Активность

как удалить backgroundtaskhost сам включается и приостанавливается

Здравствуйте, процесс dwm.exe загружает процессор на максимум при входе в систему, при запуске диспетчера задач нагрузка пропадает, видимо майнер. Пробовал KVRT но он не помог. Прикладываю логи и надеюсь на вашу помощь, спасибо.CollectionLog-2025.09.30-10.20.zip

Добрый день! Нужна помощь в борьбе с шифровальщиком Zimmer. Много важных файлов на компьютере и теперь все зашифровано( Файлы и логи приложены. Addition.txt FRST.txt INFO_TO_DECRYPT_ZIMMER1488.txt Отписка от экспертцентр.txt 322595800092833_20240707_197905.PDF

Участников немного потому что есть устойчивое мнение что квест это очень сложно. Ну это смотря с чем сравнивать. Да и награда там как правило существенно выше и соразмерна сложности. Этот квест изначально задумывался как НЕсложный. У нас есть замечательный индикатор сложности квеста - если его проходит @ska79, значит он достаточно простой

Я бы понял, если это писал гуманитарий, который плохо знаком с темой. От вас это очень странно читать. По крайней мере мы не будем обсуждать эти вопросы публично. Вобщем есть активность с определенными правилами. Ваше право в ней участвовать или не участвовать.

Хорошо. проверю сейчас логи, напишу скрипт очистки. По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours) IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe CHR Extension: (Нет имени) - C:\Users\root\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2020-03-21] [UpdateUrl:0] <==== ВНИМАНИЕ S2 RustDesk; "C:\Program Files\RustDesk\RustDesk.exe" --service [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S0 oem-drv64; system32\DRIVERS\oem-drv64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2025-09-11 23:47 - 2025-09-12 15:29 - 000000980 _____ C:\How-to-decrypt.txt 2025-09-11 23:47 - 2025-09-12 15:07 - 000000000 ____D C:\temp 2025-09-11 23:46 - 2025-09-11 23:46 - 000000000 ____D C:\Users\ures681\AppData\Roaming\Process Hacker 2 2025-09-11 23:41 - 2025-09-12 00:00 - 000000000 ____D C:\Program Files\Process Hacker 2 2025-09-11 23:41 - 2025-09-11 23:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2 2025-09-11 13:54 - 2025-09-11 13:54 - 000000430 _____ C:\Windows\system32\u1.bat 2025-09-12 15:29 - 2023-12-19 13:58 - 000000000 __SHD C:\Users\ures681\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD 2025-09-12 15:28 - 2022-10-01 19:00 - 000000000 __SHD C:\Users\root\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Судя по логам FRST в основном все дочищено. С расшифровкой файлов, к сожалению, не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); + проверьте ЛС.

Чуть выше уже писал, и так там все это исключено, учитывая сколько информации собирается в рамках прохождения квеста об участнике.

Fixlog.txt

Я правильно поняла, что мне из буфера обмена надо вставить текст в Farbar Recovery Scan Tool, и только потом нажать кнопку исправить?

сколько там минут?

Это единственный надежный способ поставить в соответствие участника квеста и пользователя форума. Также это исключает возможность зарегистрировать несколько аккаунтов для прохождения. Не вижу проблемы чтобы отправить ЛС.

С Днём Рождения!

Сделано. Сперва KVRT (чисто), затем FRST. Все логи во вложениях. FRST_logs_2025-09-30.7z KVRT2020_Data_2025-09-30.7z

Здравствуйте! Прикрепляю файлы с зараженного компьютера, где был запущен шифровальщик. Файл session.tmp присутствует. FRST.txt Addition.txt

Благодарю! 🥳

Что сейчас с проблемой?

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X] HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X] HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3213750562-1533722933-3015439997-1002\...\MountPoints2: {8fdb68e9-0710-11ec-92be-9fd40a96c949} - "F:\AutoRun.exe" HKU\S-1-5-21-3213750562-1533722933-3015439997-1002\...\MountPoints2: {8fdb6909-0710-11ec-92be-9fd40a96c949} - "F:\AutoRun.exe" GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ Task: {5414397A-4008-4AD4-B204-F01C95CEBC9B} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ Task: {F7FB475B-53C6-4BF1-AEEF-D664EC0D2688} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ Task: {9DF67B6C-FBFF-4204-A11B-9AFC336E3C97} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Нет файла) Task: {A14A9223-063A-4847-8DFE-ED851657FFFA} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => %windir%\System32\RemoteFXvGPUDisablement.exe Disable (Нет файла) Task: {53D3B31F-63FE-474A-850D-07A3251F02EB} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => %windir%\System32\RemoteFXvGPUDisablement.exe Warning (Нет файла) Task: {04D42493-4EAC-4B2A-BACA-57BE7FF13896} - System32\Tasks\TMPSYSUPD => C:\Users\Public\AppData_5\Fonts_Upd\SgrmBroker.exe (Нет файла) <==== ВНИМАНИЕ Task: {CC845769-D45A-49E6-AE1E-DD3AF96CF0C0} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (Нет файла) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ S2 AvgWscReporter; "C:\Program Files\AVG\Antivirus\wsc_proxy.exe" /runassvc /rpcserver [X] S2 mcafee webadvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X] S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X] CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{181E893D-73A4-4722-B61D-D604B3D67D47}\InprocServer32 -> C:\Program Files\1cv8\8.3.25.1394\bin\comcntr.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{75399D28-E622-4973-8752-BC0F7DC47AF3}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.122\psuser_64.dll => Нет файла AlternateDataStreams: C:\Users\Александр\Downloads\Мои файлы в Dropbox.lnk:com.dropbox.ignored [1] BHO-x32: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Users\Public" EndPowerShell: FirewallRules: [UDP Query User{FF0F0724-5FEE-4471-A853-8A358BC3ED99}M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe] => (Allow) M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe => Нет файла FirewallRules: [TCP Query User{9F1B82DA-C1F3-4C94-9409-EFA936CB0354}M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe] => (Allow) M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe => Нет файла FirewallRules: [UDP Query User{0C4DB986-18E0-4684-9140-E7C0C8EB2930}M:\настя\team\anydesk\anydesk.exe] => (Allow) M:\настя\team\anydesk\anydesk.exe => Нет файла FirewallRules: [TCP Query User{955DF3B3-27B4-4A84-B841-D1445F518FCE}M:\настя\team\anydesk\anydesk.exe] => (Allow) M:\настя\team\anydesk\anydesk.exe => Нет файла FirewallRules: [UDP Query User{44CB2F3D-C18F-469C-A83D-92B9CED6E86D}C:3\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) C:3\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла FirewallRules: [TCP Query User{D0C04ECC-9832-437E-ADEB-B24D01D14866}C:3\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) C:3\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла FirewallRules: [TCP Query User{803E4005-95CF-49B6-8AED-A7D0F47878DF}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла FirewallRules: [UDP Query User{A18CEE90-FCD3-47AB-8B51-556F99B69BA1}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла FirewallRules: [TCP Query User{6F9DBD87-D99E-4DE6-A464-390C0FF7F0F8}M:\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла FirewallRules: [UDP Query User{1FEB0091-F6C8-4311-9479-D12D9D54415B}M:\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла FirewallRules: [{FCCA31DC-3D8F-4201-8B90-788BD5F0363C}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла FirewallRules: [{9B45EC3D-A100-4ECA-8FEB-F50641CAD371}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла FirewallRules: [TCP Query User{BD46FA37-64D5-45FE-9F1D-4E6112D475D3}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла FirewallRules: [UDP Query User{A1B1A949-7628-4025-8F98-EA3307996371}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла FirewallRules: [TCP Query User{98FFA3A5-225D-46D8-83A0-1EDDB0E2A5C7}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла FirewallRules: [UDP Query User{4D86D01F-ED1C-47C7-B9F8-302BAFDC23DD}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла FirewallRules: [{C3E71CC9-5EEC-40B2-BD9D-CF90DE2EEB57}] => (Allow) D:\Program Files\Nox\bin\Nox.exe => Нет файла FirewallRules: [{2FC034A9-0BA6-4C20-9D79-273D9968429E}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла FirewallRules: [{B7E5B4EF-D2C1-4849-A1DE-F29F1D89E5F9}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steam.exe => Нет файла FirewallRules: [{E14E4818-77C6-40F1-B9FE-341021A6D935}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steam.exe => Нет файла FirewallRules: [{C7CA62FE-46C4-4070-982B-5C850F7DD22C}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{CC244BD9-7344-4C2F-A0F7-12CD3ABCC0BD}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{4A8DB872-F36E-45FA-A7E8-C3B10F112F39}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\steam.exe => Нет файла FirewallRules: [{71FBF242-8D65-44A3-8145-DBC17F2BA3F0}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\steam.exe => Нет файла FirewallRules: [{FD3735D6-5BF1-41A2-A567-470F4F335B7E}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{65B9C081-0D65-419B-AF82-1E35D187027F}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{4F2328AF-2B9D-4ADC-A3BD-DFB89FF3F476}] => (Allow) D:\Games\Hogwarts Legacy\steam.exe => Нет файла FirewallRules: [{E9CAC33A-5FED-4CF7-8B6E-FF3F1C5E0E8D}] => (Allow) D:\Games\Hogwarts Legacy\steam.exe => Нет файла FirewallRules: [{2D73A92F-BC4C-4257-A1D6-A53B9B3D5E5E}] => (Allow) D:\Games\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{2733923E-D7D4-42FA-8A30-11FDA8475D50}] => (Allow) D:\Games\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [TCP Query User{CAAB2E2D-BDD6-4B43-9BA6-8E30A3178E51}C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe => Нет файла FirewallRules: [UDP Query User{6018B3AC-7EF4-4BAE-BFBF-85010C321F3B}C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe => Нет файла FirewallRules: [TCP Query User{88632384-79D4-469A-968A-BEE7EB19E14B}C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe => Нет файла FirewallRules: [UDP Query User{627070A2-1735-4550-8E29-4FB865A4BA10}C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe => Нет файла FirewallRules: [TCP Query User{EF171A6D-E0F7-45AC-A939-AF8CDFF81934}C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe => Нет файла FirewallRules: [UDP Query User{7E8509D7-C45A-40CB-8396-57823106FCD2}C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe => Нет файла FirewallRules: [TCP Query User{E76A4333-669F-481A-BD75-F26D28CE14EE}C:\program files\wproxy\winproxy\winproxy.exe] => (Block) C:\program files\wproxy\winproxy\winproxy.exe => Нет файла FirewallRules: [UDP Query User{527337B3-039D-47B6-957B-491FB1C769CC}C:\program files\wproxy\winproxy\winproxy.exe] => (Block) C:\program files\wproxy\winproxy\winproxy.exe => Нет файла FirewallRules: [{46AFB370-DC78-49F0-9A2B-E633EC10EF18}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла FirewallRules: [{CF517680-3AEA-4319-A07E-12EF80B35CE9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла FirewallRules: [{B309F46F-9839-4A14-AA3B-1A76FFE9A904}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.133.3202.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла FirewallRules: [TCP Query User{06B59ABE-3E11-46DB-B9B1-E6B5FA5FCE59}F:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) F:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла FirewallRules: [UDP Query User{9E84647A-5A03-49FB-8131-7AA5718AEBC3}F:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) F:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла c:\users\public\libraries Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

По возможности исправьте: AMD Software v.25.9.1 Внимание! Скачать обновления Среда выполнения Microsoft Edge WebView2 Runtime v.140.0.3485.81 Внимание! Скачать обновления ^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^ На этом закончим.

Как называется? Или ты про любой менеджер паролей?

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. leon (48)batoxa buryat (38)Божидар (55)shpir361224 (34)

Коротко - почему участников квеста мало До сих пор не могу понять для чего доп. "активация" вообще нужно, когда и так собирается вся возможная информация об участнике, включая iP адреса и т.п.

Ну, если упрощать, то да. Разумеется, мессенджеры умеют этому сопротивляться. Но они сопротивляются во-первых далеко не все (примитивная проверка: если можешь снять скриншот, то защиты нет), во-вторых сопротивляться они могут лишь через системные возможности. А уязвимости в системах закрывают, закрывают, закрывают, да закрыть не могут. Ну и это лишь один из способов. Можно навязать жертве просто поддельную версию. Это будет настоящий мессенджер, он будет работать полноценно. Просто параллельно ещё и сливать, куда надо. Если это какой-то групповой чат из каких-то опасных ребят, то среди этих ребят может быть и сотрудник служб — это вообще всем должно быть очевидно. А в случае 1 на 1, если ты лично не встречался с человеком и вы не сканировали QR коды в приложении друг у друга стоят прям вот рядом, как можно гарантировать, что общается с тем, с кем надо? Возьмём WA. Он то и дело пишет о ваших собеседниках, что ключ изменился. Хоть кто-нибудь реально проверял, это тот же человек или нет? Потому что это стреляет механизм защиты из Signal (WA использует под капотом его протокол со своими доделками). Это сообщение означает, что приложение в лучшем случае было переустановлено (на настоящее или поддельное?), а скорее это вообще уже другой телефон (того же человека или другого?). Потому что стоимость атаки на Васяна несоизмеримо больше стоимости данных Васяна. Использование целевых атак — а навязать поддельный клиент, внедрить агента (и не обязательно это органы — это могут быть конкуренты или просто враги) — это атака, заточенная под вполне конкретных людей, это очень дорого. Вася просто не представляет ценности для тех, кто проводит подобного рода атаки. При этом КПМ обеспечивает достаточный уровень защиты, чтобы защитить от таких атакующих, которые не обладают огромными возможностями и бесконечными деньгами. Это правило в ИБ такое: стоимость атаки должна превышать стоимость данных, но стоимость данных не должна превышать стоимость защиты. Стоимость, понятное дело, не только в деньгах меряется. Вполне может измеряться временем, может измеряться даже чувствами. Опасение верное. Такая атака под силу даже мне. Ну и в принципе, это как раз тот уровень, от которого и нужно защищаться КПМ. КПМ не должен давать считать ввод пароля. Для проверки включи запись экрана. В идеале делать это не системой, а любым приложением, которое умеет транслировать экран. При вводе мастер пароля его не должно быть видно на записи. В простом случае экран просто чёрный будет, в более тонком будет скрыто только само поле ввода При копировании пароля в буфер обмена из КПМ, доступ к паролю имеют: текущая активная клавиатура. Следовательно, клавиатуры должны быть только те, которым доверяешь. Клавиатура от Васяна может быть трояном, которая и ввод собирает, и буфер обмена читает системные приложения. Ну это понятно, от системы не скрыться. Потому прошивка не должна быть от Васяна. Типа виндовых ЗверьСиДи то приложение, в которое происходит вставка То есть работающий в фоне троян не может прочитать буфер обмена, это запрещено в самом Android. Но ещё лучше использовать встроенный в Android механизм ввода паролей через специальный сервис. В этом случае буфер обмена не используется и отваливаются в том числе троянские клавиатуры. Про iOS не скажу, но уверен, что суть у них точно такая же. Сейчас все ОСи одинаково примерно развиваются.

То есть они ставят программу-шпион на телефон жертвы и через неё видят все переписке в мессенджере, независимо от того, что это за мессенджер? Отсюда вопрос про менеджеры паролей: почему не слышно, чтобы все пароли из КПМ и иных менеджеров паролей таким образом вытягивали? Ведь по идее ставишь программу шпион, ждёшь, пока КПМ разблокируют, вытягиваешь сразу 100% паролей у пользователя.