Реальный кейс: ClickFix → Emmenhtal → банковский троян → Telegram C2. 23 бот-токена, веб-инжекты Bank of America, SMS-граббер — и всё это найдено после переустановки Windows.
Вступление
В конце февраля 2026 года к нам обратилась организация с подозрением на компрометацию рабочей станции бухгалтера. Сценарий знакомый: на экране появился фейковый экран «Обновление Windows», а параллельно в интернет-банке проводились несанкционированные операции.
Но был нюанс, превративший рядовой IR-кейс в форензик-археологию:
Администратор переустановил Windows до снятия forensic-образа. Затем пользователь в тот же деньЧитать полностью »