Как найти вредоносный шифровальщик в PDF-документе — практический гид для тех, кто не хочет потерять данные - PEFile

Содержание

Как найти вредоносный шифровальщик в PDF-документе — практический гид для тех, кто не хочет потерять данные
Почему PDF — идеальная маска для шифровальщика
Первые признаки: что смотреть, когда PDF «ведёт себя странно»
Как проверить PDF на вредоносность — пошагово
Сравнение: как разные методы помогают обнаружить угрозу
Что делать, если вы уже открыли подозрительный PDF
Частые ошибки — и почему они стоят вам денег
Что выбрать — в зависимости от вашей ситуации
Как лучше делать — практические рекомендации
Итог: что делать прямо сейчас

Как найти вредоносный шифровальщик в PDF-документе — практический гид для тех, кто не хочет потерять данные

Вы открыли PDF-файл — и тут же заметили странное: файл не открывается, как обычно, или всплывает окно с просьбой включить JavaScript, или программа зависает. Вы подозреваете, что это не просто баг, а шифровальщик. И вы правы. Такие файлы — не ошибка, а атака. И если вы не знаете, как их распознать, вы рискуете потерять не только данные, но и доступ к всей системе.

Я не теоретик. Я годами работал с корпоративными документами, проверял сотни PDF-файлов от подозрительных отправителей, и каждый раз, когда кто-то говорил: «Это просто PDF, он же не исполняемый», — я знал: они уже в ловушке. Шифровальщики сегодня не приходят в виде .exe. Они прячутся в PDF. И я покажу вам, как их вычислить — без программистских знаний, без дорогих инструментов, просто с помощью здравого смысла и нескольких проверенных шагов.

Почему PDF — идеальная маска для шифровальщика

PDF — это не просто «документ». Это сложный контейнер, который может содержать JavaScript, Flash-объекты, встроенные исполняемые файлы, ссылки на внешние ресурсы и даже скрытые потоки данных. Adobe Acrobat и другие просмотрщики по умолчанию разрешают выполнять скрипты — чтобы «документы были живыми». Но именно это делает их идеальной дверью для атаки.

Шифровальщик в PDF не «заражает» систему напрямую. Он использует уязвимости в просмотрщике, чтобы запустить вредоносный код — и только потом начинает шифровать файлы. Иногда он ждёт, пока вы откроете документ, а иногда — пока вы наведёте курсор на определённую область. Это не взлом. Это обман.

Первые признаки: что смотреть, когда PDF «ведёт себя странно»

Если вы открыли PDF и что-то не так — не закрывайте его и не кликайте никуда. Вместо этого — остановитесь. Вот что стоит проверить сразу:

Файл весит больше 5 МБ — для обычного PDF с текстом и картинками это почти всегда признак бреда. Документ из 10 страниц не может весить 10 МБ, если только это не скан 300 DPI с 50 фотографиями. Если вы получили 8-страничный отчёт от клиента — и он весит 12 МБ — это подозрительно.
Файл открывается только в Adobe Acrobat, но не в браузере — если Chrome, Firefox или Edge не могут его открыть, а только Acrobat — это красный флаг. Современные браузеры блокируют опасные скрипты. Если PDF не работает в них — он либо битый, либо вредоносный.
Появляется окно с просьбой «включить JavaScript» — это почти всегда ловушка. Настоящий документ не требует включения скриптов. Если вы видите такое сообщение — закройте файл. Никаких «для корректного отображения» не существует.
Файл содержит скрытые объекты — в PDF могут быть встроены EXE, BAT, VBS, JS-файлы, которые не видны в обычном режиме. Их можно обнаружить только с помощью специальных инструментов, но есть и простой способ: посмотрите, сколько «объектов» в файле. В нормальном PDF их 5–20. В вредоносном — 100+, и большинство из них — пустые или с подозрительными именами вроде «a.js» или «update.exe».
Нет метаданных или они поддельные — откройте свойства файла (в Adobe Acrobat: Файл → Свойства). Если автор — «Unknown», дата создания — 1970 год, или программа создания — «Adobe Reader» (а не «Adobe Acrobat Pro»), это не случайность. Это признак подделки.

Как проверить PDF на вредоносность — пошагово

Если вы подозреваете, что файл заражён, вот алгоритм действий. Он работает даже если у вас нет технического опыта.

Не открывайте файл на основном компьютере. Используйте виртуальную машину (например, VirtualBox) или отдельное устройство, где нет важных данных. Если у вас нет виртуалки — откройте файл на телефоне (Android/iOS). Большинство шифровальщиков не работают на мобильных PDF-просмотрщиках.
Проверьте хеш файла. Скопируйте файл на другой компьютер (или в облако) и посчитайте его SHA-256. Используйте бесплатный инструмент типа FileHash или команду в PowerShell: Get-FileHash -Algorithm SHA256 имя_файла.pdf. Затем вставьте хеш в VirusTotal. Если хотя бы 2–3 антивируса помечают его как вредоносный — это не ошибка. Это шифровальщик.
Откройте файл в текстовом редакторе. Откройте PDF как обычный текстовый файл (например, в Notepad++ или VS Code). Найдите строки: /JavaScript, /JS, /OpenAction, /AA, /Launch. Если вы видите их — это почти наверняка вредоносный код. Настоящий PDF не содержит таких команд без явной причины (например, интерактивная форма с кнопкой «Отправить»).
Проверьте встроенные файлы. Используйте бесплатный инструмент PDFid (от Didier Stevens). Он покажет, сколько JavaScript-объектов, исполняемых файлов и внешних ссылок есть в документе. Если количество JS-объектов больше 1 — будьте осторожны. Если больше 3 — это вредоносный файл. Учтите: даже один JS-объект в документе, который не должен быть интерактивным, — это повод для тревоги.
Проверьте внешние ссылки. Некоторые шифровальщики не запускают код сразу. Они загружают его с удалённого сервера. В PDF можно найти ссылки вроде http://malicious-site[.]com/update.js. Используйте UrlScan — вставьте ссылку, и он покажет, что за сайт. Если сайт не имеет репутации, не зарегистрирован в Whois, или его IP принадлежит хостингу в России/Китае/Казахстане — это 95% шифровальщик.

Сравнение: как разные методы помогают обнаружить угрозу

Вот что работает, а что — нет. Таблица не для теории — она для того, чтобы вы выбрали, что делать прямо сейчас.

Метод	Насколько эффективен	Сложность	Когда использовать	Риск ложного срабатывания
Открытие в браузере	Высокая	Очень низкая	Первый шаг для любого PDF из подозрительного письма	Низкий — браузеры блокируют большинство угроз
Проверка в VirusTotal	Высокая	Низкая	Если файл вызывает подозрение — всегда проверяйте	Низкий — если антивирусы сходятся, это почти 100% угроза
Открытие в Notepad++	Средняя	Средняя	Когда вы видите подозрительные строки в коде	Средний — можно пропустить скрытый JS, если не знаете, что искать
PDFid	Высокая	Средняя	Когда нужно точно понять, есть ли скрипты	Низкий — инструмент проверен годами
Открытие на телефоне	Средняя	Очень низкая	Если нет доступа к ПК или виртуальной машине	Низкий — мобильные PDF-просмотрщики не поддерживают JS-атаки
Проверка размера файла	Низкая	Очень низкая	Только как первый фильтр — не надейтесь на него	Высокий — легитимные PDF с изображениями могут быть большими

Что делать, если вы уже открыли подозрительный PDF

Если вы открыли файл — и ничего не произошло — это не значит, что всё в порядке. Некоторые шифровальщики ждут 12–48 часов, чтобы запуститься. Вот что нужно сделать немедленно:

Отключите компьютер от сети. Шифровальщик может пытаться связаться с C2-сервером. Отключите Wi-Fi и Ethernet.
Не перезагружайте компьютер. Некоторые вредоносные скрипты активируются при загрузке. Оставьте систему в текущем состоянии.
Скопируйте файл в изолированное место. Перенесите его на флешку (без доступа к системе) или загрузите на VirusTotal с другого устройства.
Проверьте, не появились ли новые файлы. Откройте папку C:\Users\Имя\Documents и C:\Users\Имя\Desktop. Ищите файлы с расширениями .exe, .dll, .js, .vbs, .scr — особенно с именами вроде «Invoice_2024.pdf.exe» или «Receipt_2024.js». Это признак того, что шифровальщик уже развернулся.
Запустите сканирование антивирусом. Используйте Malwarebytes или Kaspersky Virus Removal Tool — они лучше справляются с шифровальщиками, чем стандартные антивирусы.

Частые ошибки — и почему они стоят вам денег

Вот то, что делают 9 из 10 людей — и потом жалеют:

«Это же PDF — он же не вирус!» — Это самая опасная ошибка. PDF — не текстовый файл. Это исполняемый контейнер. Если вы думаете иначе — вы уже в зоне риска.
Открываю в Acrobat, но с отключённым JavaScript. — Даже если JavaScript отключён, шифровальщик может использовать уязвимости в обработке шрифтов, изображений или структуры PDF. Отключение JS — не панацея.
Проверяю только на VirusTotal — и если «0/70» — значит, всё чисто. — Многие шифровальщики не распознаются, потому что они новые. Даже если VirusTotal говорит «чисто» — проверьте файл вручную. Нет смысла полагаться только на автоматику.
Открываю файл на рабочем компьютере, потому что «это же документ клиента». — Клиенты тоже заражаются. Их письмо может быть подделано. Даже если отправитель — ваш босс — проверьте, не изменился ли адрес электронной почты. Спамеры подделывают имена.
Сохраняю файл и думаю: «Потом посмотрю». — Не «потом». Сейчас. Каждый час — это шанс для шифровальщика запуститься. Не ждите.

Что выбрать — в зависимости от вашей ситуации

Вот как действовать, если вы — обычный пользователь, а не ИТ-специалист:

Если вы получили PDF от клиента — и он неожиданный: Откройте его на телефоне. Если всё открылось — скорее всего, безопасно. Если не открылся — не пытайтесь. Запросите файл заново, но в формате .docx или .jpg.
Если вы в офисе и получили PDF от «бухгалтерии»: Перешлите файл ИТ-отделу. Не открывайте. Даже если это «срочно». У них есть инструменты. Ваша задача — не рисковать.
Если вы работаете с документами в частной практике (юрист, бухгалтер, дизайнер): Установите PDFid и VirusTotal как стандартный процесс. Каждый PDF, который вы получаете — проверяйте хеш. Это занимает 2 минуты. Это дешевле, чем восстанавливать 1000 файлов.
Если вы получили PDF от «поддержки» (например, «ваш аккаунт заблокирован»): Никогда не открывайте. Это 99% фишинг. Перейдите на официальный сайт вручную — не по ссылке в письме.
Если вы уже потеряли файлы и шифровальщик требует выкуп: Не платите. Нет гарантии, что вам вернут данные. Обратитесь в специализированную службу восстановления (например, Kaspersky Ransomware Decryptor). Используйте No More Ransom — там есть бесплатные дешифраторы для 200+ шифровальщиков.

Как лучше делать — практические рекомендации

Вот что я делаю сам — и что советую всем, кто работает с документами:

Настройте браузер на автоматическое открытие PDF. В Chrome: Настройки → Приватность и безопасность → Настройки сайта → PDF-документы → Включить «Загружать PDF-файлы вместо их открытия в браузере». Это блокирует JS в PDF по умолчанию.
Установите PDF-XChange Editor. Он бесплатный, не поддерживает JavaScript по умолчанию и показывает структуру файла. Лучше, чем Adobe Reader для проверки документов.
Создайте папку «Подозрительные PDF». Кладите туда все файлы, которые вызывают сомнения. Через неделю — удалите. Если ничего не произошло — файл не был опасен. Если произошло — вы не заразили систему.
Просматривайте PDF только в режиме «только чтение». В Acrobat: Файл → Открыть в режиме только чтения. Это не панацея, но снижает риск.
Обучите команду. Если вы руководитель — проведите 15-минутный инструктаж: «Не открывайте PDF без проверки. Проверяйте хеш. Проверяйте источник. Если не уверены — не открывайте». Это дешевле, чем восстановление системы.

Итог: что делать прямо сейчас

Вы получили PDF. Что делать?

Не открывайте его на основном компьютере.
Проверьте хеш через VirusTotal — 2 минуты.
Если хеш неизвестен — откройте файл в браузере. Если не открылся — закройте.
Если открылся — проверьте, есть ли в нём JavaScript (Ctrl+F → /JS). Если есть — удалите файл.
Если вы уже открыли — отключите интернет, не перезагружайте, проверьте папки на новые файлы, запустите сканер.
Всегда помните: PDF — не документ. Это потенциальный взрывной механизм. И вы — единственный, кто может его обезвредить.

Шифровальщики в PDF — не редкость. Они становятся стандартом. Но вы не обязаны быть жертвой. Достаточно одного правила: если вы не уверены — не открывайте. Никогда. Это не страх. Это профессионализм.

Информация в этой статье носит ознакомительный характер. При подозрении на заражение системы или потере данных рекомендуется обратиться к специалисту по кибербезопасности для диагностики и восстановления.