Коротко — да, восстановить доступ обычно можно, но порядок действий зависит от того, как именно был скомпрометирован аккаунт (доступ к номеру/SIM, включён «облачный пароль» (two‑step verification), доступны ли какие‑то сессии на других устройствах и т.д.). Ниже — пошагово что делать сейчас, что собрать для поддержки и как искать следы вторжения.
1) Немедленные действия (приоритетные)
- Зафиксируйте и прекратите дальнейшие попытки входа с подозрительных мест — каждая неудачная попытка может продлевать «таймаут» входа. Подождите указанные сервером Telegram интервалы перед следующей попыткой.
- Защитите номер телефона: связаться с оператором, поставить PIN/PUK на SIM, запросить блокировку перевыпуска SIM/предупреждение о SIM‑swap. Если есть подозрение SIM‑swap — немедленно сообщайте оператору и оформляйте письменную претензию.
- Защитите почту, на которую пришли коды: смените пароль, включите 2FA на почте (TOTP/ключ), проверьте правила переадресации/фильтры/доступы сторонних приложений.
- Смените пароли и 2FA для всех критичных сервисов (почта, GitHub, банки), особенно если на машине обнаружены следы компрометации.
- Если у вас есть другое устройство, где вы всё ещё авторизованы в Telegram — немедленно открыть Settings → Devices и:
- посмотреть список активных сессий,
- завершить все сомнительные,
- сменить пароль (если включён cloud password) и убрать/поменять recovery e‑mail.
Если есть такая сессия — это самый быстрый путь вернуть контроль.
2) Почему вы получили код на e‑mail, но система пишет «e‑mail не указан» / «облачный пароль»
- В Telegram есть две вещи: вход по коду (отправляется на SMS/уже авторизованные устройства) и двухфакторная облачная пароль‑защита (cloud password) с опциональным recovery e‑mail.
- Возможные объяснения вашей конкретной ситуации:
- Сообщение на почту — это уведомление о попытке смены/включения двух‑этапной проверки или о попытке входа; сам интерфейс сброса пароля может показывать «email не указан» из‑за несоответствия между полями (UI/синхронизация). То есть код на почту мог быть для подтверждения изменения, а не для полного восстановления.
- Злоумышленник мог начать процедуру смены/включения cloud password и на этапе подтверждения Telegram выслал уведомление на старый/ваш e‑mail. Но затем при входе система требует cloud password, которого у вас нет.
- Может быть баг/задержка синхронизации в серверах Telegram (редко, но встречается).
- Поэтому важно: сохранить все пришедшие письма и заголовки — они содержат информацию о типе уведомления, IP-адреса, время и т.д. Это ключевая улика.
3) Что проверить на компьютере/устройстве (чтобы понять, остались ли бэкдоры/сессии)
- Немедленно изолируйте подозрительный компьютер от сети (если вы в процессе анализа). Делайте образ диска перед дальнейшими чистками, если планируете потом передать в техподдержку или в лабораторию.
- Быстрая проверка (Windows):
- Просмотрите планировщик задач (Task Scheduler) на новые/неизвестные задания.
- Autoruns (Sysinternals) — по автозапуску.
- Проверить процессы (Process Explorer), сетевые соединения (netstat -ano /tcp /udp), установленные службы (services.msc), драйверы.
- Просмотреть журналы Windows (Event Viewer — Security, System, Application) на попытки входа/необычные события.
- Проверить браузерные расширения/сохранённые пароли.
- Сканирование антивирусом (несколько движков, e.g. Malwarebytes + HitmanPro) и загрузка подозрительных файлов на VirusTotal.
- Поиск нестандартных SSH/remote‑серверов, туннелей, VPN‑ клиентов.
- Для Android/iOS:
- Проверьте установленные приложения, права администратора (Device Admin), профили и VPN.
- Переустановите Telegram из официального магазина, но не забудьте сначала обеспечить безопасность номера/почты.
- Соберите артефакты: копии подозрительных заданий планировщика, экспорт списка автозапусков, дампы процессов, сетевые логи, логи Telegram (если есть), скриншоты.
4) Что отправить в поддержку Telegram — какие данные и как
Поддержке нужно дать максимум структурированной и достоверной информации, чтобы ускорить рассмотрение. Включите:
- Полный телефонный номер в международном формате (тот, к которому привязан аккаунт).
- Уточнение: когда вы в последний раз имели доступ (точные дата/время в UTC), с какого устройства/города/IP, и когда обнаружили проблему.
- Копии всех писем от Telegram (полный исходник/headers), а также письма от GitHub/оператора, связанные с инцидентом.
- Скриншоты/фотографии сообщений в приложении (таймауты, ошибки «облачный пароль», запросы).
- Логи/снимки списка активных сессий (если какие‑то есть на другом устройстве).
- Краткое описание всех шагов, которые вы уже предприняли (смена паролей, форматирование ПК и т.д.).
- Если есть подозрение на SIM‑swap — копия обращения в оператора/справки от оператора.
- Приготовьте фото документа, удостоверяющего личность, и, если потребуется, фото с вашим номером или временным кодом на бумаге (Telegram иногда требует фото подтверждение владения номера при потере доступа). Не отправляйте документы в публичные места — используйте защищённый канал поддержки.
- Соберите IOCs (имена файлов, SHA256 хэши, имена запланированных задач, скриншоты) в архив и приложите.
5) Как правильно связаться/ускорить поддержку
- Используйте все доступные каналы одновременно:
- Веб‑форма Telegram: https://telegram.org/support (или support@telegram.org — формальный способ, но в ответ могут попросить повторить через форму).
- Официальный аккаунт @TelegramSupport (если у вас есть доступ к какому‑то аккаунту Telegram для сообщения) — коротко и по делу.
- Twitter/X: @telegram — публичное упоминание с кратким фактом + ссылка на тикет. Не публикуйте личную информацию публично, только короткий запрос о статусе дела.
- В сообщении в теме четко укажите: «Account takeover — phone +XXXX — urgent — possible SIM swap / malware». Краткость и структура ускоряют обработку.
- Во вложении прикрепляйте только то, что реально помогает доказать право собственности и природу инцидента (email headers, скриншоты, время/IP). Слишком много «шумной» информации уменьшает оперативность.
- Подчеркните, что вы сменили пароли и обеспечили безопасность почты и SIM — это повышает шансы на оперативный ответ, потому что уменьшается риск дальнейшей компрометации.
6) Проверки на предмет оставшихся сессий/ключей после восстановления
- После восстановления доступа:
- В Telegram: Settings → Devices → завершить все сессии кроме текущей.
- Снять все связанные приложения (Active sessions), удалить сторонние боты/интеграции, удалить неизвестные сессии в web.telegram.org.
- Сменить cloud password и recovery e‑mail.
- Включить двухфакторную аутентификацию: надежный пароль (и сохраняйте резервную фразу).
- Проверьте и восстановите список контактов/чаты на предмет неизвестных изменений или отправленных сообщений.
- На устройствах: сделать «чистую» переустановку ОС и приложений, восстановление из проверенного бэкапа. Не возвращайте подозрительные файлы.
7) Юридические и дополнительные действия
- Если был SIM‑swap или похищены деньги/доступы — заявите в полицию и получите справку о заявлении (подойдет, если потребуется ускоренная проверка со стороны оператора или платформы).
- Свяжитесь с GitHub (если репозиторий был заблокирован/использован) и с провайдером хостинга/поставщиком почты для получения логов и подтверждающих писем.
8) Что делать пока ждёте ответа
- Не пробовать бесконечно входить и генералить ошибочные попытки — Telegram увеличивает блокировки за частые попытки.
- Собирать доказательства: оригиналы писем, скрины, логи, дату/время и IP.
- Подготовить заявленные документы (ID, фото с номером), чтобы сразу отправить их по запросу поддержки.
9) Если нужно — я могу помочь
Если хотите, пришлите (конфиденциально):
- точный формат телефона (+7...), время последнего реального входа (UTC), и текст/скрин письма от Telegram (заголовки e‑mail).
Я помогу составить шаблон письма в поддержку и перечень логов/команд для экспорта (Autoruns, список задач планировщика, netstat, PowerShell команды для экспорта событий и т.д.), которые удобно приложить к обращению.
Если хотите — начнём с того, чтобы вы прислали заголовок последнего письма от Telegram (полностью), и я объясню, что именно из него видно (IP, действие, тип письма) и какие тезисы включить в обращение в поддержку.