Удаление вируса Fractureiser из модов Minecraft

Краткое определение

Fractureiser — вредоносный мод, распространявшийся как «обновления» модпаков и плагинов на платформах моддинга. При запуске заражённой копии Minecraft он сканирует систему, внедряет код в .jar-файлы и пытается похитить учётные данные и другую конфиденциальную информацию.

Что такое Fractureiser

Fractureiser распространялся через подставные аккаунты, которые загружали заражённые файлы как обновления к популярным модпакетам, модам и плагинам Bukkit. Сообщалось, что несколько десятков популярных проектов оказались заражены, а тысячи загрузок происходили до обнаружения инцидента.

Вредоносный код активируется при запуске Minecraft: после старта он просматривает систему в поисках .jar-файлов, внедряется в них и осуществляет попытки кражи данных — криптокошельков, логинов Microsoft/Xbox Live, данных Discord и логинов Minecraft. Полная нагрузка вируса зависит от удалённых серверов; на момент расследования часть серверов была выведена из сети, но риск повторной активации остаётся.

Важно: если вы используете моды с CurseForge или CraftBukkit, проверьте свои файлы независимо от того, обновляли вы их недавно или нет. Вредоносные файлы могли появляться в репозиториях с середины апреля и дольше.

Как понять, заражён ли компьютер

Признаки возможной компрометации:

• Наличие неизвестных или недавно изменённых .jar-файлов в директориях с модами.
• Неожиданная активность сети при запуске Minecraft (входящие/исходящие соединения к неизвестным серверам).
• Сомнительные обновления в списке недавно установленных файлов от аккаунтов, которые вы не распознаёте.
• Неожиданные запросы на смену паролей или попытки доступа к связанной с игрой почте/аккаунтам.

Рекомендации по проверке:

• Запустите официальные скрипты и инструменты обнаружения. Prism Launcher опубликовал скрипты для Windows и Linux, которые автоматически ищут паттерны, связанные с Fractureiser.
• Используйте Neko Detector (MCRcortex) для поиска заражённых .jar-файлов на диске и в архивах.
• Перед загрузкой модов проверяйте их через Fractureiser Web Scanner на GitHub — это даёт дополнительный уровень защиты, хотя сканер не гарантирует стопроцентную точность.

Важно: Windows и Linux особенно подвержены риску — уделите этим системам приоритетное внимание.

Image Credit: Blake Patterson/ Flickr CC BY 2.0

Пошаговое удаление вируса

Если инструмент подтвердил наличие Fractureiser, действуйте как при серьёзном компрометации.

1. Изолируйте машину

   • Отключите компьютер от интернета и локальной сети.
   • Отключите внешние накопители и сетевые диски до проверки.

2. Полная оценка состояния

   • Запустите Neko Detector и другие проверенные сканеры на заражение .jar-файлов.
   • Соберите список обнаруженных файлов и их путей, дату модификации и источники загрузки.

3. Создание безопасной резервной копии

   • Скопируйте важные документы и личные файлы на внешний носитель.
   • Перед восстановлением данных с внешнего носителя обязательно просканируйте его Neko Detector — заражённые .jar в бэкапе вернут проблему.

4. Переустановка операционной системы

   • Самый надёжный путь — форматирование системного диска и чистая установка ОС.
   • При невозможности полного форматирования рассмотрите восстановление из образа, созданного до момента первого заражения.

5. Восстановление данных

   • Перед копированием файлов на чистую систему просканируйте всё на внешнем носителе.
   • Восстанавливайте только необходимые файлы; избегайте восстановления старых исполняемых файлов и модов без проверки.

6. Обновление паролей и проверка аккаунтов

   • С другого, гарантированно чистого устройства поменяйте пароли к почте, Microsoft/Xbox, Discord, криптокошелькам и другим важным сервисам.
   • Включите двухфакторную аутентификацию (2FA) везде, где это возможно.
   • Проверьте сессии и историю входов в учётных записях; завершите все подозрительные сессии.

7. Обновление средств защиты

   • Обновите антивирус, включите автоматическое обновление.
   • По возможности используйте дополнительные инструменты контроля целостности файлов и мониторинга соединений.

Важно: даже после удаления вируса потенциально скомпрометированные учётные данные могут быть утрачены — меняйте пароли и проверяйте активность аккаунтов.

Playbook для быстрого реагирования

• Непосредственные действия (0–2 часа): изоляция, первичное сканирование, сбор артефактов (списки файлов, логи, хэши).
• Краткосрочные (2–24 часа): создание и проверка бэкапов, уведомление ключевых пользователей, блокировка подозрительных аккаунтов.
• Среднесрочные (1–7 дней): переустановка ОС на затронутых машинах, смена паролей и пересмотр политики доступа.
• Долгосрочные (недели): аудит процессов обновления модов, внедрение CI/CD и проверок целостности для автосборок модов, обучение сообщества.

Ролевые чеклисты

Для конечного пользователя:

• Проверить моды Prism Launcher скриптом.
• Сканировать бэкапы Neko Detector перед восстановлением.
• Поменять пароли с чистого устройства.
• Включить 2FA.

Для администратора сервера/комьюнити:

• Удалить подозрительные версии модов и заблокировать аккаунты загрузчиков.
• Просканировать серверные и резервные копии на предмет заражённых .jar.
• Уведомить пользователей и опубликовать инструкцию по проверке и восстановлению.

Для автора мода:

• Проверить историю версий, откаты и доступы к аккаунту разработчика.
• Включить 2FA и сменить пароли разработческих аккаунтов.
• Пересмотреть процесс релизов: только зафиксированные сборки, контроль доступа и автоматизированный CI.

Технические способы проверки и ручная проверка

• Проверка .jar-файлов вручную: .jar — это zip-архив. Можно распаковать файл и просмотреть классы и метаданные. Обратите внимание на неизвестные классы, подозрительные манифесты или встраиваемые скрипты.
• Сетевой мониторинг: запустите Minecraft с чистым набором модов в песочнице и наблюдайте исходящие соединения. Любая попытка связи с неизвестными серверами — повод для подозрения.
• Автоматические сканеры: используйте авторитетные проекты (Prism Launcher, Neko Detector, Web Scanner). Они ищут байткодовые последовательности и типовые индикаторы внедрения.

Ограничение: ручная проверка требует знаний Java/архивов и даёт лучший результат в паре с автоматическими инструментами.

Ментальные модели и эвристики безопасности

• Принцип минимального доверия: относитесь к обновлениям как к исполняемому коду — не доверяйте слепо.
• Обновления — это поставка исполняемого кода: те же правила, что для системных обновлений, применимы к модам.
• Разделение окружений: держите игры/моды в отдельном профиле/песочнице от рабочих и банковских задач.

Профилактика для мододелов и сообществ

• Включите двухфакторную аутентификацию и сильные пароли для аккаунтов, которые публикуют релизы.
• Применяйте проверку целостности релизов: подписи, хэши SHA-256, подписанные сборки.
• Используйте закрытый процесс сборки: используйте CI, чтобы сборки были воспроизводимы и проверяемы.
• Ограничивайте доступ к аккаунтам публикации минимумом доверенных лиц.

Когда полные переустановки не обязательны

Counterexample: если сканеры дали ложноположительный результат для модов, которые вы можете легко заменить их последними чистыми релизами и нет признаков сетевой активности/сбора учётных данных, то может быть достаточно удалить заражённые моды, заменить их и менять пароли. Однако при любом сомнении лучше действовать консервативно.

Критерии приёмки после очистки

• Все найденные заражённые .jar удалены или заменены чистыми версиями.
• Neko Detector и другие сканеры возвращают «чисто» при двух независимых проверках.
• Пароли уязвимых аккаунтов изменены с чистого устройства и включена 2FA.
• Нет подозрительной сетевой активности при запуске Minecraft.

Матрица риска (качественная)

• Высокая вероятность × Высокое воздействие: заражённые компьютеры без 2FA и с сохранёнными паролями в браузере — критично.
• Средняя вероятность × Среднее воздействие: пользователи, скачавшие моды, но не запускали их — требуется проверка и замена файлов.
• Низкая вероятность × Низкое воздействие: пользователи, которые использовали только официальные, давно проверенные сборки.

Митигаторы: проверка сканерами, изоляция, переустановка ОС, смена паролей, 2FA.

Конфиденциальность и юридические замечания

Если вы храните или обрабатываете персональные данные пользователей (электронные адреса, платежные данные), рассматривайте инцидент как потенциальную утечку. В зависимости от юрисдикции могут действовать требования уведомления пользователей и регуляторов (например, GDPR для ЕС). Консультируйтесь с юридическим советником при масштабных инцидентах.

Быстрая шпаргалка по предотвращению заражения

• Скачивайте моды только из проверенных источников и от проверенных авторов.
• Перед установкой сканируйте .jar и архивы инструментами, рекомендованными сообществом.
• Храните резервные копии важных данных, но всегда сканируйте бэкапы перед восстановлением.
• Запускайте Minecraft в отдельном профиле/песочнице и избегайте использования учётных данных из браузера в этом профиле.

Пример плана уведомления сообщества

1. Объявление о проблеме: кратко описать риск и инструменты проверки.
2. Инструкция для проверки: ссылки на Prism Launcher скрипты, Neko Detector и Web Scanner.
3. Рекомендации: смена паролей, проверка бэкапов, временная приостановка загрузок модов.
4. Обновления: публикуйте статус расследования и списки подтверждённых заражённых релизов.

Заключение

Fractureiser — пример того, как злоумышленники используют доверие к обновлениям модов. Самое безопасное поведение — регулярная проверка модов автоматизированными инструментами, изоляция игровых профилей и резервное копирование пользовательских данных с последующей проверкой. При подтверждённой инфекции действуйте быстро: изолируйте систему, сделайте проверенные бэкапы, переустановите ОС и смените пароли с чистого устройства.

Важно: даже если часть инфраструктуры злоумышленников отключена, уязвимые файлы могут оставаться в свободном доступе — проверяйте и удаляйте заражённые файлы проактивно.

Краткое объявление для сообщества (100–200 слов):

Fractureiser — вредоносный мод, обнаруженный в релизах на CurseForge и CraftBukkit. Если вы используете моды из этих источников, пожалуйста, немедленно проверьте свои файлы: используйте скрипты Prism Launcher и Neko Detector, избегайте восстановления неподтверждённых бэкап-архивов и смените пароли с чистого устройства. При подтверждённой инфекции рекомендуется переустановить ОС и уведомить других участников сообщества. Публикуйте результаты проверок и список подозрительных релизов, чтобы помочь уменьшить распространение угрозы.

Mermaid диаграмма принятия решения

flowchart TD
  A[Есть подозрение на Fractureiser?] -->|Да| B[Отключить сеть]
  A -->|Нет| Z[Обычный мониторинг]
  B --> C[Запустить Prism Launcher скрипт]
  C --> D{Найдено заражение?}
  D -->|Да| E[Скопировать важные данные и сканировать бэкап]
  E --> F[Переустановить ОС и сменить пароли]
  D -->|Нет| G[Проверить моды через Web Scanner и Neko Detector]
  G --> H{Чисто?}
  H -->|Да| I[Вернуться к обычному использованию]
  H -->|Нет| E

Последнее примечание: используйте представленные инструменты и руководства от проверенных проектов, публикуйте найденные артефакты (хэши, пути) для сообщества и, при необходимости, обращайтесь к профильным специалистам по инцидентам безопасности.