Реестр сайтов, распространяющих вредоносное ПО. Каждая запись подтверждена анализом YonSeSecurity с прикреплёнными отчётами. Рекомендуем блокировать на уровне DNS / прокси / файрвола.
Пиратский софт-портал, позиционирующий себя как источник «проверенных» кряков. Анализ файлов, загруженных с этого ресурса, выявил профессиональный многокомпонентный троян с ransomware-функциональностью, замаскированный под легитимный инсталлятор. Payload упакован внутрь Inno Setup и невидим для антивирусов при статическом анализе (0 детектов). Если один файл содержит малварь такого уровня, нет оснований доверять другим раздачам.
Официальный сайт распространения Telega — неофициального клиента Telegram (ru.dahl.messenger) со встроенной атакой Man-in-the-Middle на протокол MTProto. Приложение подменяет IP-адреса дата-центров Telegram на прокси-серверы, контролируемые AS203502 («АО ТЕЛЕГА», апстрим: VK/Mail.ru), внедряет поддельный RSA-ключ, отключает Perfect Forward Secrecy, подавляет секретные чаты и использует панели государственной цензуры (Zeus/Cerberus), обрабатывающие запросы РКН на блокировку. Также распространяется через Telegram-каналы @dahlmessenger и @telegaru.