Salem написал(а):+ новость впн антивирус определяет как троян, не даёт скачать - блокирует.
вот объяснение -- Обновление сигнатур 1.449.424.0 для Microsoft Defender, встроенного антивируса Windows, ошибочно детектирует корневые сертификаты DigiCert Trusted Root G4 и Global Root CA как Trojan:Win32/Cerdigent.A!dha.
3 мая 2026 года пользователи Windows 11 и Windows Server по всему миру столкнулись с массовыми срабатываниями Microsoft Defender, который начал помечать как высокоприоритетную угрозу Trojan:Win32/Cerdigent.A!dha легитимные корневые сертификаты DigiCert. Проблема затронула как домашние ПК, так и корпоративную инфраструктуру с Microsoft Defender
Источник проблемы – обновление сигнатур Microsoft Defender версии 1.449.424.0, выпущенное 3 мая 2026 года в 09:03:46
Сразу после его установки антивирус начал детектировать в системном хранилище сертификатов Windows два корневых центра сертификации DigiCert и помещать их в карантин с пометкой «обнаружена вредоносная программа высокой степени серьёзности».
Сигнатура Trojan:Win32/Cerdigent.A!dha в этом обновлении значится в разделе «Updated threat detections» – это не новое правило, а обновлённая версия уже существующей сигнатуры. Вместе с ней Microsoft обновила и сигнатуры семейства Trojan:Win32/Malgent, ориентированные на бинарники, подписанные подозрительными или скомпрометированными сертификатами.
Какие сертификаты затронуло ложное срабатывание
По данным сообщества безопасности и публикаций в Reddit и соцсети X, Defender ошибочно реагирует на два корневых сертификата DigiCert с следующими отпечатками SHA-1:
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 – DigiCert Trusted Root G4
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 – DigiCert Assured ID Root CA
Почему это ложное срабатывание, а не реальный троян
Несмотря на пугающую формулировку «Trojan» и высокий уровень серьёзности, признаков реального заражения нет:
Срабатывание происходит одновременно у тысяч пользователей по всему миру в один и тот же день – характерный признак ошибки в сигнатурах, а не вредоносной кампании.
Defender не указывает конкретный путь к файлу или хеш бинарника – детект идёт исключительно по записям реестра с отпечатками сертификатов.
Microsoft уже выпустила исправление
Microsoft не опубликовала официального заявления, однако исправление пришло через стандартный механизм обновления сигнатур. По сообщениям пользователей и администраторов:
Версия сигнатур 1.449.430.0 уже не помечает сертификаты DigiCert как вредоносные.
В Microsoft Defender XDR корневые сертификаты автоматически возвращаются в системное хранилище при следующей синхронизации – на корпоративных машинах процесс восстановления уже идёт.
На домашних ПК после установки актуальных сигнатур повторное сканирование проходит чисто.
Сигнатура Trojan:Win32/Cerdigent.A!dha, судя по всему, была обнолвена именно в ответ на этот инцидент – 3 мая 2026 года, в составе обновления 1.449.424.0. Задумка понятная: заблокировать всё, что было подписано отозванными сертификатами. На практике правило получилось слишком общим и затронуло не скомпрометированные сертификаты подписи кода, а корневые сертификаты DigiCert, от которых эта самая подпись и проверяется.
Это уже не первый случай, когда сигнатурный движок Defender ошибочно реагирует на легитимный код. Текущий инцидент с Cerdigent отличается масштабом – сертификаты DigiCert установлены практически на всех Windows-системах, поэтому ложное срабатывание стало глобальным в течение нескольких часов после выхода обновления 1.449.424.0.