van uw systeem. Een bitcoin-minervirus kan zo agressief zijn dat het uw batterij in mum van tijd leegtrekt, uw computer lange tijd onbruikbaar maakt en de levensduur van uw apparaat verkort. Bovendien gaat uw energierekening omhoog en uw productiviteit omlaag. Je kunt gerust stellen dat dit een lek in de beveiliging vormt.

    Overigens komt het zelden voor dat cryptojacking wordt gebruikt om bitcoins te delven. Het delven van bitcoins vergt enorm veel rekenkracht en cryptojacking is daar simpelweg niet geschikt voor. Maar omdat de ‘bitcoin’ de bekendste cryptovaluta is, wordt de term soms gebruikt voor alle soorten digitale valuta's. Zo is ook ‘bitcoin-minervirus’ een containerbegrip. 

    Alleen kleinere cryptomunten als Monero kunnen uit de voeten met alledaagse hardwarespecificaties, wat ze geschikt maakt voor toepassing van cryptojackingmalware. Daarnaast helpt het dat Monero-transacties niet te traceren zijn. Dat maakt Monero tot een ideaal doelwit voor dit soort cybercriminaliteit. Uiteindelijk maakt het echter niet uit wat voor miner uw systeem heeft geïnfecteerd. U wilt er onmiddellijk vanaf en daarvoor hebt u een krachtig antivirusprogramma nodig. 

    AVG AntiVirus FREE detecteert en blokkeert alle soorten malware-infecties, van cryptojacking tot spyware en alle gangbare virussen. Download het programma vandaag nog voor permanente onlinebescherming.

    Verschillende soorten minervirussen

    Uw computer kan op tal van manieren gekaapt worden, die verschillen qua traceerbaarheid. We staan even stil bij de twee meest gangbare methoden.

    Minervirussen in de browser

    Vaak gebruiken cryptojackers websitescripts om uw computer te kapen. Aangezien scripts uit het zicht worden uitgevoerd en een zekere mate van toegang hebben tot uw computer, zijn ze ideaal voor ontginnen van bitcoins via de browser. Het is bekend dat hackers achterdeurtjes hebben gevonden in WordPress-databases en de programmacode ook daar uitvoeren. 

    U hoeft alleen maar een bepaalde website te bezoeken zonder bescherming (of met verouderde software). Vervolgens geeft een onzichtbaar script uw computer opdracht met delven te beginnen. Dit is gewoonlijk alleen het geval bij verdachte websites en daarom is het zo belangrijk ervoor te zorgen dat de websites die u bezoekt veilig zijn. Nu is het bekend dat zelfs gerenommeerde sites soms ten prooi vallen aan aanvallen, zoals we verderop zullen zien. In het gunstigste geval wordt met delven gestopt zodra u de site verlaat of de browser sluit. 

    Slachtoffers van cryptojacking kunnen ervan uitgaan dat de rekenkracht van hun CPU tot het uiterste wordt belast.

    Verder kunnen hackers bijlagen bij e-mail en twijfelachtige koppelingen inzetten om uw computer schadelijke programmacode te laten uitvoeren. Let erop dat u e-mail altijd grondig controleert voordat u ergens op klikt. Wees op uw hoede voor Facebook of andere platforms die zonder reden om uw wachtwoord vragen. Wees ook wantrouwig bij knoppen die aangeven dat u Firefox of Chrome moet bijwerken. Als het bericht niet van de officiële website komt, kan het best zijn dat er miningsoftware in uw browser wordt geïnstalleerd wanneer u op de knop klikt. En vermoedelijk verdwijnt die software niet wanneer u de browser sluit. 

    Slachtoffers van cryptojacking kunnen ervan uitgaan dat de rekenkracht van hun CPU tot het uiterste wordt belast. Ook ‘GPU exploitation’ komt voor. Daarbij wordt de capaciteit van krachtige videokaarten aangesproken. Dit leidt tot verslechterende computerprestaties en een hogere energierekening. Dit klinkt minder erg dan bijvoorbeeld identiteitsdiefstal. Toch is het wel degelijk een beveiligingsprobleem waartegen u zich moet beschermen.

    Bitcoinminers-adware

    Bitcoinminers-adware is een ander soort cryptojackingmalware. Wanneer uw computer eenmaal geïnfecteerd is met bitcoinminers-adware, is er een programma geïnstalleerd of wordt er programmacode bewaard in het RAM-geheugen. Dat maakt deze adware veel gevaarlijker dan andere vormen van cryptojacking.

    Deze vorm van adware nestelt zich diep in uw systeembestanden en kan zo uw antivirussoftware uitschakelen. Daarnaast zorgt de adware ervoor dat er altijd een kopie van zichzelf op de computer is geïnstalleerd en kan zelfs detecteren wanneer u het venster Taakbeheer opent, zodat het zijn activiteiten tijdelijk kan stilleggen. U ziet dus nooit een piek in het CPU-gebruik en ook de naam van het programma dat al uw rekenkracht opslurpt, blijft aan het zicht onttrokken. 

    Soms doet een minervirus zich voor als bestandsloze malware: opdrachten worden uitgevoerd vanuit het geheugen of via essentiële bewerkingen van het besturingssysteem. Daardoor is het veel moeilijker te detecteren.

    Het is een slechte zaak dat de rekenkracht van iemands computer zonder diens toestemming wordt gebruikt en dat de productiviteit en de levensduur van diens hardware worden aangetast. Nog erger en hinderlijker is het dat deze adware zich diep in de computer nestelt, de functionaliteit ervan beperkt en al zijn sporen verbergt.

    Als u onlangs een programma hebt gedownload dat leek op de officiële versie maar in werkelijkheid iets anders was, heeft u misschien wel cryptovalutamalware geïnstalleerd. Een voorbeeld daarvan is Auto Refresh Plus, dat zichzelf vermomt als een verplichte update voor Mozilla Firefox. Zodra dit programma geïnstalleerd is, begint het op de achtergrond cryptomunten te delven en bombardeert u tegelijkertijd met ongewenste advertenties. U hebt een antimalwareprogramma nodig om het programma van uw systeem te verwijderen.

    Bekende cryptojackers

    Er zijn enkele namen die u moet kennen als u op de hoogte wilt blijven van het fenomeen cryptojacking. Coinhive is een voorbeeld van een service die met de beste bedoelingen cryptomunten probeerde te delven, maar uiteindelijk misbruikt werd. RoughTed, een heel ander fenomeen, is de overkoepelende term voor een cybercrimecampagne met tal van verschillende illegale activiteiten. Hoe zit dat?

    Wat is Coinhive?

    Coinhive begon als legitiem alternatief voor reclame. Daarbij werd opbrengst gegenereerd met de rekenkracht van uw pc terwijl u een webpagina bezocht. Het idee was prima. Een script op de website gaf uw computer opdracht de cryptovaluta Monero te delven. Als tegenprestatie hoefde de website geen advertenties te tonen! 

    Het had veel potentiële toepassingen. UNICEF Australië haalde donaties op met het bericht ‘Give hope, just by being here’ op een pagina waar Coinhive werd uitgevoerd. Zolang de pagina was geopend in de browser, werd er doorlopend Monero gedolven en werden er donaties gegenereerd. 

    Oorspronkelijk was het de bedoeling dat Coinhive slechts een gedeelte van de rekenkracht zou gebruiken. Cryptojackers wilden echter alles uit de kast halen, waardoor de computer zo traag werd dat hij onbruikbaar werd.

    Wat ging er mis? Enkele slechteriken gebruikten de technologie voor hun eigen gewin. Coinhive kwam steeds vaker voor op gehackte websites. Oorspronkelijk was het de bedoeling dat Coinhive slechts een gedeelte van de rekenkracht zou gebruiken. Cryptojackers wilden echter alles uit de kast halen, waardoor de computer zo traag werd dat hij onbruikbaar werd. 

    De NHS (National Health Service) in het Verenigd Koninkrijk werd met de neus op de feiten gedrukt toen werd ontdekt dat hun toegankelijkheidsfunctie BrowseAloud, waarmee de inhoud van websites werd voorgelezen voor blinden, geïnfecteerd was met Coinhive om Monero te delven. Dat verhoogde het CPU-gebruik, maar het beveiligingslek zelf was nog veel verontrustender. Er hadden namelijk gigantisch veel privégegevens kunnen uitlekken.

    De ontwikkelaars van reclamefilters en antivirussoftware konden niet achterblijven: ze moesten voorkomen dat deze scripts werden uitgevoerd. Cryptojacking was duidelijk uitgegroeid tot een gevaar voor de beveiliging. Hoe het ook werd gebruikt, het was voor websites eenvoudigweg te makkelijk om zonder toestemming te delven.

    Bovendien vroegen de services die op een ethische manier cryptomunten wilden delven nog steeds niet om toestemming. Daardoor haakten vele potentiële voorstanders af. Dat gebeurde ook met de peer-to-peer site voor bestandsuitwisseling, The Pirate Bay. Daar werden banneradvertenties stiekem vervangen door Coinhive. Daar kwam nog bij dat The Pirate Bay Coinhive niet goed had geconfigureerd, waardoor gebruikers een enorme piek zagen in het CPU-gebruik bij een bezoek aan de site. 

    The Pirate Bay kreeg een hoop negatieve reacties. Doordat de technologie op zoveel verschillende manieren werd misbruikt, had cryptomining als alternatief voor advertenties afgedaan. Coinhive stopte ermee in 2019.

    Wat is RoughTed?

    RoughTed is een georganiseerde cybercrime-campagne die de cyberbeveiligingswereld totaal op zijn kop heeft gezet. Stel, er is malware die profiteert van iets wat we elke dag op internet zien: advertenties. Als hackers konden profiteren van advertentienetwerken van derden die advertenties verspreiden over internet, was hun werk al half gedaan. Bij een aanval van dergelijke afmetingen zou niet alleen een groot aantal mensen worden getroffen, maar zou detectie ook makkelijk omzeild kunnen worden.

    Helaas is deze vorm van cybercriminaliteit inmiddels werkelijkheid. Dat heet malvertising. Via websites overal op internet laten advertenties computers cryptomunten ontginnen. 

    Hoe kan iemand een advertentienetwerk ertoe bewegen verdachte advertenties te verspreiden?

    • Gebruik camouflage. Schrijf op het oog onschuldige programmacode. Programmeertalen zijn ook maar talen. Bij malvertisingcampagnes worden bepaalde filters omzeild door programmacode te herschrijven.

    • Gebruik malafide netwerken. Er zijn netwerken die advertenties voor The New York Times tonen en netwerken die advertenties voor goksites of pornosites tonen. Wat denkt u: welke sites bekommeren zich meer om de gevolgen van hun advertenties voor hun gebruikers? The New York Times zet zijn reputatie liever niet op het spel, maar zolang een goksite eraan kan verdienen, dondert het niet wat voor soort advertentie er te zien is.

    • Zorg dat de advertenties er legitiem uitzien. Misschien is er een verband is tussen het uiterlijk van de advertentie en wat er achter de schermen gebeurt? Dat is er niet. De advertentie kan voor van alles reclame maken, er fris en elegant uitzien en toch schadelijke programmacode bevatten.

    • Span een bestaand advertentienetwerk voor je karretje. Legitieme sites als die van The New York Times zijn niet helemaal immuun. Zo werden op de site van The New York Times in 2016 ongewild schadelijke advertenties getoond, die allemaal afkomstig waren van een gekraakt advertentienetwerk. Het is nog steeds niet gelukt RoughTed te stoppen, ook al doet het distributienetwerk van Amazon nu het werk voor hen.

    • Leid de gebruikers om. Doorgaans komen mensen door omleiding in contact met de malware. Er wordt een script uitgevoerd dat de gebruiker naar een schadelijke server stuurt, iets wat alleen werkt als er verouderde software wordt gebruikt. Bij veel gebruikers richt de advertentie geen schade aan. Dat bemoeilijkt de opsporing.

    • Blijf gebruikers omleiden. Met een eindeloze reeks omleidingen (of een aantal legitiem uitziende) kun je verdachte activiteiten verbergen. Dat geldt voor slachtoffers en voor hosts.

    Op die manier is cryptojacking erin geslaagd zich over het hele internet te verspreiden. Helaas is cryptojacking slechts een van de minder kwalijke aanvallen die door RoughTed worden uitgevoerd. Het is ook bekend dat de campagne persoonlijke gegevens in gevaar brengt en apparaten infecteert met traagmakende malware. Daarom is het belangrijk te weten hoe u cryptojacking en andere malware kunt opsporen en tegenhouden.

    Hoe weet u of uw computer geïnfecteerd is?

    Als u wilt nagaan of u geïnfecteerd bent, moet u allereerst de temperatuur van de CPU controleren. Hoog CPU-gebruik is meestal een duidelijk signaal dat er iets mis is. Bij een cryptojacking-infectie werkt uw computer veel langzamer dan gebruikelijk en klinkt de ventilator als een vliegtuigmotor bij het opstijgen. Dat is de cryptojackingsoftware die alle rekenkracht van uw computer gebruikt om cryptomunten te delven. Als u het zeker wilt weten, opent u Taakbeheer en kijkt u op het tabblad Prestaties. Kijk daarbij vooral naar de CPU. Als het CPU-gebruik uitkomt op 80 of 90% zonder dat er programma's actief zijn, is er zeker iets aan de hand.

    The "Performance" tab showing CPU performance in Windows Task Manager.

    Daarnaast moet u weten hoe u bitcoinminers kunt herkennen. Overmatig gebruik van CPU en GPU vertraagt de verwerking door het systeem en kan er zelfs toe leiden dat het apparaat oververhit raakt. Bij het opsporen van bitcoinmining-malware gaat het er niet alleen om deze sta-in-de-weg te verwijderen. De levensduur van uw apparaat staat op het spel. De Android-malware Loapi Monero-mining veroorzaakte genoeg oververhitting om apparaten te beschadigen.

    Heimelijke cryptovalutaminers kunnen zich ook voordoen als adware. Let op de kenmerkende signalen die aangeven dat u adware hebt. Dat zijn onder andere, zoals de naam aangeeft, advertenties die opduiken waar dat niet zou moeten en een webbrowser die een eigen wil aan de dag legt, wat blijkt doordat er bijvoorbeeld nieuwe werkbalken worden geïnstalleerd of vreemde sites bezocht.

    Bitcoinminer-virussen verwijderen

    De stappen voor het verwijderen van bitcoinminers komen grotendeels overeen met die voor het verwijderen van andere malware

    U begint door een betrouwbaar antivirusprogramma te starten. AVG AntiVirus FREE is een cyberbeveiligingstool van topklasse, waarmee u malware kunt verwijderen en toekomstige infecties blokkeren. Wij laten u zien hoe u het programma optimaal gebruikt om alle irritante minervirussen van uw computer te verwijderen. Download en installeer AVG AntiVirus Free nu. Dan kunt u beginnen.

    1. Open AVG AntiVirus FREE. U kunt op Slimme scan uitvoeren klikken, maar het is misschien beter om een ander soort scanbewerking te proberen. Minervirussen zijn namelijk meesters in camouflage. Klik op de drie puntjes naast ‘Slimme scan uitvoeren’ om een ander soort scanbewerking te starten.

      The main window for AVG Free Antivirus, with "Run Smart Scan" and the three dots next to it circled.

    2. Kies Opstartscan. Bij deze diepe scanbewerking wordt gezocht naar meer verborgen dreigingen.

      The three dots next to Run Smart Scan have been clicked, and different scan options are shown.

    3. Bekijk de opties. Schuif omlaag en bevestig.

      The options for a Boot-time scan are shown.

    4. Klik op Uitvoeren bij volgende opstartsessie om de volgende opstartscan te plannen.

      The final confirmation screen for Boot-time scan is shown; a big green button that says "Run on Next PC Reboot."

    5. Start de pc opnieuw op om de opstartscan uit te voeren. Als een minervirus of andere dreiging wordt ontdekt, kunt u die onmiddellijk verwijderen.

    6. AVG AntiVirus FREE scant uw apparaat regelmatig om u te beschermen tegen verdere infecties.

    Nu we het toch over goede beveiligingsgewoonten hebben, neem even de tijd om uw browse- en zoekgeschiedenis te wissen. Dat zijn bestanden die op uw computer worden opgeslagen en weergegeven wanneer u een site bezoekt, zodat u dezelfde bestanden niet nog een keer hoeft te downloaden. En nu u toch bezig bent, verwijder dan ook de browsercookies. Browsercookies maken het mogelijk uw gangen na te gaan. U moet vermijden dat schadelijke cookies zich op uw hardeschijfstation nestelen.

    U verdedigen tegen Coinhive en andere minervirussen

    Preventie is de beste verdediging tegen alle soorten malware. U kunt onder meer het volgen doen.

    • Vermijd merkwaardige koppelingen. Klik niet op URL's die er vreemd uitzien of waar spelfouten in staan. Als u twijfelt, kunt u de URL opzoeken met Google en de beschrijving op de resultatenpagina bekijken om te zien of de site te vertrouwen is of niet. Klik niet op willekeurige verkorte URL's, zoals in de commentaarsecties op YouTube.

    • Controleer e-mail grondig voordat u een bijlage opent of op een koppeling klikt. Kijk goed naar het e-mailadres om te zien of het misschien om een vervalst adres gaat. ‘Account-security@facebok.com’ is waarschijnlijk vervalst, want ‘Facebook’ is verkeerd gespeld. Ook typefouten of een vreemde schrijfstijl wijzen op frauduleuze e-mail. Daarnaast moet u altijd wantrouwig zijn tegenover phishing-mail waarin u wordt gevraagd om uw wachtwoord of andere persoonlijke gegevens.

    • Gebruik een browserinvoegtoepassing om mining tegen te gaan. Bepaalde invoegtoepassingen, zoals minerBlock, kunnen voorkomen dat websites uw computer dwingen om cryptomunten te delven. Voel een invoegtoepassing grondig aan de tand voordat u die installeert en zorg dat u krachtige antivirussoftware hebt om u te beschermen voor het geval invoegtoepassingen of apps schadelijk blijken te zijn.

    • Controleer Taakbeheer regelmatig. Op het tabblad Processen kunt u zien welke processen de meeste rekenkracht vragen. Internetbrowsers zijn daar te zien met het bijbehorend geheugengebruik, vooral als u veel tabbladen open hebt. Als er echter onverklaarbare activiteiten zijn of als het CPU-gebruik oploopt tot 90% terwijl er weinig tabbladen geopend zijn en andere programma's gesloten zijn, doet u er verstandig aan een en ander nader te onderzoeken.img_06

    Bescherm uzelf met krachtige antivirussoftware

    AVG AntiVirus FREE is uitzonderlijk robuuste beveiligingssoftware. Niet alleen beschermt het programma uw computer met beveiligingsupdates. Het controleert uw apparaat ook op malware en prestatieproblemen en onderschept schadelijke downloads voordat infecties de kans krijgen zich te nestelen.

    En dankzij het allernieuwste, verfrissend eenvoudige ontwerp beschermt AVG AntiVirus FREE u zonder u te hinderen. Download en installeer het vandaag nog om alle hierboven beschreven soorten malware te blokkeren, inclusief geniepige bestandsloze malware. Kies voor permanente bescherming, helemaal gratis.

    Bescherm uw iPhone tegen dreigingen met AVG Mobile Security

    Gratis installeren

    Bescherm uw Android-apparaat tegen dreigingen met AVG AntiVirus

    Gratis installeren