‼️Проверьте свой Clash For Windows ‼️ Сегодня мой новый компьютер, который я установил менее недели назад, заразился вирусом, к счастью, активы не были украдены, в настоящее время я уже сменил Кошелек.

Причина обнаружения заключается в том, что после обеда компьютер был включен, а я играл на телефоне. Подняв голову, я заметил, что мышь движется, и компьютер попал на страницу, где нужно ввести PIN-код. Я подумал, что мышь сломалась, и попытался контролировать, но обнаружил, что кто-то другой пытается нажать на правый нижний угол фона. Не успев понять, что он делает, я, не раздумывая, нажал на корпус компьютера, чтобы принудительно перезагрузить его.

Поскольку оборудование и система компьютера (образ образа, загруженный с официального сайта) установлены мной самостоятельно, на новом компьютере не так много программ, что облегчает поиск проблемы, возможно, это программы, скачанные с неофициальных источников.

Затем я загрузил Huorong и 360 и несколько раз глубоко просканировал, получив следующие проблемные файлы:

Можно заметить, что основным образом это два исполняемых файла: один находится в каталоге clash for windows под названием facation.exe, другой - в скрытой папке ~/Vedios под названием enqucz.exe. Поскольку clash for win давно удалил базу данных, я продолжал использовать его просто из-за привычки. Когда я скачивал его несколько дней назад, я на самом деле уже думал, что могут возникнуть проблемы, просто не придал этому значения, и не ожидал, что так быстро все всплывет.

На другой компьютере с той же версией clash for win нет файла под названием facation. Открыв everything для поиска, я увидел, что он детально сохранил мои связанные с chrome записи:

В каждом из папок есть файлы логов, которые содержат много моих данных о просмотре, например, информацию об открытых веб-страницах и так далее (файлы довольно большие, не знаю, какая это кодировка, пока не нашел, есть ли там информация о приватных ключах), это очень-очень страшно!

Другой файл enqucz.exe спрятан очень глубоко, он не находится в каталоге clash, а скрыт в каталоге Vedio (в моем компьютере нет никаких видео). Можно увидеть, что время создания файла очень близко к связанным с ним файлам facation.exe, оба были созданы 7 июля в вечернее время. Более того, он находится в скрытой папке, и даже если на компьютере включено отображение скрытых файлов или введена команда ls, его невозможно увидеть; его можно увидеть, только введя Get-ChildItem -Force в PowerShell.

Поэтому вирусная программа, вероятно, была установлена с момента, когда я установил clash for win примерно 7 июля (так как я несколько раз устанавливал, не очень помню источник), она скрывалась на компьютере, а затем, начиная с вечера вчера, я заметил, что что-то не так: память Chrome занимает слишком много, и иногда процессор внезапно загружался до 100%. Я просто думал, что у какого-то плагина ошибка, поэтому не обратил на это внимания, а сегодня днем произошло удаленное управление компьютером.

Обработка после инцидента: антивирусное программное обеспечение просканировало диск несколько раз, отключило все службы удаленного управления Windows, удалило все файлы, связанные с Clash, и скопировало установочный файл Clash Verge (официальный репозиторий) с отформатированной флешки с другого компьютера. После перемещения активов из кошелька, отключив интернет, я изменил PIN-код компьютера, остальные пароли для входа, так как почти все имеют 2FA, поэтому относительно безопасны. Позже нужно будет найти время для переустановки системы. (Думать о необходимости перенастройки среды разработки не приятно)

В заключение, я настоятельно рекомендую всем друзьям из web3 не загружать никакое программное обеспечение для компьютера из неофициальных источников, особенно если это касается браузеров/клавиатурных раскладок/программ прокси/социальных сетей.