Распространяющийся через пиратские копии игр вирус RenEngine loader заразил 400 тыс. ПК
Почему пиратские игры опаснее, чем кажется: разбор вируса RenEngine loader, заразившего 400 000 ПК
Вы скачали игру с торрента. Запустили установку. И всё — ваш компьютер стал частью зомби-сети. Это не страшилка. Это реальность последних месяцев. Вирус RenEngine loader, по данным экспертов, уже поразил более 400 000 машин Windows.
Пиратские сборки Far Cry, Need for Speed, FIFA, Assassin’s Creed — вот его любимые приманки. Вредонос вшит прямо в легитимный установщик Ren'Py. Откуда он взялся? Активен как минимум с апреля 2023-го. В октябре получил модуль телеметрии и начал стучаться на один и тот же сервер при каждом запуске. По этому адресу и насчитали полмиллиона жертв.
Личное наблюдение автора: недавно я помогал знакомому чистить ноутбук. Он клялся, что ставит только лицензию. А потом вспомнил: «Ну, одну гонку в прошлом году скачал с торрента...». Итог — троян в системе, который вытянул пароли от почты и Steam.
Как именно работает загрузчик
Схема простая, но грязная. Вы запускаете установщик игры — на экране всё как обычно. Но в фоне стартует RenEngine loader. Он проверяет, не запущен ли антивирус. Потом скачивает основную полезную нагрузку с удалённого сервера.
Этой нагрузкой может быть:
- ARC — программа для кражи данных (пароли, cookie, криптокошельки, буфер обмена).
- Rhadamanthys — сложный стилер с функциями удалённого управления.
- Async RAT и Xworm — классические «крысы» для полного контроля над ПК.
Каждый день загрузчик регистрирует от 4000 до 10 000 новых жертв. Самые высокие показатели — в Индии, США, Бразилии и России.
Сравнение полезных нагрузок RenEngine
| Вредонос | Тип | Что крадёт | Сложность обнаружения |
|---|---|---|---|
| ARC | Стилер | Пароли, cookie, криптокошельки, буфер обмена | Средняя |
| Rhadamanthys | Стилер + RAT | Данные браузеров, файлы, скриншоты | Высокая |
| Async RAT | RAT | Удалённый доступ, запись клавиатуры | Низкая |
| Xworm | RAT | Управление файлами, DDoS, кража паролей | Средняя |
Микро-инструкция: как проверить, не заражён ли ваш ПК
Сделайте три вещи прямо сейчас.
Шаг 1. Откройте диспетчер задач и посмотрите на процессы. Если видите что-то с именем RenEngine или запущенное из папки Temp — подозрительно.
Шаг 2. Проверьте автозагрузку (Win+R → msconfig). Ищите записи с неизвестными названиями, особенно если они ссылаются на скрипты Python.
Шаг 3. Скачайте бесплатный сканер — например, Malwarebytes или Kaspersky Virus Removal Tool. Запустите полную проверку. Если антивирус молчит — не расслабляйтесь. Пока только Avast, AVG и Cynet распознают RenEngine на ранних этапах.
Честное мнение: полагаться на антивирус как на панацею — ошибка. Лучшая защита — не ставить пиратский софт. Особенно игры. Экономия в 1000 рублей может стоить вам всех аккаунтов и криптоактивов.
Если вы подозреваете заражение, а антивирус ничего не находит — используйте точки восстановления системы или переустановите Windows. Да, это жёстко. Но лучше потерять день на переустановку, чем месяц на попытки вычистить трояна вручную.
Резюме от автора: RenEngine — это не очередной «эксплойт» на отшибе. Это индустрия кражи данных, встроенная в пиратские сборки. И пока мы скачиваем взломанные игры, вирусописатели зарабатывают на наших паролях. Не кормите паразитов. Лицензия или никак — вот единственный безопасный выбор.
