Perfil de ameaça XMRig e ferramenta de remoção

Precisa de etapas manuais de limpeza no Windows para o vírus xmrig.exe, CPU alta ou uma infecção que volta depois de ser removida? Leia o guia de remoção do vírus XMRig.exe.

Por que atacantes escolhem Monero?

Monero é atraente para mineração baseada em CPU e oferece transações rápidas e mais difíceis de rastrear. Para criminosos, muitos dispositivos comprometidos podem gerar ganhos constantes sem uma infraestrutura cara de GPUs.

Como o XMRig se espalha?

Builds maliciosos do XMRig chegam por droppers, software crackeado, instaladores suspeitos, falsas atualizações, anexos de e-mail ou sistemas já comprometidos. Como a base legítima é aberta, grupos diferentes alteram configuração, nomes de arquivos e persistência com facilidade.

Análise do minerador XMRig

Após a execução, o malware costuma se desempacotar, gravar arquivos em Temp, AppData ou ProgramData e criar persistência por tarefas agendadas, serviços ou entradas de inicialização. Em seguida carrega configurações de mineração, como pool, carteira e limite de CPU, de infraestrutura de controle ou de configuração embutida.

/c schtasks /create /f /sc onlogon /rl highest /tn "svchost" /tr '"C:\Users\RDhJ0CNFevzX\AppData\Local\Temp\svchost.exe"' & exit

Efeitos de um minerador malicioso

O sintoma mais visível é CPU alta, geralmente com ventoinhas barulhentas, calor, lentidão e maior consumo de bateria. Notebooks e máquinas mal refrigeradas podem sofrer throttling ou instabilidade. Para etapas práticas no Windows sobre Modo de Segurança, tarefas agendadas, serviços e verificação final, use o guia vinculado.

Removedor de XMRig para Windows

Quando a atividade do XMRig é confirmada, o Gridinsoft Anti-Malware pode analisar o sistema Windows afetado, detectar componentes do minerador, revisar persistência suspeita e remover ameaças confirmadas. Esta página mantém o perfil técnico e os IoC; o guia do blog cobre a limpeza manual do Windows.

Como se proteger do XMRig

• Evite cracks, ativadores e instaladores que peçam para desativar a proteção.
• Revise novas entradas de inicialização, serviços e tarefas agendadas após instalar software desconhecido.
• Mantenha Windows, navegadores e ferramentas de segurança atualizados.
• Execute uma verificação completa de malware após downloads suspeitos.

XMRig IoC

Estes indicadores são exemplos observados em atividade maliciosa relacionada ao XMRig. Revise-os junto com a telemetria local antes de bloquear amplamente: a infraestrutura de mineração muda com frequência, enquanto hashes continuam úteis para triagem de arquivos e detecção histórica.

SHA256
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MD5

5906ac14bc45a1f39cb9eb790a1d3b27
0252b6575abd58fac21130cd75fc42a0
2a0d26b8b02bb2d17994d2a9a38d61db
52df19b9845a6da6197831525c7a1f01
5807efef92e20ffe074bbdc141cfbdad
6a292b8ab3ff79cefe5f8e42882885d2
22a9265676ffebc71d888f0c57af9fd1
47d02cfb4cdbccccbc35d082f5351dd1
e5e85cc9c86ad7362efc2255612db5c0
96c45411bcda48997ead1d0dd2aff484

IP addresses