Back to blog
Кибербезопасность

Обзор вирусной активности в I квартале 2026 года

April 12, 2026
5 min read
Команда HHIVP
Обзор вирусной активности в I квартале 2026 года

Общая картина: угроз стало меньше, но опаснее

По данным статистики детектирований антивируса Dr.Web, в I квартале 2026 года общее число обнаруженных угроз снизилось на 6,77% по сравнению с IV кварталом прошлого года. Число уникальных угроз уменьшилось ещё значительнее — на 11,98%.

Однако снижение количества — не повод расслабляться. Атаки становятся точнее, а злоумышленники активно применяют новые методы защиты своих инструментов от обнаружения антивирусами.

Чаще всего на защищаемых устройствах обнаруживались:

  • Рекламное ПО и рекламные трояны — по-прежнему лидируют по числу детектирований
  • Вредоносные программы-загрузчики — доставляют в систему другие угрозы
  • Бэкдоры — обеспечивают скрытый удалённый доступ к заражённым машинам

Топ угроз квартала

На рабочих станциях

Trojan.Siggen31.34463 — троян, написанный на языке Go. Использует уязвимость типа DLL Search Order Hijacking в торрент-клиенте uTorrent: вредоносная DLL-библиотека размещается по пути %appdata%\utorrent\lib.dll и загружается вместо легитимной. Цель — установка майнеров и рекламного ПО.

Adware.Downware.20655 / 20766 — рекламное ПО, выступающее промежуточным установщиком пиратских программ. Пользователи, загружающие взломанный софт, получают в нагрузку рекламные модули.

Trojan.BPlug.4268 — вредоносный компонент браузерного расширения WinSafe. JavaScript-сценарий, показывающий навязчивую рекламу во всех браузерах.

Adware.Siggen.33379 — поддельный блокировщик рекламы, замаскированный под Adblock Plus. Вместо блокировки рекламы — её показ. Устанавливается другими вредоносными приложениями.

В почтовом трафике

В электронных письмах чаще всего встречались:

| Угроза | Описание | |---|---| | JS.DownLoader.1225 | ZIP-архивы с подозрительными JavaScript-скриптами | | W97M.DownLoader.2938 | Трояны-загрузчики в документах Microsoft Office | | Exploit.CVE-2017-11882 | Эксплойт для уязвимости MS Office (актуален до сих пор!) | | Exploit.CVE-2018-0798 | Ещё один старый эксплойт MS Office, до сих пор работающий | | JS.Redirector.514 | Скрипт, перенаправляющий на подконтрольные злоумышленникам сайты |

Обратите внимание: эксплойты для уязвимостей 2017–2018 годов до сих пор используются в атаках. Это означает, что у значительного числа организаций Microsoft Office так и не обновлён.

Шифровальщики: меньше атак, но не потому что безопаснее

Число запросов на расшифровку файлов, затронутых троянами-шифровальщиками, сократилось на 31,51% по сравнению с IV кварталом 2025 года. Эксперты Dr.Web связывают это со спецификой новогодних праздников: часть киберпреступников приостановила активность, а пострадавшие компании могли не сразу обнаружить инцидент.

Наиболее распространённые энкодеры I квартала:

| Шифровальщик | Доля обращений | |---|---| | Trojan.Encoder.35534 | 15,59% | | Trojan.Encoder.29750 | 3,23% | | Trojan.Encoder.41868 | 3,23% | | Trojan.Encoder.26996 | 1,62% | | Trojan.Encoder.44383 | 1,61% |

Сетевое мошенничество: новые схемы

Интернет-аналитики Dr.Web зафиксировали несколько активных мошеннических волн.

Поддельные маркетплейсы — «невыкупленные заказы»

Злоумышленники создали сеть сайтов, имитирующих известные маркетплейсы. Схема: пользователю предлагают купить «коробку-сюрприз» с якобы невостребованными товарами по низкой цене. После указания персональных данных и оплаты через СБП жертва не получает ничего — ни товара, ни денег.

Псевдофинансовые сервисы

Под видом агрегаторов кредитов, микрозаймов и услуг банкротства создавались сайты с платной подпиской. Пользователь платит за «подбор предложений», которые в реальности доступны бесплатно — а деньги списываются периодически.

Фишинг под маркой известных мероприятий

Выявлены поддельные сайты благотворительного забега «Зелёный марафон» — для сбора персональных данных участников.

Инвестиционный фишинг

Традиционно активны поддельные инвестиционные платформы с «гарантированной доходностью», имитирующие крупные банки. Цель — сбор персональных данных и первоначального «взноса».

Мобильные угрозы: банковские трояны продолжают расти

В сегменте Android I квартал отметился ростом активности банковских троянов — тенденция, наметившаяся ещё в IV квартале 2025-го. Лидеры — представители подсемейства Android.Banker.Mamont.

Android.Phantom — новая угроза с машинным обучением

В январе Dr.Web предупредил о троянах-кликерах Android.Phantom. Особенность: они используют машинное обучение и видеотрансляции для накрутки кликов на веб-сайтах — то есть вредонос «смотрит» видео и имитирует действия реального пользователя, обходя стандартные системы защиты.

Распространялись через:

  • Каталог GetApps (устройства Xiaomi)
  • Telegram-каналы и серверы Discord
  • Сторонние сборники ПО и вредоносные сайты

Новый метод обхода антивирусов

Аналитики зафиксировали рост использования мусорного кода (Tool.Obfuscator.TrashCode) в банковских троянах. Суть метода: в код вредоноса добавляется большой объём случайных инструкций, которые не влияют на функциональность, но существенно затрудняют сигнатурное детектирование.

Google Play снова не уберёгся

В каталоге выявлены очередные вредоносные приложения:

  • Android.Joker — подписывает пользователей на платные услуги
  • Android.Subscription — аналогичная функциональность

Главные тенденции I квартала 2026

  1. Общее число угроз снизилось, но это в значительной мере эффект новогодних праздников
  2. Банковские трояны для Android растут — особую опасность представляет семейство Mamont
  3. Мусорный код как метод обхода антивирусов набирает популярность
  4. Старые уязвимости MS Office эксплуатируются по-прежнему — патчи не установлены у многих
  5. Фишинг продолжает эволюционировать: от поддельных маркетплейсов до имитации спортивных мероприятий

Как защитить свою компанию

Минимум, который должен быть в любой организации:

  • Антивирусная защита на всех устройствах, включая мобильные
  • Регулярное обновление Microsoft Office и операционных систем — это закроет эксплойты 2017–2018 годов
  • Запрет установки приложений из сторонних источников на корпоративных Android-устройствах
  • Обучение сотрудников: научите распознавать фишинговые письма и схемы мошенничества
  • Резервное копирование с изоляцией бэкапов от основной сети

Если вы хотите оценить реальный уровень защиты своей инфраструктурысвяжитесь с нами. Подберём антивирусное решение и поможем выстроить комплексную защиту под задачи вашего бизнеса.

Источник статистики: отчёт компании «Доктор Веб» по итогам I квартала 2026 года.

Share: