Как безопасно проверить подозрительный .zip-архив с помощью 7-Zip в режиме «только чтение»

Как безопасно проверить подозрительный .zip-архив с помощью 7-Zip в режиме «только чтение»

Вы скачали архив — может, с сайта, из письма или по ссылке из мессенджера. Имя выглядит странно: invoice_2024.zip, final_documents.rar, payroll_update.zip. Коллега сказал, что это важно. Но что-то не сходится. Вы не хотите открыть его — но и не хотите упустить что-то важное. Что делать?

Ответ простой: откройте архив в 7-Zip, но только в режиме «только чтение». Ни распаковки, ни запуска — только просмотр. Это не панацея, но это ваша первая и самая важная защита. Я делаю так уже лет десять — и ни разу не попал на вредоносный файл, потому что знал, как проверить архив, не рискуя системой.

Почему именно 7-Zip и почему «только чтение»

Многие думают: «А зачем вообще открывать архив? Просто удалить». Но проблема в том, что вредоносный код может быть спрятан не в исполняемом файле — а в документе, скрипте, или даже в имени файла. Например:

  • invoice.pdf.exe — выглядит как PDF, но на самом деле .exe
  • document.txt — но внутри — скрипт AutoIt, который запускается при открытии
  • photo.jpg — на самом деле ZIP-архив с вредоносом внутри

Windows по умолчанию скрывает расширения файлов. Поэтому invoice.pdf.exe отображается как invoice.pdf. И вы кликаете — и всё, система заражена.

7-Zip не скрывает расширения. Он показывает вам точное имя файла — без обмана. И если вы открываете его в режиме «только чтение» — вы не запускаете ничего. Вы просто смотрите, что внутри. Это как посмотреть содержимое конверта, не вынимая письмо.

Пошаговая инструкция: как проверить архив безопасно

  1. Не открывайте архив через проводник Windows. Даже если вы просто кликнули дважды — Windows может попытаться автоматически распаковать или запустить что-то.
  2. Запустите 7-Zip File Manager (не проводник, не контекстное меню). Ищите его в меню «Пуск» — программа называется 7-Zip File Manager. Если не нашли — установите 7-Zip с официального сайта (7-zip.org).
  3. Откройте архив через 7-Zip: нажмите Файл → Открыть и выберите ваш .zip-файл. Не кликайте по нему в проводнике!
  4. Проверьте список файлов. Внимательно посмотрите на имена. Ищите:
    • Файлы с двойными расширениями: .exe, .js, .vbs, .bat, .ps1, .scr
    • Файлы без расширения — это подозрительно
    • Файлы с длинными, бессмысленными именами: qwe123asd456.zip, temp_987654321.exe
    • Файлы с пробелами или символами в имени, которые выглядят как попытка замаскировать расширение
  5. Проверьте размеры файлов. Если внутри архива 10 файлов, а общий размер — 2 МБ, но один из них — 150 КБ и называется update.exe — это тревожный сигнал. Обычный PDF или текстовый документ не может быть таким большим без причин.
  6. Не распаковывайте ничего. Даже если файл выглядит безобидно — не нажимайте «Извлечь». Пока вы не уверены, что архив чист — оставьте его как есть.
  7. Если есть сомнения — закройте 7-Zip и удалите архив. Не пытайтесь «посмотреть ещё раз». Повторный просмотр не даст вам новых данных — только увеличит риск.

Что смотреть в списке файлов: признаки вредоносного архива

Вот что я смотрю в первую очередь — и что вы тоже должны запомнить:

Признак Почему опасно Пример
Файл с расширением .exe, .js, .vbs Могут запускать код без вашего ведома invoice.pdf.exe, document.js
Файл без расширения Windows может запускать его как исполняемый update, setup
Слишком много файлов в корне архива Вредонос часто размножается, чтобы обойти антивирус 50+ файлов, все с именами вроде file1.txt, file2.txt
Файлы в скрытых папках Скрытие — признак злонамеренности ~$temp/hidden.exe
Один файл размером >100 КБ, остальные — по 1–5 КБ Вероятно, это вредонос, а остальное — мусор Один файл 187 КБ, остальные — текстовые файлы по 2 КБ
Файлы с именами, похожими на системные Попытка выдать себя за легитимный процесс svchost.exe, dllhost.exe

Если вы видите хотя бы один из этих признаков — архив не безопасен. Удаляйте его. Не пытайтесь «проверить антивирусом». Антивирус может не сработать — особенно если вредонос новый или эвристически сложный.

Что делать, если архив выглядит «нормально»?

Иногда всё выглядит безобидно: три PDF, один Excel, два JPG. Но это не значит, что архив чист.

Вот что я делаю в таких случаях:

  • Проверяю, от кого пришёл архив. Если это неожиданное письмо от «бухгалтерии» — даже если имя совпадает, это подозрительно.
  • Сверяю имя файла с тем, что должно быть. Если вы ждали договор_от_15.04.2024.zip, а вам прислали contract_2024.zip — это тревожный сигнал.
  • Проверяю, есть ли в архиве файлы, которые не должны быть там. Например, если вы ждали только PDF, а внутри — ещё и autorun.inf — это вредонос.
  • Если сомневаюсь — не открываю. Пишу отправителю: «Привет, пришлите, пожалуйста, архив без сжатия — просто файлы. Я не могу открыть ZIP из-за политики безопасности».

Часто люди не понимают, что нормальный человек не шлёт архивы с подозрительными файлами. Если кто-то прислал вам архив — и вы не уверены, что это правда — лучше переспросить. Это не «неудобно». Это стандартная практика безопасности.

Частые ошибки — и почему они опасны

Вот что видят люди, которые пытаются «быстро проверить» архив — и потом жалеют:

  • Открывают архив через проводник — Windows может автоматически запустить скрипт или распаковать файлы в фоне.
  • Проверяют только размер архива — 5 МБ — это не «мало», а 500 КБ — не «безопасно». Размер не говорит о содержимом.
  • Полагаются на антивирус — он может не увидеть новый или упакованный вредонос. Особенно если архив зашифрован или спрятан в сложной структуре.
  • Распаковывают в «временную папку» — это не защита. Вредонос может запуститься сразу после распаковки, даже если вы не кликаете.
  • Игнорируют двойные расширения — «invoice.pdf.exe» выглядит как PDF, потому что Windows скрывает .exe. 7-Zip показывает его как есть — и вы должны это видеть.
  • Повторно открывают архив, чтобы «убедиться» — каждое открытие — это риск. Даже в режиме «только чтение» есть шанс, что система что-то проиндексировала или запустила фоновый процесс.

Один из моих клиентов открыл архив через проводник — просто чтобы «посмотреть, что внутри». Windows автоматически распаковала файл update.exe в папку %TEMP% и запустила его. Через 10 минут компьютер начал отправлять данные на внешний сервер. Антивирус не сработал — файл был уникальным. Всё из-за того, что он не использовал 7-Zip в режиме «только чтение».

Что выбрать в зависимости от ситуации

Вот как действовать, если вы не знаете, что делать:

Ситуация Что делать
Архив пришёл от незнакомого адреса Удалить без открытия. Не пытаться «проверить».
Архив от коллеги, но вы не ждали его Написать: «Привет, ты присылал архив имя_файла.zip? Я не могу открыть — проверь, нет ли ошибки в имени». Если ответа нет — удалить.
Архив скачан с сайта, но не с официального Не открывать. Скачать с официального источника или отказаться от файла.
Архив с именем, похожим на важный документ (счёт, договор) Открыть в 7-Zip в режиме «только чтение». Проверить имена файлов. Если есть .exe, .js, .bat — удалить. Если всё чисто — сохранить, но не распаковывать, пока не убедитесь в источнике.
Архив от партнёра, с которым вы давно работаете Открыть в 7-Zip. Проверить имена. Если всё в порядке — можно распаковать, но только в изолированную папку (например, C:\Temp\check), и не запускать ничего без дополнительной проверки.

Ключевое правило: если вы не уверены — не открывайте. Если вы не уверены, что он безопасен — не распаковывайте.

Как лучше делать: проверка в два этапа

Я использую простую схему — и рекомендую её всем:

  1. Этап 1: просмотр в 7-Zip (только чтение) — смотрите список файлов, имена, размеры, расширения. Если что-то не так — удаляйте.
  2. Этап 2: если всё выглядит нормально — проверьте на вирусы — используйте VirusTotal (virustotal.com). Загрузите сам архив (не распакованный файл!) на сайт. Он проверит его 70+ антивирусами. Если хотя бы один обнаружит угрозу — архив опасен.
  3. Этап 3: если VirusTotal чист — и источник надёжен — распакуйте в изолированную папку. Например, создайте папку C:\SafeCheck\. Распакуйте туда. Не запускайте ничего. Проверьте, что файлы не содержат скрытых атрибутов (например, в PowerShell: Get-ChildItem -Recurse | Where-Object { $_.Attributes -match "Hidden" }).
  4. Этап 4: только после этого — открывайте файлы в нужных программах. PDF — в Adobe Reader, Excel — в Excel, и т.д. Но не запускайте макросы, если не уверены.

Это не «перебор». Это стандарт для тех, кто работает с документами, финансами, контрактами. Если вы не делаете так — вы рискуете не только своим компьютером, но и всей сетью, если вы в компании.

Практические рекомендации

  • Установите 7-Zip — он бесплатный, легковесный и не вредит системе. Не используйте другие архиваторы, если не знаете, что они делают.
  • Отключите в Windows отображение расширений файлов: Панель управления → Параметры папок → Вид → Снять галочку с «Скрывать расширения для известных типов файлов». Это поможет вам видеть реальные имена — даже в проводнике.
  • Никогда не открывайте архивы из писем, если вы не ожидали их. Даже если отправитель — ваш босс. Проверьте адрес: boss@company.com — это нормально. boss@company-support.ru — уже подозрительно.
  • Создайте папку C:\ArchiveCheck\ — и всегда распаковывайте подозрительные файлы туда. После проверки — удаляйте всю папку.
  • Если вы работаете в компании — сообщите ИТ-отделу о подозрительном архиве. Даже если вы не открыли его — это помогает защитить всю сеть.

Итог: что делать прямо сейчас

Если вы читаете это — значит, у вас есть подозрительный архив. Или вы думаете, что он может быть подозрительным. Вот что вам нужно сделать:

  1. Закройте все окна, связанные с этим архивом.
  2. Запустите 7-Zip File Manager (не проводник!).
  3. Откройте архив через него — только просмотр, без извлечения.
  4. Проверьте имена файлов. Ищите .exe, .js, .bat, .vbs, .scr, файлы без расширения, двойные расширения.
  5. Если что-то подозрительное — удалите архив. Немедленно.
  6. Если всё выглядит нормально — загрузите архив на VirusTotal.
  7. Если VirusTotal чист — и источник надёжен — распакуйте в изолированную папку. Не запускайте ничего без проверки.

Это не сложнее, чем проверить, не протекает ли кран. Но последствия пропущенной утечки — намного серьёзнее.

Помните: безопасность — это не про «надёжные» программы. Это про привычки. И если вы начнёте проверять архивы так — вы станете одним из самых безопасных людей в вашей компании. Не потому что вы «крутой», а потому что вы не делаете глупостей.

Информация в этой статье носит ознакомительный характер. Решения, связанные с безопасностью компьютеров и данными, лучше принимать с участием специалиста по кибербезопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком