Гид по технологиям

Удаление вируса Fractureiser из модов Minecraft

8 min read Безопасность Обновлено 30 Dec 2025
Удаление вируса Fractureiser из модов Minecraft
Удаление вируса Fractureiser из модов Minecraft

Человек использует тачпад на компьютере Mac

Краткое определение

Fractureiser — вредоносный мод, распространявшийся как «обновления» модпаков и плагинов на платформах моддинга. При запуске заражённой копии Minecraft он сканирует систему, внедряет код в .jar-файлы и пытается похитить учётные данные и другую конфиденциальную информацию.

Что такое Fractureiser

Fractureiser распространялся через подставные аккаунты, которые загружали заражённые файлы как обновления к популярным модпакетам, модам и плагинам Bukkit. Сообщалось, что несколько десятков популярных проектов оказались заражены, а тысячи загрузок происходили до обнаружения инцидента.

Вредоносный код активируется при запуске Minecraft: после старта он просматривает систему в поисках .jar-файлов, внедряется в них и осуществляет попытки кражи данных — криптокошельков, логинов Microsoft/Xbox Live, данных Discord и логинов Minecraft. Полная нагрузка вируса зависит от удалённых серверов; на момент расследования часть серверов была выведена из сети, но риск повторной активации остаётся.

Важно: если вы используете моды с CurseForge или CraftBukkit, проверьте свои файлы независимо от того, обновляли вы их недавно или нет. Вредоносные файлы могли появляться в репозиториях с середины апреля и дольше.

Как понять, заражён ли компьютер

Признаки возможной компрометации:

  • Наличие неизвестных или недавно изменённых .jar-файлов в директориях с модами.
  • Неожиданная активность сети при запуске Minecraft (входящие/исходящие соединения к неизвестным серверам).
  • Сомнительные обновления в списке недавно установленных файлов от аккаунтов, которые вы не распознаёте.
  • Неожиданные запросы на смену паролей или попытки доступа к связанной с игрой почте/аккаунтам.

Рекомендации по проверке:

  • Запустите официальные скрипты и инструменты обнаружения. Prism Launcher опубликовал скрипты для Windows и Linux, которые автоматически ищут паттерны, связанные с Fractureiser.
  • Используйте Neko Detector (MCRcortex) для поиска заражённых .jar-файлов на диске и в архивах.
  • Перед загрузкой модов проверяйте их через Fractureiser Web Scanner на GitHub — это даёт дополнительный уровень защиты, хотя сканер не гарантирует стопроцентную точность.

Важно: Windows и Linux особенно подвержены риску — уделите этим системам приоритетное внимание.

Панорамный вид ландшафта Minecraft

Image Credit: Blake Patterson/ Flickr CC BY 2.0

Пошаговое удаление вируса

Если инструмент подтвердил наличие Fractureiser, действуйте как при серьёзном компрометации.

  1. Изолируйте машину

    • Отключите компьютер от интернета и локальной сети.
    • Отключите внешние накопители и сетевые диски до проверки.

  2. Полная оценка состояния

    • Запустите Neko Detector и другие проверенные сканеры на заражение .jar-файлов.
    • Соберите список обнаруженных файлов и их путей, дату модификации и источники загрузки.

  3. Создание безопасной резервной копии

    • Скопируйте важные документы и личные файлы на внешний носитель.
    • Перед восстановлением данных с внешнего носителя обязательно просканируйте его Neko Detector — заражённые .jar в бэкапе вернут проблему.

  4. Переустановка операционной системы

    • Самый надёжный путь — форматирование системного диска и чистая установка ОС.
    • При невозможности полного форматирования рассмотрите восстановление из образа, созданного до момента первого заражения.

  5. Восстановление данных

    • Перед копированием файлов на чистую систему просканируйте всё на внешнем носителе.
    • Восстанавливайте только необходимые файлы; избегайте восстановления старых исполняемых файлов и модов без проверки.

  6. Обновление паролей и проверка аккаунтов

    • С другого, гарантированно чистого устройства поменяйте пароли к почте, Microsoft/Xbox, Discord, криптокошелькам и другим важным сервисам.
    • Включите двухфакторную аутентификацию (2FA) везде, где это возможно.
    • Проверьте сессии и историю входов в учётных записях; завершите все подозрительные сессии.

  7. Обновление средств защиты

    • Обновите антивирус, включите автоматическое обновление.
    • По возможности используйте дополнительные инструменты контроля целостности файлов и мониторинга соединений.

Важно: даже после удаления вируса потенциально скомпрометированные учётные данные могут быть утрачены — меняйте пароли и проверяйте активность аккаунтов.

Playbook для быстрого реагирования

  • Непосредственные действия (0–2 часа): изоляция, первичное сканирование, сбор артефактов (списки файлов, логи, хэши).
  • Краткосрочные (2–24 часа): создание и проверка бэкапов, уведомление ключевых пользователей, блокировка подозрительных аккаунтов.
  • Среднесрочные (1–7 дней): переустановка ОС на затронутых машинах, смена паролей и пересмотр политики доступа.
  • Долгосрочные (недели): аудит процессов обновления модов, внедрение CI/CD и проверок целостности для автосборок модов, обучение сообщества.

Ролевые чеклисты

Для конечного пользователя:

  • Проверить моды Prism Launcher скриптом.
  • Сканировать бэкапы Neko Detector перед восстановлением.
  • Поменять пароли с чистого устройства.
  • Включить 2FA.

Для администратора сервера/комьюнити:

  • Удалить подозрительные версии модов и заблокировать аккаунты загрузчиков.
  • Просканировать серверные и резервные копии на предмет заражённых .jar.
  • Уведомить пользователей и опубликовать инструкцию по проверке и восстановлению.

Для автора мода:

  • Проверить историю версий, откаты и доступы к аккаунту разработчика.
  • Включить 2FA и сменить пароли разработческих аккаунтов.
  • Пересмотреть процесс релизов: только зафиксированные сборки, контроль доступа и автоматизированный CI.

Технические способы проверки и ручная проверка

  • Проверка .jar-файлов вручную: .jar — это zip-архив. Можно распаковать файл и просмотреть классы и метаданные. Обратите внимание на неизвестные классы, подозрительные манифесты или встраиваемые скрипты.
  • Сетевой мониторинг: запустите Minecraft с чистым набором модов в песочнице и наблюдайте исходящие соединения. Любая попытка связи с неизвестными серверами — повод для подозрения.
  • Автоматические сканеры: используйте авторитетные проекты (Prism Launcher, Neko Detector, Web Scanner). Они ищут байткодовые последовательности и типовые индикаторы внедрения.

Ограничение: ручная проверка требует знаний Java/архивов и даёт лучший результат в паре с автоматическими инструментами.

Ментальные модели и эвристики безопасности

  • Принцип минимального доверия: относитесь к обновлениям как к исполняемому коду — не доверяйте слепо.
  • Обновления — это поставка исполняемого кода: те же правила, что для системных обновлений, применимы к модам.
  • Разделение окружений: держите игры/моды в отдельном профиле/песочнице от рабочих и банковских задач.

Профилактика для мододелов и сообществ

  • Включите двухфакторную аутентификацию и сильные пароли для аккаунтов, которые публикуют релизы.
  • Применяйте проверку целостности релизов: подписи, хэши SHA-256, подписанные сборки.
  • Используйте закрытый процесс сборки: используйте CI, чтобы сборки были воспроизводимы и проверяемы.
  • Ограничивайте доступ к аккаунтам публикации минимумом доверенных лиц.

Когда полные переустановки не обязательны

Counterexample: если сканеры дали ложноположительный результат для модов, которые вы можете легко заменить их последними чистыми релизами и нет признаков сетевой активности/сбора учётных данных, то может быть достаточно удалить заражённые моды, заменить их и менять пароли. Однако при любом сомнении лучше действовать консервативно.

Критерии приёмки после очистки

  • Все найденные заражённые .jar удалены или заменены чистыми версиями.
  • Neko Detector и другие сканеры возвращают «чисто» при двух независимых проверках.
  • Пароли уязвимых аккаунтов изменены с чистого устройства и включена 2FA.
  • Нет подозрительной сетевой активности при запуске Minecraft.

Матрица риска (качественная)

  • Высокая вероятность × Высокое воздействие: заражённые компьютеры без 2FA и с сохранёнными паролями в браузере — критично.
  • Средняя вероятность × Среднее воздействие: пользователи, скачавшие моды, но не запускали их — требуется проверка и замена файлов.
  • Низкая вероятность × Низкое воздействие: пользователи, которые использовали только официальные, давно проверенные сборки.

Митигаторы: проверка сканерами, изоляция, переустановка ОС, смена паролей, 2FA.

Конфиденциальность и юридические замечания

Если вы храните или обрабатываете персональные данные пользователей (электронные адреса, платежные данные), рассматривайте инцидент как потенциальную утечку. В зависимости от юрисдикции могут действовать требования уведомления пользователей и регуляторов (например, GDPR для ЕС). Консультируйтесь с юридическим советником при масштабных инцидентах.

Быстрая шпаргалка по предотвращению заражения

  • Скачивайте моды только из проверенных источников и от проверенных авторов.
  • Перед установкой сканируйте .jar и архивы инструментами, рекомендованными сообществом.
  • Храните резервные копии важных данных, но всегда сканируйте бэкапы перед восстановлением.
  • Запускайте Minecraft в отдельном профиле/песочнице и избегайте использования учётных данных из браузера в этом профиле.

Пример плана уведомления сообщества

  1. Объявление о проблеме: кратко описать риск и инструменты проверки.
  2. Инструкция для проверки: ссылки на Prism Launcher скрипты, Neko Detector и Web Scanner.
  3. Рекомендации: смена паролей, проверка бэкапов, временная приостановка загрузок модов.
  4. Обновления: публикуйте статус расследования и списки подтверждённых заражённых релизов.

Заключение

Fractureiser — пример того, как злоумышленники используют доверие к обновлениям модов. Самое безопасное поведение — регулярная проверка модов автоматизированными инструментами, изоляция игровых профилей и резервное копирование пользовательских данных с последующей проверкой. При подтверждённой инфекции действуйте быстро: изолируйте систему, сделайте проверенные бэкапы, переустановите ОС и смените пароли с чистого устройства.

Важно: даже если часть инфраструктуры злоумышленников отключена, уязвимые файлы могут оставаться в свободном доступе — проверяйте и удаляйте заражённые файлы проактивно.

Краткое объявление для сообщества (100–200 слов):

Fractureiser — вредоносный мод, обнаруженный в релизах на CurseForge и CraftBukkit. Если вы используете моды из этих источников, пожалуйста, немедленно проверьте свои файлы: используйте скрипты Prism Launcher и Neko Detector, избегайте восстановления неподтверждённых бэкап-архивов и смените пароли с чистого устройства. При подтверждённой инфекции рекомендуется переустановить ОС и уведомить других участников сообщества. Публикуйте результаты проверок и список подозрительных релизов, чтобы помочь уменьшить распространение угрозы.

Mermaid диаграмма принятия решения

flowchart TD
  A[Есть подозрение на Fractureiser?] -->|Да| B[Отключить сеть]
  A -->|Нет| Z[Обычный мониторинг]
  B --> C[Запустить Prism Launcher скрипт]
  C --> D{Найдено заражение?}
  D -->|Да| E[Скопировать важные данные и сканировать бэкап]
  E --> F[Переустановить ОС и сменить пароли]
  D -->|Нет| G[Проверить моды через Web Scanner и Neko Detector]
  G --> H{Чисто?}
  H -->|Да| I[Вернуться к обычному использованию]
  H -->|Нет| E

Последнее примечание: используйте представленные инструменты и руководства от проверенных проектов, публикуйте найденные артефакты (хэши, пути) для сообщества и, при необходимости, обращайтесь к профильным специалистам по инцидентам безопасности.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Galaxy AI на Samsung S24: практическое руководство
Гайды

Galaxy AI на Samsung S24: практическое руководство

Как настроить заставку на Mac
macOS

Как настроить заставку на Mac

Как отправить большие файлы по почте
Электронная почта

Как отправить большие файлы по почте

Как пользоваться Battery Share на Google Pixel
Смартфоны

Как пользоваться Battery Share на Google Pixel

Синхронизация буфера обмена Android и Windows
Утилиты

Синхронизация буфера обмена Android и Windows

Как настроить VPN на Android
Безопасность

Как настроить VPN на Android