17 апреля 2018 — Согласно данным Avast, за последние 30 дней почти 50 000 учетных записей Minecraft были заражены вредоносной программой, которая переформатирует жесткий диск и удаляет резервные копии и системные файлы. Исследователи Avast Threat Labs обнаружили вредоносный скрипт Powershell, который использует «скины» Minecraft в формате PNG для распространения. Скины — популярная функция среди игроков в Minecraft, которая изменяет внешний вид аватара. Скины для Minecraft можно загрузить из различных сторонних онлайн-ресурсов — так вредоносное ПО попадает на устройства игроков в Minecraft.

Примечательно, что вредоносный код не отличается изобретательностью, его легко можно найти на сайтах с пошаговыми инструкциями о том, как создавать вирусы с помощью редактора Notepad. И будет справедливым предположить, что за этим не стоят профессиональные киберпреступники. Однако проблема в том, что зараженные скины без препятствий загружаются на сайт Minecraft. Из-за этого пользователь игнорирует оповещения системы безопасности, считая их ошибочными.
Hosted URL of malicious skin

Специалисты Avast уже связались с Mojang, разработчиком Minecraft, компания работает над устранением уязвимости.

Почему Minecraft?

По состоянию на январь 2018 года у Minecraft 74 миллиона игроков по всему миру — это почти на 20 миллионов больше, чем в прошлом году. Однако только небольшая часть пользователей активно загружает сторонние скины. Большинство же игроков используют предустановленные аватары Minecraft, что объясняет низкий уровень зараженности. В течение 10 дней Avast заблокировала 14 500 попыток заражения. Большая часть атак пришлась на Россию (12 849), далее Украина (4 728) и США (2 306).

Масштаб бедствия пока невелик, но, учитывая количество активных игроков по всему миру, все может измениться.

Detection heatmap

Большая часть аудитории Minecraft (43%) — пользователи от 15 до 21 года. Злоумышленники, возможно, пытались извлечь выгоду из более уязвимой группы ничего не подозревающих пользователей игры, которой доверяют родители и опекуны. Возможно, имела место проба пера хакерами, но более вероятно, что уязвимость была запущена с целью развлечения — это более распространенная установка среди начинающих вирусописателей.

Как обнаружить угрозу?

Не все скины, загруженные из сторонних источников, являются вредоносными, но, если вы загрузили один из скинов, изображенных ниже, мы рекомендуем вам запустить антивирусное сканирование.

Также пользователи могут получать необычные сообщения, например:

“You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t”
“You have maxed your internet usage for a lifetime”
“Your a** got glued”

Еще один признак заражения — проблемы с производительностью системы, вызванные простым циклом tourstart.exe или сообщение об ошибке, связанное с форматированием диска.

Как пользователи могут защитить себя?

Обязательно запустите сканирование ПК с помощью сильного антивируса, такого как Avast Free Antivirus, который обнаружит вредоносные файлы и удалит их. В некоторых случаях приложение Minecraft может потребовать переустановки. В более сложных случаях приложение Minecraft может потребовать переустановки. Если пользовательский ПК уже заражен, а системные файлы удалены, рекомендуется запустить восстановление данных.