‼️Перевірте свій Clash For Windows ‼️ Сьогодні мій новий комп'ютер, який я встановив менше ніж тиждень тому, заразився вірусом, на щастя, активи не були вкрадені, наразі я вже змінив гаманець.

Виявлення причини сталося через те, що вдень комп'ютер працював, а я грав на телефоні. Піднявши голову, я помітив, що миша рухається, і комп'ютер перейшов на сторінку, де потрібно ввести PIN-код. Я думав, що миша зламалася, намагався контролювати, але виявив, що хтось інший намагається натиснути на правий нижній кут екрану. Не встиг зрозуміти, що він робить, рука була швидшою за голову, і я прямо натиснув на корпус комп'ютера, щоб примусово перезавантажити.

Оскільки апаратне забезпечення та система комп'ютера (образ, завантажений з офіційного сайту) встановлені мною, нове програмне забезпечення на комп'ютері не так багато, тому легше знайти причину проблеми, можливо, це деяке програмне забезпечення, завантажене з неофіційних джерел.

Потім я завантажив Huorong і 360 і кілька разів провів глибоке сканування, отримавши наступні проблемні файли:

Можна помітити, що основними є два виконувані файли: один у каталозі clash for windows - facation.exe, а інший у прихованій папці в ~/Vedios - enqucz.exe. Оскільки clash for win вже давно видалили базу даних, я продовжую його використовувати просто з звички. Кілька днів тому, коли я завантажував, я насправді також думав, що можуть виникнути проблеми, але не звернув на це уваги, не очікуючи, що так швидко все піде шкереберть.

У мене на іншому комп'ютері з такою ж версією clash for win немає файлу з назвою facation. Відкрив everything для пошуку і побачив, що він детально зберіг мої пов'язані записи chrome:

У кожній папці є файли log, які містять багато моїх інформацій про перегляд, такі як інформація про відкриті веб-сторінки тощо (файли досить великі, не знаю, яка у них кодування, поки не знайшов, чи є там інформація про приватний ключ), дуже-дуже страшно!

Інший файл enqucz.exe захований дуже глибоко, не в каталозі clash, а прихований у каталозі Vedio (в моєму комп'ютері немає жодного відео). Можна побачити, що дата створення цього файлу дуже близька до файлів, пов'язаних з facation.exe, обидва - 7 липня ввечері. І цей файл знаходиться в прихованій папці, навіть якщо комп'ютер відкритий, щоб показати приховані файли або ввести команду ls, його не видно, тільки введення Get-ChildItem -Force в PowerShell дозволяє його побачити.

Тож вірусна програма, мабуть, почала діяти з того моменту, коли я приблизно 7 липня встановив clash for win (оскільки кілька разів перевстановлював, не дуже пам'ятаю джерело), вона приховано працювала на комп'ютері, а потім з учорашнього вечора я почав помічати деякі аномалії, а саме: пам'ять chrome займала надто багато місця і в певний момент раптово піднімала процесор до 100%, просто подумав, що якийсь плагін має помилку, тому не звертав на це особливої уваги, а потім сьогодні вдень комп'ютер було віддалено контрольовано.

Обробка після: антивірусне програмне забезпечення просканувало диск кілька разів, вимкнуло всі служби віддаленого управління Windows, видалило всі файли, пов'язані з clash, і скопіювало інсталятор Clash Verge (офіційний репозиторій) з флешки, відформатованої на іншому комп'ютері. Після перенесення активів з гаманець і відключення інтернету змінив PIN-код комп'ютера, інші паролі для входу, оскільки більшість з них мають 2FA, тому вважаються відносно безпечними. Пізніше потрібно знайти час для перевстановлення системи. (Думаючи про необхідність перенастроїти середовище розробки, стає неприємно)

Насамкінець, я рекомендую всім друзям web3 не завантажувати жодне програмне забезпечення для комп'ютера з неофіційних джерел, особливо якщо це стосується браузерів/клавіатур/програм для проксі/соціальних мереж.