Как понять, что макрос в Word или Excel — не просто «нужный файл», а угроза кражи данных

Как понять, что макрос в Word или Excel — не просто «нужный файл», а угроза кражи данных

Вы получили файл .docx или .xlsx от коллеги, клиента, партнёра — и он просит включить макросы. Вы нажимаете «Включить содержимое», потому что «всё в порядке», «это же из офиса», «они же не врут». А через час в вашей сети начинают исчезать файлы, кто-то из сотрудников получает письмо с требованием выкупа, а в логах сервера — подозрительные исходящие подключения к неизвестным IP.

Это не теория. Это реальный сценарий, который я видел не раз — и каждый раз он начинался с одного и того же: человек не знал, как отличить легитимный макрос от вредоносного. И не потому что он глупый. Просто никто не учил его смотреть на признаки эксплуатации.

В этой статье — только то, что нужно, чтобы понять: ваш макрос — враг или союзник. Без теории про VBA, без объяснений, как пишутся макросы. Только признаки, которые реально видны в поведении системы, и действия, которые вы можете сделать прямо сейчас.

Что происходит, когда макрос начинает красть данные

Макрос в Office — это маленькая программа, которая может делать всё, что может сделать человек: читать файлы, отправлять письма, скачивать программы, менять настройки системы. В легитимных сценариях — это удобно: автоматизация отчётов, обработка списков, импорт данных. Но злоумышленники используют это же, чтобы:

• Считать все файлы из папок «Документы», «Рабочий стол», «Общие»;
• Отправить их на внешний сервер через HTTP-запросы;
• Установить обратный канал связи (reverse shell), чтобы контролировать компьютер извне;
• Красть учётные данные из браузера, Outlook, сохранённых паролей в Windows;
• Отключить антивирус или брандмауэр.

Всё это происходит без вашего ведома. Макрос запускается автоматически при открытии файла. Вы даже не видите, что он делает — он работает в фоне. И вот как это выглядит на практике.

7 реальных признаков, что макрос — не в порядке

Если вы видите хотя бы два из этих признаков — файл уже не «нужный», а заражённый. Не ждите, пока что-то сломается. Действуйте сразу.

1. Файл открывается, но Office ждёт «Включить макросы» — это нормально. Но если вы не ожидали макроса, а файл пришёл от незнакомого отправителя или с подозрительного домена — это тревожный звонок. Легитимные компании не отправляют документы с макросами без предупреждения и объяснения.
2. Появляется окно с запросом на доступ к «внешним ресурсам» — например, «Доступ к сети» или «Чтение файлов из папки». Это не стандартное поведение. Даже в корпоративных макросах такого не бывает — всё работает локально. Если вы видите это окно — это попытка получить разрешение на доступ к вашим данным.
3. Компьютер начинает тормозить без видимой причины — особенно если вы открыли файл и сразу заметили, что диск работает на 100%, а процессор греется. Макрос может копировать сотни файлов — и это нагрузка, которую вы легко заметите в Диспетчере задач.
4. Появляются новые файлы с подозрительными расширениями — например, .dll, .exe, .vbs в папке Temp или в папке пользователя. Макросы часто скачивают вредоносные компоненты, чтобы расширить свои возможности. Если вы не устанавливали ничего — это красный флаг.
5. Антивирус ругается на «подозрительное поведение» — не на «вирус», а именно на «подозрительное поведение». Это важно. Антивирус не всегда знает, что это за файл, но он видит, что процесс Office пытается подключиться к IP-адресу в России, Китае или на хостинге с непонятным доменом (например, hxxps://[randomstring].duckdns.org).
6. Изменяются настройки браузера или появляются новые расширения — макросы могут использовать PowerShell или WMI для изменения реестра Windows. Если вы вдруг обнаружили, что домашняя страница в Chrome поменялась, или появилось расширение «OfficeUpdater» — это результат работы макроса.
7. Письма с вашей почты отправляются без вашего участия — макрос может читать ваши контакты Outlook и рассылать заражённые файлы. Если вы получаете жалобы от коллег: «Ты мне отправил файл с макросом?», — это значит, что ваш компьютер уже в цепочке заражения.

Как проверить макрос, не запуская его

Не открывайте файл в обычном режиме. Даже если вы не нажимаете «Включить макросы», некоторые вредоносные макросы работают и без этого — особенно если вы используете Office 365 с обновлёнными версиями. Вот как безопасно проверить файл:

1. Переименуйте файл: документ.docx → документ.zip
2. Распакуйте архив. Внутри будет папка word (или xl для Excel).
3. Откройте папку word → macros (если её нет — макросов нет). Если есть — откройте файл vbaProject.bin в текстовом редакторе (Notepad++ или VS Code).
4. Ищите подозрительные строки:
   • Shell — запуск внешних программ;
   • HTTP, WinHttp, MSXML2.XMLHTTP — попытки отправить данные в сеть;
   • CreateObject("WScript.Shell") — доступ к системе;
   • FileSystemObject — чтение/запись файлов;
   • Длинные строки с кодом, которые выглядят как набор случайных символов — это обфускация (сокрытие кода).
5. Если вы видите хотя бы одну из этих строк — файл опасен. Удалите его. Не открывайте.

Если вы не умеете читать код — не страшно. Главное — понимать: если файл пришёл от незнакомца, и вы не ожидали макроса — он не должен быть в вашей системе.

Таблица: Легитимный макрос vs Вредоносный

Что делать, если вы уже открыли подозрительный файл

Если вы случайно включили макрос — не паникуйте. Но действуйте быстро. Время — ваш главный ресурс.

1. Отключите компьютер от сети — выньте кабель или отключите Wi-Fi. Это остановит передачу данных.
2. Не закрывайте файл — если вы закроете Office, макрос может запуститься при следующем открытии. Оставьте файл открытым, но не трогайте его.
3. Запустите Диспетчер задач — найдите процесс WINWORD.EXE или EXCEL.EXE. Щёлкните правой кнопкой → «Свойства» → вкладка «Подробности». Смотрите на путь к файлу. Если он в C:\Users\...\AppData\Local\Temp\ — это подозрительно. Легитимные файлы Office лежат в C:\Program Files\Microsoft Office\....
4. Проверьте сетевые подключения — откройте командную строку и введите: netstat -ano. Ищите подключения к IP-адресам, которые не принадлежат вашей компании. Если есть подключения к портам 80, 443, 8080 к неизвестным доменам — это признак утечки данных.
5. Запустите сканер в режиме безопасной загрузки — перезагрузите компьютер в безопасном режиме и запустите антивирус (Malwarebytes, Kaspersky, Windows Defender). Он найдёт скрытые файлы, которые макрос мог установить.
6. Смените пароли — особенно от почты, корпоративных систем, облачных хранилищ. Макрос мог украсть учётные данные.

Частые ошибки — и как их избежать

Я видел, как опытные IT-специалисты падали на этом. Вот самые типичные ошибки:

• «Он же из офиса — не может быть вирусом» — злоумышленники взламывают почту сотрудников и рассылают файлы от их имени. Проверяйте адрес отправителя — не только имя, а настоящий email. Поддельный адрес: finance@company.com на самом деле может быть finance@company-support.ru.
• «Я не нажимал «Включить макросы» — значит, ничего не случилось» — некоторые макросы работают через триггеры: открытие документа, изменение ячейки, сохранение файла. Они не требуют явного разрешения.
• «У меня антивирус — он всё найдёт» — большинство антивирусов не распознают макросы, пока они не стали известны. Новые варианты (zero-day) обходят защиту. Антивирус — это не панацея, а последний барьер.
• «Я просто открою в Word Online» — Word Online не запускает макросы, но если вы скачаете файл обратно — вы рискуете снова запустить его. Не доверяйте облаку как «безопасному» месту для макросов.
• «Я удалю файл — и всё» — макрос мог уже установить бэкдор. Даже если файл удалён, вредоносный код может остаться в реестре, автозагрузке или в папке Temp. Требуется полная проверка системы.

Когда можно доверять макросу — и когда нельзя

Не все макросы — враги. Но доверять нужно только при соблюдении трёх условий:

• Вы сами его создали — или знаете, кто его создал, и доверяете этому человеку.
• Он подписан цифровой подписью — в Office есть функция «Проверка цифровой подписи». Если подпись действительна и выдаётся известной организацией — это хороший знак. Но даже подписанные макросы могут быть скомпрометированы — поэтому проверяйте источник.
• Он не требует доступа к системе — если макрос делает только то, что нужно для документа: считает сумму, форматирует таблицу, генерирует PDF — это безопасно. Если он запрашивает доступ к файлам, папкам, сети — это тревога.

Если вы в компании: — установите политику: макросы разрешены только для определённых папок (например, «\\corp\macros\approved»), и только с цифровой подписью. Все остальные — блокируются на уровне сервера.

Если вы частное лицо: — никогда не включайте макросы из писем. Даже если «это от банка» или «от службы поддержки». Всегда спрашивайте: «Почему вы отправляете это через макрос? Есть ли альтернатива?»

Как сделать безопаснее — 5 практических шагов

1. Отключите макросы по умолчанию — в Office: Файл → Параметры → Центр управления безопасностью → Параметры центра управления безопасностью → Параметры макросов → «Отключить все макросы с уведомлением». Это не помешает легитимным макросам — вы всё равно сможете включить их вручную, если уверены.
2. Установите ограничения на загрузку файлов — в корпоративной среде используйте GPO или MDM, чтобы блокировать файлы с макросами из внешних источников. Разрешайте только из доверенных папок.
3. Обучите команду — проведите 15-минутный тренинг: «Как распознать подозрительный файл». Покажите реальные примеры. Люди не виноваты, если им не объяснили.
4. Используйте альтернативы макросам — если нужно автоматизировать отчёты — используйте Power Query, Excel-формулы, шаблоны. Если нужен скрипт — пишите его на Python и запускайте отдельно. Макросы — это устаревший способ автоматизации. Есть лучше.
5. Регулярно проверяйте логи — если у вас есть SIEM или даже просто журналы Windows, ищите события: Event ID 4688 (создание процесса) с участием cmd.exe, powershell.exe из winword.exe или excel.exe. Это признак компрометации.

Итог: что делать прямо сейчас

Если вы читаете это — вы уже на шаг впереди. Большинство людей не знают, что макросы могут красть данные. Вы знаете. Теперь — действия.

• Если вы получили файл с макросом — не открывайте. Проверьте его через ZIP-архив.
• Если вы уже открыли — отключите интернет, проверьте процессы, запустите сканер.
• Если вы в компании — требуйте политики блокировки макросов по умолчанию.
• Если вы частный пользователь — никогда не включайте макросы из писем. Никогда.

Макросы — не враги. Но они — инструмент. И как любой инструмент, они опасны, если не знаешь, как им пользоваться. Не включайте их, потому что «всё в порядке». Включайте, только если вы точно знаете, что делает код, откуда он пришёл и зачем он нужен.

Информация в этой статье носит ознакомительный характер. Если вы подозреваете, что ваша система скомпрометирована, обратитесь к специалисту по кибербезопасности для полной диагностики и восстановления.