Tutkijat osoitteessa Avast löysivät haittaohjelmakannan joka muuttaa videopelirosvojen tietokoneet hiljaa salauksenvalmistuskoneiksi. Crackonoshiksi kutsutun haittaohjelman uhrit huomaavat usein, koska se pakottaa tietokoneet Windowsin vikasietotilaan ja poistaa virustorjuntaohjelmiston.
Cryptomining-haittaohjelmat käyttävät tietokoneen prosessointitehoa monimutkaisten pulmien ratkaisemiseen ja digitaalisen valuutan”kaivamiseen”, yleensä myötävaikuttaen hakkereiden tai rikollisryhmien hallitsemaan salauksenvalmistuslaitteisiin. Haittaohjelmien selvittäminen ei riko tietokonettasi, mutta se heikentää tietokoneen suorituskykyä, kuluttaa komponentteja ja hukkaa sähköä.
PC-pelaajat ovat täydelliset kohteet tälle haittaohjelman makulle, koska heidän tietokoneissaan on usein tehokkaat näytönohjaimet, jotka sopivat hyvin digitaalisen valuutan louhintaan. Lisäksi pöytätietokoneet ovat suosittuja pelaajien keskuudessa, joten hakkereilla on paremmat mahdollisuudet tartuttaa koneita, jotka on jätetty vuorokauden ympäri.
Avast sanoo tunnistaneensa 30 muunnelmaa haittaohjelmasta, vanhimmat versiot ovat peräisin vuodelta 2018. Kaikki Crackonoshin versiot kuitenkin noudattavat samaa perusprosessia.
Ensinnäkin uhri lataa säröillä olevan ohjelmiston (yleensä pelin) torrent-alustan, foorumin tai tiedostojen jakelusivuston kautta (Google Drive on suosittu vaihtoehto). Kun uhri yrittää asentaa tätä ohjelmistoa, se laukaisee tärkeimmän haittaohjelman suoritettavan tiedoston’serviceinstaller.exe’.
Haittaohjelma muokkaa sitten Windows-rekisteriä ja antaa itselleen luvan toimia vikasietotilassa ja pakottaa uhrin tietokoneen siirtymään vikasietotilaan seuraavan käynnistyksen yhteydessä. Koska virustentorjuntaohjelmisto ei toimi tässä tilassa, Crackonoshilla on mahdollisuus poistaa virustorjuntaohjelmisto tietokoneeltasi. Mielenkiintoista on, että haittaohjelma sijoittaa väärennetyn Windows Security-kuvakkeen uhrin tehtäväpalkkialustalle ja poistaa Windows-päivitykset käytöstä (todennäköisesti estää Windows Defenderin asentamasta uudelleen).
Lopuksi Crackonosh käyttää XMRig-ohjelmistoa, joka käyttää tietokonettasi Monero -digitaalivaluutan louhintaan.
Avast sanoo, että Crackonosh on tuottanut 2 miljoonan dollarin vastineen Moneron valuuttana hyödyntämällä uhrien tietokoneiden tehoa. Avastin tutkimuksen mukaan noin 1000 tietokonetta on saanut tartunnan päivässä, vaikka todellinen määrä voi olla paljon suurempi.
Crackonoshin poistaminen tietokoneelta on käytännön tehtävä. Jos epäilet, että tietokoneesi on saanut tartunnan, voit seurata poistovaiheita Avastin verkkosivustolla (Crackonoshin poisto-alaryhmän alla).
