К большому сожалению, неделю назад мой знакомый оказался жертвой злоумышленников, которые получили доступ к телеграму и огромному количеству логинов/паролей. А буквально сегодня я увидел такой пост в одном из пабликов:
Опасный и незаметный вирус заразил более 400 000 компьютеров — кибербезопасники бьют тревогу.
Троян упаковывали в пиратские игры и программы: RenEngine чаще всего встречался в Far Cry, FIFA, Need for Speed, Assassin’s Creed и других играх EA и Ubisoft. Под угрозой все, кто качал пиратские игры с апреля 2025 года.
RenEngine был почти незаметен, его не опознавали антивирусы, он не влиял на работу игры, а просто «открывал ворота» для стилера, который воровал данные жертвы.
Сейчас в день заражается до 10 000 компов по всему миру, Россия находится в топ-5 по заражениям. Часть антивирусов уже обновила ПО под определение этого трояна, клиентам советуют запустить внеплановую проверку
ДИСКЛЕЙМЕР: описан лишь один случай, может быть у вас ситуация будет другая.
Как могут взломать в телеграме?
Вот вы живёте свою лучшую жизнь и не знаете бед. Используете двухфакторную аутентификацию, вход подтверждаете шестизначным кодом, но это совсем не гарантирует то, что аккаунт не может быть украден.
Злоумышленнику необязательно знать ваш облачный пароль, логин или иметь доступ к телефону.
Есть такое вредоносное ПО как стилер. Это исполняемый файлик, который может быть замаскирован под игрушку или полезный софт, который вы скачали с просторов интернета. Когда вы его запускаете, то он копирует все ваши чувствительные данные и отправляет их на сервер злоумышленника. Там, например, могут оказаться все ваши логины и пароли от госуслуг, почт, социальных сетей, которые хранились в менеджере паролей от Яндекс Браузера.
Кроме того для меня было сюрпризом, что можно так просто украсть доступ от вашего аккаунта телеграм. Как это устроено можно почитать тут.
Если коротко, то независимо от версии ОС вашего компьютера, данные о текущем сеансе десктопной версии телеграмм хранятся в папке tdata. Если стиллер украдет эту папку, то он может распаковать её у себя и просто зайти под вашим сеансом. Сделать это можно хоть на десяти устройствах одновременно, все они будут считаться как один сеанс, и телеграм ничего не заподозрит. В списке активных устройств везде будет отображаться одно устройство.
Плюс как нам сообщили, такие стилеры сейчас настолько продвинутые, что они не обнаруживаются никакими антивирусами, а после выполнения он обычно удаляется, так что вы даже не поймёте, что у вас что-то украли.
Что делать, если взломали и выкинули из аккаунта?
Например, вы сидели с телефона, вас выкидывает, и друзья начинают вам массово звонить и говорить, что вас взломали.
Вспомните все устройства, с которых вы когда-либо заходили. С очень большой вероятностью это винда, чуть менее вероятно линукс и макос.
Зайдите на это устройство, у вас там сессия/сеанс сохранится, вы будете в аккаунте.
Выйдите. Да, нажмите кнопку выйти из аккаунта. Завершится ваша сессия и сессия на компе злоумышленника. Дальше спокойно входите с телефона или, если у вас лимит попыток превышен, то подождите сутки и попробуйте войти.
Как не попасться?
Не покупайте комп на винде и не выходите в интернет
На всякий случай установите хороший антивирус, платный. Пусть не всё, но часть вредоносного ПО он отсечёт.
Не скачивайте файлики с левых сайтов, будь это обход блокировки дискорда, ютуба, бесплатный впн или файлик для прошивки видеорегистратора.
Не храните чувствительную информацию в телеграм. Сканы паспортов, пароли и т.п. удаляйте.
Комментарии (10)
RavenStark
09.02.2026 13:04А вот по ссылке как раз написано, что двухфакторная аутентификация потребует от злоумышленника дополнительного пароля, чтобы провернуть такой трюк. Кому верить, вам, или автору исходной статьи об использовании папки tdata?
daniilmaibe Автор
09.02.2026 13:04Если взлом через tdata, то 2фа не понадобится.
Скачиваете portable версию телеграм, в той же директории размещаете tdata. Дальше запускаете тг и оказываетесь в чужом аккаунте.
Проверял на втором ноуте, на котором вообще ничего нет, голая ОС.
К тому же не приходит никакое уведомление от телеграм с кодом, в активных сессиях отображается всего одна - текущая (при условии, что мошенник выкинул вас из других сессия)
NickSin
09.02.2026 13:04Судя по прошлым статьям от авторов Хабра - проблема давнейшая. Она как на винде, так и на других ОС будет работать. Если ПК взломан, то логично, что чувствительный данные и данные сессии из AppData (если мы говорим про виндоус) могут быть легко скомпроментированы.
Я чего-то нового относительно 25 года не увидел.
anyagixx
09.02.2026 13:04След статья "как украсть папку appdata от гуглохром, и получить доступ к ВК"
Z55
09.02.2026 13:04данные о текущем сеансе десктопной версии телеграмм хранятся в папке tdata
А если web-версия, то где?
GudiniMalware
09.02.2026 13:04Не храните чувствительную информацию в телеграм. Сканы паспортов, пароли и т.п
Это точно, у злоумышленников есть софт, который ищет сид фразы и другую чувствительную инфу, после того как они зайдут под вашей tdata.
Хорошая статья, для тех кто не работает в этой сфере будет полезно.daniilmaibe Автор
09.02.2026 13:04Спасибо! Примерно такой цели и придерживался, когда её писал, - сообщить, что делать в случае взлома и как это происходит для тех, кто стал жертвой.
Но на статью накидали дизлайки типа "низкий технический уровень", хотя я на это вообще не был нацелен :(
gmtd
Виндофобию в статье нашел
Как взламывают Телеграм в 2026 году - не нашел
daniilmaibe Автор
Если нашли виндофобию, то не поняли смысла статьи. У меня все устройства на этой ОС, переходить на другую в планах нет. К тому же написано, что другие ОС также подвержены такому типу взлома.
Основной смысл статьи - донести, как сейчас можно получить доступ к аккаунту телеграм и что делать в случае взлома.
В официальной инструкции от тг буквально написано «ни за что не выходите», тем не менее в данном случае это единственное верное решение.