Как найти и убрать вредоносные элементы из PowerPoint-презентации (.pptm)

Как найти и убрать вредоносные элементы из PowerPoint-презентации (.pptm)

Ты получил презентацию от коллеги — выглядит нормально, но что-то не так. Или ты скачал файл с сайта, где обещали «готовый шаблон для отчёта» — и теперь боишься открыть. Ты не один. .pptm-файлы — это PowerPoint-презентации с макросами. Они удобны, но именно макросы — главный вектор атак. Если ты не знаешь, как проверить такой файл, ты рискуешь открыть вирус, который украдёт данные, зашифрует файлы или превратит твой компьютер в бота.

Я не говорю «не открывай». Я говорю: открывай, но умно. Ниже — пошаговый способ, как проверить .pptm-файл на вредоносные элементы, не запуская его на своём компьютере. Это не теория — это то, что я делаю каждый день, когда получаю подозрительные файлы от клиентов, сотрудников или даже из почты.

Почему .pptm — это опасно, а .pptx — нет

Разница между .pptx и .pptm — одна буква. Но она критична.

• .pptx — обычный файл презентации. Без макросов. Без программного кода. Без скрытых сценариев. Безопасен.
• .pptm — файл с макросами. Это как встроенный VBA-скрипт (Visual Basic for Applications). Он может автоматически запускать команды: скачивать файлы, копировать данные из памяти, отключать антивирус, даже отправлять письма от твоего имени.

Злоумышленники знают: люди редко проверяют .pptm-файлы. Они рассчитывают на доверие. «Вот шаблон от бухгалтера», «Ты же просил обновлённую версию», «Это от клиента из Финляндии». И ты открываешь. А скрипт запускается в фоне — и ты даже не заметишь.

Как проверить .pptm-файл без запуска

Ты не должен открывать файл в PowerPoint. Ни в коем случае. Даже если включён «Безопасный режим» — макросы могут обойти защиту. Вот как проверить его безопасно.

1. Переименуй файл. Сделай копию .pptm и переименуй её в .zip. Например: отчёт_по_продажам.pptm → отчёт_по_продажам.zip.
2. Распакуй .zip. Открой архив через проводник Windows или любую программу вроде 7-Zip. Не запускай PowerPoint.
3. Проверь папку xl и macros. Внутри распакованного архива найди папку xl. Если она есть — это ошибка. В PowerPoint макросы хранятся в vbaProject.bin, который лежит в папке xl только в Excel. В PowerPoint — в папке ppt.
4. Ищи vbaProject.bin. Перейди в папку ppt. Там должен быть файл vbaProject.bin. Если его нет — макросов нет. Файл безопасен. Если есть — идём дальше.
5. Открой vbaProject.bin в текстовом редакторе. Запусти Блокнот (Notepad) или Notepad++ и открой этот файл. Не пытайся открыть его в PowerPoint.
6. Ищи подозрительные строки. Смотри на код. Вот что должно насторожить:
   • Shell — команда для запуска программ.
   • DownloadFile, WinHttp, URLDownloadToFile — скачивание файлов из интернета.
   • CreateObject("WScript.Shell") — создание скрипта для выполнения команд.
   • Set objShell = CreateObject("WScript.Shell") — почти всегда вредоносно.
   • Строки с длинными URL, например: http://bit.ly/xyz123 или http://185.22.123.45/evil.exe.
7. Проверь имя макроса. Если макрос называется AutoOpen, Document_Open, Workbook_Open — это сигнал. Эти макросы запускаются автоматически при открытии файла. Никакого «нажми кнопку» — всё происходит без твоего ведома.

Если ты видишь хотя бы одну из этих строк — файл вредоносный. Удаляй его. Не отправляй никому. Не пытайся «починить».

Что ещё искать: скрытые объекты и ссылки

Макросы — не единственный вектор. Вредоносные .pptm-файлы могут содержать:

• Скрытые слайды — с текстом, который не виден при показе, но содержит вредоносные ссылки.
• Ссылки на внешние ресурсы — например, изображения, загружаемые с подозрительных доменов. Проверь в редакторе: выбери все объекты, кликни правой кнопкой → «Формат изображения» → «Ссылка». Если ссылка ведёт на http://[числовой IP] или домен вроде cdn-secure[число].xyz — это тревожный знак.
• Скрытые макросы в объектах — например, в кнопках, фигурах, текстовых полях. Проверь все элементы: выдели их, нажми Alt + F11 — если открывается редактор VBA, значит, есть макрос. Но это уже требует запуска PowerPoint — поэтому лучше не рисковать и проверять через .zip.

Если ты не видишь кода в vbaProject.bin, но подозреваешь, что что-то не так — проверь размер файла. Нормальный .pptm с 10 слайдами и парой картинок — 1–3 МБ. Если файл весит 15 МБ и больше — он либо содержит встроенные видео, либо макросы, либо вредоносный код. Это повод для тревоги.

Сравнение: как вредоносные элементы выглядят в разных типах файлов

Вот что ты можешь встретить в разных форматах. Это поможет понять, где искать угрозу.

Запомни: если ты видишь vbaProject.bin + автозапуск + подозрительный URL + размер больше 8 МБ — это почти всегда вредоносный файл. Не открывай. Не отправляй. Удаляй.

Что делать, если ты уже открыл файл

Если ты случайно открыл .pptm-файл — не паникуй. Но действуй быстро.

• Отключи интернет. Выключи Wi-Fi или отключи кабель. Это остановит загрузку вредоносного ПО и передачу данных.
• Закрой PowerPoint. Не жди, пока он сам закроется. Нажми Ctrl + Alt + Del → «Диспетчер задач» → найди POWERPNT.EXE → «Завершить задачу».
• Просканируй компьютер. Запусти антивирус (Windows Defender, Kaspersky, Malwarebytes). Сделай полную проверку. Особенно проверь папки: %AppData%, %Temp%, C:\Windows\Temp.
• Проверь почту и браузер. Вредоносные макросы часто крадут учётные данные. Сменить пароли от почты, банков, корпоративных систем — обязательная процедура.
• Сообщи в ИТ-отдел. Даже если ты не из корпорации — если ты используешь рабочий компьютер, сообщи об этом. Это не «предательство» — это защита всей сети.

Если ты не уверен — сделай снимок диска (image) и передай его специалисту по кибербезопасности. Не пытайся «починить» сам — это может усугубить ситуацию.

Частые ошибки, которые приводят к заражению

Вот что делают люди — и потом удивляются, почему всё сломалось:

• Открывают .pptm без проверки. «Он же от коллеги!» — и открывают. Коллега мог быть взломан. Файл мог быть переслан через заражённую почту.
• Включают макросы, чтобы «посмотреть, как работает». Это как «попробовать включить бомбу, чтобы понять, как она работает». Не делай этого.
• Проверяют файл только антивирусом. Антивирус может не распознать новый, неизвестный вредоносный код. Он ловит только известные сигнатуры. А макросы часто пишутся под конкретную цель — и не попадают в базы.
• Думают, что «если не запускаешь макросы — всё ок». Некоторые вредоносные макросы запускаются автоматически, даже если ты нажал «Отключить макросы». Это не защита — это иллюзия.
• Отправляют заражённый файл другим. Даже если ты не открыл его — он может быть заражён. Пересылка = распространение угрозы.

Когда можно доверять .pptm-файлу

Не все .pptm — вредоносны. Есть легитимные случаи:

• Ты сам создал презентацию с макросами — например, автоматически генерируешь графики из Excel при открытии.
• Ты работаешь в компании, где есть внутренний шаблон с макросами — и ты знаешь, что он создан ИТ-отделом.
• Файл пришёл от проверенного партнёра, и ты заранее договорились о его использовании.

Но даже в этих случаях — проверяй. Даже если «это от босса». Взломать почту проще, чем кажется.

Что выбрать в зависимости от ситуации

Вот как действовать, если ты получил .pptm-файл:

• Если ты не знаешь отправителя — не открывай. Удаляй. Не пересылай. Не спрашивай «а что в нём?». Это не твоя задача — это задача отправителя.
• Если отправитель — коллега, но ты не ждал файл — напиши ему: «Привет, ты присылал .pptm? У меня в системе блокировка макросов — можешь переслать как .pptx?» Это не подозрительно — это нормально.
• Если ты работаешь в ИТ и должен проверить файл — используй виртуальную машину. Запусти его в изолированной среде (например, VirtualBox с отключённым интернетом). Не на своём рабочем компьютере.
• Если ты создаёшь .pptm для коллег — объясни им, зачем он нужен. Приложи документацию. И лучше, если это будет .pptx с внешними макросами (например, в Excel), а не встроенный код.

Как лучше сделать: рекомендации на практике

Вот что я рекомендую делать, чтобы не попасть в ловушку:

1. Всегда проси .pptx. Если тебе пришёл .pptm — попроси переслать как .pptx. Если говорят «там макросы нужны» — спроси: «Какие именно? Почему нельзя сделать это без макросов?»
2. Настрой PowerPoint на «Безопасный режим». В Файл → Параметры → Центр управления безопасностью → Параметры центра управления безопасностью → Параметры макросов → выбери «Отключить все макросы с уведомлением». Это не 100% защита, но останавливает большинство атак.
3. Используй антивирус с поведенческим анализом. Windows Defender в Windows 10/11 — нормальный вариант. Но лучше Kaspersky или Bitdefender. Они не просто ищут вирусы — они смотрят, что делает процесс при запуске.
4. Проверяй файлы через .zip. Это твой главный инструмент. Делай это регулярно. Даже если файл «от надёжного источника».
5. Обучи команду. Если ты руководитель — покажи коллегам этот способ. Сделай короткую инструкцию: «Никогда не открывайте .pptm без проверки через .zip». Это сэкономит тебе и компании сотни часов и тысячи рублей.

Итог: что делать прямо сейчас

Если ты читаешь это — значит, ты уже на правильном пути. Вот что тебе нужно сделать сейчас:

1. Найди все .pptm-файлы, которые ты получил за последние 2 недели.
2. Переименуй каждый в .zip.
3. Открой архив и найди ppt/vbaProject.bin.
4. Если файл есть — открой его в Блокноте. Ищи слова: Shell, DownloadFile, URL, WScript.
5. Если нашёл — удаляй файл. Не открывай. Не отправляй. Не спрашивай, «а что в нём?» — просто удаляй.
6. Если не нашёл — файл безопасен. Но в следующий раз — всё равно проверяй.
7. Скажи коллегам: «Пожалуйста, присылайте .pptx. Если нужны макросы — объясните, зачем».

Это не сложнее, чем проверить почту на фишинг. Но меньше людей об этом знают. Ты теперь один из тех, кто знает. И это спасёт не только тебя — а и твою команду, твою компанию, твоих клиентов.

Информация в этой статье носит ознакомительный характер. Если ты подозреваешь заражение системы, обратись к специалисту по кибербезопасности. Самостоятельное вмешательство может усугубить ситуацию.