- Как безопасно проверить подозрительный .zip-архив с помощью 7-Zip в режиме «только чтение»
- Почему именно 7-Zip и почему «только чтение»
- Пошаговая инструкция: как проверить архив безопасно
- Что смотреть в списке файлов: признаки вредоносного архива
- Что делать, если архив выглядит «нормально»?
- Частые ошибки — и почему они опасны
- Что выбрать в зависимости от ситуации
- Как лучше делать: проверка в два этапа
- Практические рекомендации
- Итог: что делать прямо сейчас
Как безопасно проверить подозрительный .zip-архив с помощью 7-Zip в режиме «только чтение»
Вы скачали архив — может, с сайта, из письма или по ссылке из мессенджера. Имя выглядит странно: invoice_2024.zip, final_documents.rar, payroll_update.zip. Коллега сказал, что это важно. Но что-то не сходится. Вы не хотите открыть его — но и не хотите упустить что-то важное. Что делать?
Ответ простой: откройте архив в 7-Zip, но только в режиме «только чтение». Ни распаковки, ни запуска — только просмотр. Это не панацея, но это ваша первая и самая важная защита. Я делаю так уже лет десять — и ни разу не попал на вредоносный файл, потому что знал, как проверить архив, не рискуя системой.
Почему именно 7-Zip и почему «только чтение»
Многие думают: «А зачем вообще открывать архив? Просто удалить». Но проблема в том, что вредоносный код может быть спрятан не в исполняемом файле — а в документе, скрипте, или даже в имени файла. Например:
- invoice.pdf.exe — выглядит как PDF, но на самом деле .exe
- document.txt — но внутри — скрипт AutoIt, который запускается при открытии
- photo.jpg — на самом деле ZIP-архив с вредоносом внутри
Windows по умолчанию скрывает расширения файлов. Поэтому invoice.pdf.exe отображается как invoice.pdf. И вы кликаете — и всё, система заражена.
7-Zip не скрывает расширения. Он показывает вам точное имя файла — без обмана. И если вы открываете его в режиме «только чтение» — вы не запускаете ничего. Вы просто смотрите, что внутри. Это как посмотреть содержимое конверта, не вынимая письмо.
Пошаговая инструкция: как проверить архив безопасно
- Не открывайте архив через проводник Windows. Даже если вы просто кликнули дважды — Windows может попытаться автоматически распаковать или запустить что-то.
- Запустите 7-Zip File Manager (не проводник, не контекстное меню). Ищите его в меню «Пуск» — программа называется 7-Zip File Manager. Если не нашли — установите 7-Zip с официального сайта (7-zip.org).
- Откройте архив через 7-Zip: нажмите Файл → Открыть и выберите ваш .zip-файл. Не кликайте по нему в проводнике!
- Проверьте список файлов. Внимательно посмотрите на имена. Ищите:
- Файлы с двойными расширениями: .exe, .js, .vbs, .bat, .ps1, .scr
- Файлы без расширения — это подозрительно
- Файлы с длинными, бессмысленными именами: qwe123asd456.zip, temp_987654321.exe
- Файлы с пробелами или символами в имени, которые выглядят как попытка замаскировать расширение
- Проверьте размеры файлов. Если внутри архива 10 файлов, а общий размер — 2 МБ, но один из них — 150 КБ и называется update.exe — это тревожный сигнал. Обычный PDF или текстовый документ не может быть таким большим без причин.
- Не распаковывайте ничего. Даже если файл выглядит безобидно — не нажимайте «Извлечь». Пока вы не уверены, что архив чист — оставьте его как есть.
- Если есть сомнения — закройте 7-Zip и удалите архив. Не пытайтесь «посмотреть ещё раз». Повторный просмотр не даст вам новых данных — только увеличит риск.
Что смотреть в списке файлов: признаки вредоносного архива
Вот что я смотрю в первую очередь — и что вы тоже должны запомнить:
| Признак | Почему опасно | Пример |
|---|---|---|
| Файл с расширением .exe, .js, .vbs | Могут запускать код без вашего ведома | invoice.pdf.exe, document.js |
| Файл без расширения | Windows может запускать его как исполняемый | update, setup |
| Слишком много файлов в корне архива | Вредонос часто размножается, чтобы обойти антивирус | 50+ файлов, все с именами вроде file1.txt, file2.txt |
| Файлы в скрытых папках | Скрытие — признак злонамеренности | ~$temp/hidden.exe |
| Один файл размером >100 КБ, остальные — по 1–5 КБ | Вероятно, это вредонос, а остальное — мусор | Один файл 187 КБ, остальные — текстовые файлы по 2 КБ |
| Файлы с именами, похожими на системные | Попытка выдать себя за легитимный процесс | svchost.exe, dllhost.exe |
Если вы видите хотя бы один из этих признаков — архив не безопасен. Удаляйте его. Не пытайтесь «проверить антивирусом». Антивирус может не сработать — особенно если вредонос новый или эвристически сложный.
Что делать, если архив выглядит «нормально»?
Иногда всё выглядит безобидно: три PDF, один Excel, два JPG. Но это не значит, что архив чист.
Вот что я делаю в таких случаях:
- Проверяю, от кого пришёл архив. Если это неожиданное письмо от «бухгалтерии» — даже если имя совпадает, это подозрительно.
- Сверяю имя файла с тем, что должно быть. Если вы ждали договор_от_15.04.2024.zip, а вам прислали contract_2024.zip — это тревожный сигнал.
- Проверяю, есть ли в архиве файлы, которые не должны быть там. Например, если вы ждали только PDF, а внутри — ещё и autorun.inf — это вредонос.
- Если сомневаюсь — не открываю. Пишу отправителю: «Привет, пришлите, пожалуйста, архив без сжатия — просто файлы. Я не могу открыть ZIP из-за политики безопасности».
Часто люди не понимают, что нормальный человек не шлёт архивы с подозрительными файлами. Если кто-то прислал вам архив — и вы не уверены, что это правда — лучше переспросить. Это не «неудобно». Это стандартная практика безопасности.
Частые ошибки — и почему они опасны
Вот что видят люди, которые пытаются «быстро проверить» архив — и потом жалеют:
- Открывают архив через проводник — Windows может автоматически запустить скрипт или распаковать файлы в фоне.
- Проверяют только размер архива — 5 МБ — это не «мало», а 500 КБ — не «безопасно». Размер не говорит о содержимом.
- Полагаются на антивирус — он может не увидеть новый или упакованный вредонос. Особенно если архив зашифрован или спрятан в сложной структуре.
- Распаковывают в «временную папку» — это не защита. Вредонос может запуститься сразу после распаковки, даже если вы не кликаете.
- Игнорируют двойные расширения — «invoice.pdf.exe» выглядит как PDF, потому что Windows скрывает .exe. 7-Zip показывает его как есть — и вы должны это видеть.
- Повторно открывают архив, чтобы «убедиться» — каждое открытие — это риск. Даже в режиме «только чтение» есть шанс, что система что-то проиндексировала или запустила фоновый процесс.
Один из моих клиентов открыл архив через проводник — просто чтобы «посмотреть, что внутри». Windows автоматически распаковала файл update.exe в папку %TEMP% и запустила его. Через 10 минут компьютер начал отправлять данные на внешний сервер. Антивирус не сработал — файл был уникальным. Всё из-за того, что он не использовал 7-Zip в режиме «только чтение».
Что выбрать в зависимости от ситуации
Вот как действовать, если вы не знаете, что делать:
| Ситуация | Что делать |
|---|---|
| Архив пришёл от незнакомого адреса | Удалить без открытия. Не пытаться «проверить». |
| Архив от коллеги, но вы не ждали его | Написать: «Привет, ты присылал архив имя_файла.zip? Я не могу открыть — проверь, нет ли ошибки в имени». Если ответа нет — удалить. |
| Архив скачан с сайта, но не с официального | Не открывать. Скачать с официального источника или отказаться от файла. |
| Архив с именем, похожим на важный документ (счёт, договор) | Открыть в 7-Zip в режиме «только чтение». Проверить имена файлов. Если есть .exe, .js, .bat — удалить. Если всё чисто — сохранить, но не распаковывать, пока не убедитесь в источнике. |
| Архив от партнёра, с которым вы давно работаете | Открыть в 7-Zip. Проверить имена. Если всё в порядке — можно распаковать, но только в изолированную папку (например, C:\Temp\check), и не запускать ничего без дополнительной проверки. |
Ключевое правило: если вы не уверены — не открывайте. Если вы не уверены, что он безопасен — не распаковывайте.
Как лучше делать: проверка в два этапа
Я использую простую схему — и рекомендую её всем:
- Этап 1: просмотр в 7-Zip (только чтение) — смотрите список файлов, имена, размеры, расширения. Если что-то не так — удаляйте.
- Этап 2: если всё выглядит нормально — проверьте на вирусы — используйте VirusTotal (virustotal.com). Загрузите сам архив (не распакованный файл!) на сайт. Он проверит его 70+ антивирусами. Если хотя бы один обнаружит угрозу — архив опасен.
- Этап 3: если VirusTotal чист — и источник надёжен — распакуйте в изолированную папку. Например, создайте папку C:\SafeCheck\. Распакуйте туда. Не запускайте ничего. Проверьте, что файлы не содержат скрытых атрибутов (например, в PowerShell:
Get-ChildItem -Recurse | Where-Object { $_.Attributes -match "Hidden" }). - Этап 4: только после этого — открывайте файлы в нужных программах. PDF — в Adobe Reader, Excel — в Excel, и т.д. Но не запускайте макросы, если не уверены.
Это не «перебор». Это стандарт для тех, кто работает с документами, финансами, контрактами. Если вы не делаете так — вы рискуете не только своим компьютером, но и всей сетью, если вы в компании.
Практические рекомендации
- Установите 7-Zip — он бесплатный, легковесный и не вредит системе. Не используйте другие архиваторы, если не знаете, что они делают.
- Отключите в Windows отображение расширений файлов: Панель управления → Параметры папок → Вид → Снять галочку с «Скрывать расширения для известных типов файлов». Это поможет вам видеть реальные имена — даже в проводнике.
- Никогда не открывайте архивы из писем, если вы не ожидали их. Даже если отправитель — ваш босс. Проверьте адрес: boss@company.com — это нормально. boss@company-support.ru — уже подозрительно.
- Создайте папку C:\ArchiveCheck\ — и всегда распаковывайте подозрительные файлы туда. После проверки — удаляйте всю папку.
- Если вы работаете в компании — сообщите ИТ-отделу о подозрительном архиве. Даже если вы не открыли его — это помогает защитить всю сеть.
Итог: что делать прямо сейчас
Если вы читаете это — значит, у вас есть подозрительный архив. Или вы думаете, что он может быть подозрительным. Вот что вам нужно сделать:
- Закройте все окна, связанные с этим архивом.
- Запустите 7-Zip File Manager (не проводник!).
- Откройте архив через него — только просмотр, без извлечения.
- Проверьте имена файлов. Ищите .exe, .js, .bat, .vbs, .scr, файлы без расширения, двойные расширения.
- Если что-то подозрительное — удалите архив. Немедленно.
- Если всё выглядит нормально — загрузите архив на VirusTotal.
- Если VirusTotal чист — и источник надёжен — распакуйте в изолированную папку. Не запускайте ничего без проверки.
Это не сложнее, чем проверить, не протекает ли кран. Но последствия пропущенной утечки — намного серьёзнее.
Помните: безопасность — это не про «надёжные» программы. Это про привычки. И если вы начнёте проверять архивы так — вы станете одним из самых безопасных людей в вашей компании. Не потому что вы «крутой», а потому что вы не делаете глупостей.
Информация в этой статье носит ознакомительный характер. Решения, связанные с безопасностью компьютеров и данными, лучше принимать с участием специалиста по кибербезопасности.
