Самый старый трюк — открыть файл. Но теперь PDF, который ты ‘открыл’, не показывал иконки загрузки и ничего не просил. Он просто получил твои сессии, пароли и доступ к банковским приложениям. Это не про вирусы, это про то, как одна деталь в системе безопасности — проверка реального типа файла — стала твоим главным уязвимым местом.
Как это работает: PDF, который им не является
Пользователь видит файл с привычным расширением .pdf в почте или мессенджере. Иконка в системе отображает логотип Acrobat Reader. Двойной клик — файл «открывается» в установленной программе для просмотра PDF. С этого момента начинается кража.
Механика основана на устаревшем, но до сих пор работающем поведении Windows: системе важнее расширение файла, чем его реальное содержимое. Злоумышленник создает исполняемый файл — например, скрипт на PowerShell или скомпилированную программу — и переименовывает его, добавив в конец имени «.pdf». Получается что-то вроде Договор_на_подпись.pdf.exe. Однако ключевой трюк в том, что последняя часть (.exe) может быть скрыта.
Windows по умолчанию скрывает расширения для известных типов файлов. Если у пользователя включена эта настройка, он увидит только Договор_на_подпись.pdf. Иконка при этом будет браться не из реального исполняемого файла, а ассоциироваться с расширением .pdf. Система обманывает сама себя, показывая картинку документа, но запуская программу.
Что происходит после запуска
Сценарии после успешного запуска маскированного файла разнообразны, но их цель одна — получение контроля, данных или денег.
Сбор информации и кража сессий
Скрипт первым делом собирает системную информацию: имя компьютера, пользователя, список установленного ПО, сетевые настройки. Затем он ищет файлы браузеров, в которых хранятся cookies, сохранённые пароли и активные сессии. Многие банковские приложения и сервисы используют для авторизации веб-интерфейсы. Украв сессионные cookie, злоумышленник получает доступ к аккаунту без необходимости знать логин и пароль — система считает его уже вошедшим пользователем.
Логирование и перехват ввода
Более продвинутые версии устанавливают клавиатурные шпионы (keyloggers), которые записывают всё, что пользователь вводит с клавиатуры, включая одноразовые коды из SMS. Другие скрипты могут делать скриншоты экрана в определённые моменты, например, при открытии окна интернет-банка.
Установка бэкдора и шифрование
В ряде случаев вредоносный код скачивает и устанавливает на компьютер более сложное ПО — так называемый бэкдор или троян. Это обеспечивает злоумышленнику постоянный удалённый доступ. Альтернативный сценарий — запуск шифровальщика, который блокирует все файлы пользователя с требованием выкупа.
Почему антивирус не всегда спасает
Современные защитные решения используют два основных метода: сигнатурный анализ и эвристику. Сигнатурный ищет известные последовательности байтов вредоносного кода. Если злоумышленник использует уникальный или зашифрованный скрипт, сигнатура может отсутствовать в базе.
Эвристический анализ пытается обнаружить подозрительное поведение. Но простой PowerShell-скрипт, который собирает данные из папки пользователя и отправляет их на внешний сервер через стандартные команды, может не вызвать серьёзных подозрений, особенно если он запущен от имени самого пользователя. Антивирус часто полагается на репутацию файлов и сертификаты. Самописный скрипт, только что созданный, не имеет ни того, ни другого, но это не гарантирует его блокировки.
Главная проблема в том, что антивирус работает поверх системы. Если пользователь сам, пусть и обманутый, даёт разрешение на запуск файла (двойным кликом), для многих защитных систем это выглядит как легитимное действие. Их задача — предотвратить скрытую установку, но не отменить осознанный (пусть и ошибочный) запуск.
Как защититься: не надеяться на иконку
Защита строится на изменении привычек и простых настройках системы.
- Всегда показывать расширения файлов. Это самая важная настройка в Windows. Она находится в параметрах проводника на вкладке «Вид». Когда вы видите
document.pdf.exe, двойное расширение становится очевидным предупреждением. - Проверять реальный тип файла. Можно кликнуть по файлу правой кнопкой мыши, выбрать «Свойства». На вкладке «Общие» в строке «Тип файла» будет указан его реальный формат. Если вы ждёте PDF, а там написано «Приложение» или «Скрипт Windows», это сигнал опасности.
- Открывать файлы из непроверенных источников в изолированной среде. Современные браузеры и некоторые программы просмотра PDF могут открывать файлы в защищённом «песочнице»-режиме, который ограничивает возможности скриптов. Для крайне подозрительных файлов можно использовать виртуальную машину.
- Использовать режим ограниченных прав. Работа за компьютером под учётной записью без прав администратора существенно снижает ущерб от многих атак. Вредоносный скрипт не сможет установить драйверы или внести изменения в системные каталоги.
- Внимание к исходу файла. Официальные организации и контрагенты редко присылают исполняемые файлы по электронной почте. Если вы не ждали конкретный файл от конкретного человека, любое вложение требует повышенного внимания.
Что делать, если файл уже запущен
Если есть подозрение, что вы запустили вредоносный файл, последовательность действий должна быть жёсткой и быстрой.
- Немедленно отключите компьютер от сети. Выдерните сетевой кабель или отключите Wi-Fi. Это предотвратит передачу собранных данных и блокирует удалённое управление.
- Запустите проверку антивирусом в режиме очистки. Используйте не только штатный антивирус, но и портативные сканеры, которые можно записать на USB-флешку с другого, чистого компьютера.
- Смените все пароли. Делать это нужно с другого, гарантированно чистого устройства (например, смартфона с мобильным интернетом). Начните с паролей от почты, мессенджеров и банковских сервисов. Включите двухфакторную аутентификацию везде, где это возможно.
- Обратитесь в банк. Сообщите в службу безопасности банка о возможной компрометации. Они могут заблокировать подозрительные операции или перевыпустить карты.
- Рассмотрите полную переустановку системы. Если был установлен сложный бэкдор или шифровальщик, гарантированно избавиться от него можно только чистой установкой ОС с форматированием системного раздела.
История с «PDF», укравшим 93 тысячи, — не пример новой сверхтехнологичной атаки. Это демонстрация того, как десятилетиями известная уязвимость человеческого фактора и настройки по умолчанию продолжают приносить результат. Безопасность начинается не с покупки дорогого антивируса, а с понимания, как система показывает вам файлы, и готовности изменить одну галочку в настройках.