Как проверить архив .7z на наличие зашифрованного вредоносного кода

Автор На чтение 9 мин Просмотров 2 Опубликовано

Ситуация знакомая: пришёл архив .7z — от коллеги, от клиента, скачал с какого-то ресурса — и что-то с ним не так. Может, антивирус ругается, может, имя подозрительное, а может, вам просто нужно убедиться перед тем, как открывать. Проблема в том, что если архив зашифрован, обычный антивирус его внутрь не заглянет. И вот тут начинается самое интересное.

Я расскажу, как реально подступиться к такому архиву — какие есть методы, что работает, а что бесполезно, и как не навредить себе в процессе.

Содержание
  1. Почему .7z с паролем — это головная боль Формат 7z поддерживает шифрование AES-256. Это серьёзная криптография — перебрать пароль нереально, если он хоть мало-мальски сложный. И именно поэтому злоумышленники любят прятать вредоносные файлы внутри зашифрованных архивов: песочницы, антивирусы и прокси-шлюзы просто не могут заглянуть внутрь. Когда вы получаете зашифрованный .7z, у вас по сути два варианта: знаете пароль — можно извлечь и проверить содержимое; не знаете пароль — остаётся только внешний анализ и косвенные признаки. Большинство реальных угроз приходит именно во втором случае — пароль присылают отдельно, якобы «для безопасности», и пока вы его не введёте и не распакуете, вы не увидите, что внутри. Что можно узнать без пароля Даже не зная пароль, из .7z можно вытащить удивительно много информации. Формат 7z при шифровании по умолчанию шифрует имена файлов и содержимое, но не все метаданные. А если отправитель по неосторожности использовал настройки без шифрования имён — вы увидите структуру архива целиком. Шаг 1. Посмотрите, зашифрованы ли имена файлов Откройте архив в 7-Zip или другой программе, которая поддерживает формат. Если вы видите список файлов — вам повезло. Если видите сообщение о шифровании заголовков — значит, имён не видно, но кое-что другое проверить всё равно можно. В 7-Zip это делается просто: открываете архив, и если имена файлов отображаются — уже хорошо. Если пишет «Encrypted» и вместо имён пустота — заголовки зашифрованы. Шаг 2. Проверьте метаданные архива Даже при зашифрованных заголовках доступна общая информация: размер архива и размер распакованных данных; количество файлов; дата создания; метод сжатия; наличие или отсутствие шифрования имён. Это звучит скудно, но из этих данных уже можно сделать выводы. Например, архив весит 2 МБ, а распакованные данные якобы на 500 МБ — подозрительно. Или внутри один файл с расширением .exe весом 15 КБ — тоже красный флаг. Шаг 3. Проанализируйте сам файл архива Вот что можно сделать с самим файлом .7z, не зная пароль: Проверить хеш-суммы. Вычислите MD5, SHA-1 или SHA-256 файла и проверьте по базам вроде VirusTotal. Даже если содержимое зашифровано, сам файл архива может быть известным вредоносным. Прогнать через антивирус. Антивирус не заглянет внутрь зашифрованного архива, но может распознать сигнатуру самого файла-упаковщика или встроенный скрипт. Проверить через VirusTotal. Загрузите файл на virustotal.com. Если архив уже встречался ранее, его могут детектировать. Посмотреть структуру в HEX. В любом HEX-редакторе посмотрите начало файла. Сигнатура 7z — 37 7A BC AF 27 1C. Если файл начинается иначе — возможно, это не .7z, а что-то другое с подменённым расширением. Сравнение методов анализа зашифрованного .7z Метод Что даёт Ограничения Сложность Проверка метаданных в 7-Zip Размеры, количество файлов, даты, метод сжатия Не видно содержимого зашифрованных данных Элементарная HEX-анализ заголовка Подлинность формата, наличие вложенных файлов, аномалии в структуре Требует понимания формата 7z Средняя Проверка хеша через VirusTotal Есть ли архив в базах вредоносных файлов Работает только если файл уже попадал в базу Простая Антивирусное сканирование Обнаружение известных сигнатур упаковщика Не видит зашифрованное содержимое Простая Распаковка с паролем + проверка Полный доступ к содержимому и его анализ Нужен пароль; риск заражения при распаковке Простая (при наличии пароля) Анализ в песочнице (sandbox) Поведенческий анализ распакованных файлов Требует изолированной среды; нужен пароль Средняя Если пароль известен: безопасная распаковка Вот самый важный момент. Если вы вводите пароль и распаковываете архив прямо на рабочей машине — вы уже в зоне риска. Никогда так не делайте, если не уверены в источнике. Правильный порядок действий: Изолированная среда. Используйте виртуальную машину, которая не имеет доступа к вашей основной файловой системе и сети. Идеально — отключённую от интернета VM с снапшотом, к которому можно откатиться. Распакуйте архив. В изолированной среде введите пароль и извлеките содержимое. Проанализируйте файлы. Проверьте каждый файл из архива: расширения, размеры, хеш-суммы, сигнатуры. Запустите антивирус. Просканируйте извлечённые файлы минимум двумя разными движками. Проведите поведенческий анализ. Если файлы вызывают подозрение, запустите их в песочнице (Cuckoo Sandbox, Any.Run, Joe Sandbox) и посмотрите, что они делают. На что обращать внимание без распаковки Даже не распаковывая архив, можно собрать достаточно признаков, чтобы принять решение. Вот на что смотреть: Размер архива не соответствует содержимому. Крошечный архив, который якобы содержит документы на сотни мегабайт — подозрительно. Откуда пришёл архив. Неизвестный отправитель, неожиданная отправка, странное сопроводительное письмо — всё это весомые причины не доверять. Расширение файла. Файл называется «документы.7z», но по HEX определяется как .zip или вообще как .exe — классическая подмена. Двойное расширение. Имя типа «отчёт.7z.exe» — старая, но всё ещё рабочая уловка. Слишком сложное шифрование без видимых причин. Обычный пользователь редко шифрует архивы. Если отправитель — не ИТ-специалист и не работает с конфиденциальными данными, зашифрованный архив сам по себе повод для вопросов. Пароль приходит отдельно «для безопасности». Это любимый приём фишинга: архив проходит почтовый фильтр (антивирус не может проверить зашифрованное содержимое), а пароль присылают в отдельном письме или в СМС, чтобы обойти фильтры. Частые ошибки при проверке Люди регулярно совершают одни и те же промахи, когда имеют дело с подозрительными зашифрованными архивами: Распаковывают прямо на рабочий компьютер. Это самая грубая ошибка. Если внутри малварь — она начнёт работу сразу после распаковки. Отключают антивирус «потому что он мешает». Особенно часто это делают, когда антивирус блокирует что-то из архива. Если антивирус ругается — это не повод его отключать, а повод остановиться. Проверяют только один файл из архива. В зашифрованном архиве может быть десятки файлов. Проверка одного-двух ничего не гарантирует. Игнорируют расширения внутри архива. Файл .pdf.exe или .doc.js внутри архива — это не документ и не таблица, а исполняемый код. Доверяют зашифрованному архиву только потому, что отправитель знакомый. Аккаунт отправителя мог быть скомпрометирован. Знакомое имя не гарантирует безопасность содержимого. Не проверяют HEX-заголовок. Подмена расширения — тривиальная вещь, и проверка занимает секунды, но многие этого не делают. Инструменты, которые реально помогают Вот набор инструментов, которые я использую на практике для анализа подозрительных .7z-архивов: 7-Zip — для просмотра структуры и метаданных без распаковки. HxD или 010 Editor — HEX-редакторы для анализа заголовков и структуры файла. VirusTotal — проверка хеша архива по базам 70+ антивирусов. Any.Run или Joe Sandbox — онлайн-песочницы для поведенческого анализа файлов. PeStudio или CFF Explorer — для анализа исполняемых файлов, если они были извлечены из архива. HashCalc или 7-Zip (встроенная функция) — для вычисления хеш-сумм. Виртуальная машина (VirtualBox, VMware) — для безопасной распаковки и анализа. Сценарии: что делать в зависимости от ситуации Сценарий 1: Архив от известного отправителя, пароль известен Даже в этом случае не спешите распаковывать на основной машине. Сначала проверьте HEX-заголовк на соответствие формату 7z. Вычислите хеш и проверьте на VirusTotal. Если всё чисто — распакуйте в виртуальной машине, просканируйте содержимое антивирусом, и только потом переносите файлы в основную систему. Сценарий 2: Архив от неизвестного отправителя Не вводите пароль и не распаковывайте. Сначала проведите полный внешний анализ: HEX, хеш, антивирус, VirusTotal. Если хоть что-то вызывает подозрение — не открывайте. Если архив пришёл по почте — свяжитесь с отправителем по другому каналу и уточните, действительно ли он вам что-то присылал. Сценарий 3: Архив найден на флешке или скачан с сомнительного сайта Не открывайте вообще без предварительного анализа. Загрузите хеш на VirusTotal. Проверьте в песочнице. Если детекций нет, но что-то подозрительно — запускайте в виртуальной машине с отключённой сетью. Сценарий 4: Нужно проверить много архивов регулярно Если вы по роду деятельности постоянно получаете .7z-архивы (например, в службе безопасности или техподдержке), имеет смысл настроить автоматическую пайплайн-проверку: вычисление хеша → проверка по базам → распаковка в песочнице → сканирование → поведенческий анализ. Для этого можно использовать решения типа Cuckoo Sandbox с автоматической распаковкой при известном пароле. Признаки того, что архив скорее всего чистый Не существует стопроцентного способа гарантировать безопасность без распаковки и проверки содержимого. Но совокупность признаков может дать разумную уверенность: HEX-заголовок соответствует формату 7z; хеш не найден в базах вредоносных файлов; li>антивирус не детектирует угроз; отправитель известен и подтвердил отправку; размер архива соответствует заявленному содержимому; li>имена файлов внутри (если видны) имеют ожидаемые расширения; дата создания архива логична и соответствует контексту отправки. Итог: пошаговый чек-лист Вот краткий алгоритм, который стоит запомнить: Проверили HEX-заголовок — убедились, что это настоящий .7z. Вычислили хеш — проверили на VirusTotal и антивирусом. Открыли в 7-Zip — посмотрели метаданные без распаковки. Если имена файлов видны — проверили расширения на подозрительные. Если пароль известен — распаковали в изолированной среде. Просканировали извлечённые файлы антивирусом. Провели поведенческий анализ подозрительных файлов в песочнице. Только после всего этого перенесли файлы в рабочую среду. Зашифрованный .7z — это не приговор и не гарантия угрозы. Это просто файл, который требует аккуратного подхода. Главное правило: никогда не распаковывайте подозрительный зашифрованный архив на рабочей машине и никогда не отключайте антивирус ради открытия файла. Изолированная среда, проверка хеша, анализ метаданных — три простых шага, которые спасут вас от большинства проблем.
  2. Что можно узнать без пароля
  3. Шаг 1. Посмотрите, зашифрованы ли имена файлов
  4. Шаг 2. Проверьте метаданные архива
  5. Шаг 3. Проанализируйте сам файл архива
  6. Сравнение методов анализа зашифрованного .7z
  7. Если пароль известен: безопасная распаковка
  8. На что обращать внимание без распаковки
  9. Частые ошибки при проверке
  10. Инструменты, которые реально помогают
  11. Сценарии: что делать в зависимости от ситуации
  12. Сценарий 1: Архив от известного отправителя, пароль известен
  13. Сценарий 2: Архив от неизвестного отправителя
  14. Сценарий 3: Архив найден на флешке или скачан с сомнительного сайта
  15. Сценарий 4: Нужно проверить много архивов регулярно
  16. Признаки того, что архив скорее всего чистый
  17. Итог: пошаговый чек-лист

Почему .7z с паролем — это головная боль

Формат 7z поддерживает шифрование AES-256. Это серьёзная криптография — перебрать пароль нереально, если он хоть мало-мальски сложный. И именно поэтому злоумышленники любят прятать вредоносные файлы внутри зашифрованных архивов: песочницы, антивирусы и прокси-шлюзы просто не могут заглянуть внутрь.

Когда вы получаете зашифрованный .7z, у вас по сути два варианта:

  • знаете пароль — можно извлечь и проверить содержимое;
  • не знаете пароль — остаётся только внешний анализ и косвенные признаки.

Большинство реальных угроз приходит именно во втором случае — пароль присылают отдельно, якобы «для безопасности», и пока вы его не введёте и не распакуете, вы не увидите, что внутри.

Что можно узнать без пароля

Даже не зная пароль, из .7z можно вытащить удивительно много информации. Формат 7z при шифровании по умолчанию шифрует имена файлов и содержимое, но не все метаданные. А если отправитель по неосторожности использовал настройки без шифрования имён — вы увидите структуру архива целиком.

Шаг 1. Посмотрите, зашифрованы ли имена файлов

Откройте архив в 7-Zip или другой программе, которая поддерживает формат. Если вы видите список файлов — вам повезло. Если видите сообщение о шифровании заголовков — значит, имён не видно, но кое-что другое проверить всё равно можно.

В 7-Zip это делается просто: открываете архив, и если имена файлов отображаются — уже хорошо. Если пишет «Encrypted» и вместо имён пустота — заголовки зашифрованы.

Шаг 2. Проверьте метаданные архива

Даже при зашифрованных заголовках доступна общая информация:

  • размер архива и размер распакованных данных;
  • количество файлов;
  • дата создания;
  • метод сжатия;
  • наличие или отсутствие шифрования имён.

Это звучит скудно, но из этих данных уже можно сделать выводы. Например, архив весит 2 МБ, а распакованные данные якобы на 500 МБ — подозрительно. Или внутри один файл с расширением .exe весом 15 КБ — тоже красный флаг.

Шаг 3. Проанализируйте сам файл архива

Вот что можно сделать с самим файлом .7z, не зная пароль:

  1. Проверить хеш-суммы. Вычислите MD5, SHA-1 или SHA-256 файла и проверьте по базам вроде VirusTotal. Даже если содержимое зашифровано, сам файл архива может быть известным вредоносным.
  2. Прогнать через антивирус. Антивирус не заглянет внутрь зашифрованного архива, но может распознать сигнатуру самого файла-упаковщика или встроенный скрипт.
  3. Проверить через VirusTotal. Загрузите файл на virustotal.com. Если архив уже встречался ранее, его могут детектировать.
  4. Посмотреть структуру в HEX. В любом HEX-редакторе посмотрите начало файла. Сигнатура 7z — 37 7A BC AF 27 1C. Если файл начинается иначе — возможно, это не .7z, а что-то другое с подменённым расширением.

Сравнение методов анализа зашифрованного .7z

Метод Что даёт Ограничения Сложность
Проверка метаданных в 7-Zip Размеры, количество файлов, даты, метод сжатия Не видно содержимого зашифрованных данных Элементарная
HEX-анализ заголовка Подлинность формата, наличие вложенных файлов, аномалии в структуре Требует понимания формата 7z Средняя
Проверка хеша через VirusTotal Есть ли архив в базах вредоносных файлов Работает только если файл уже попадал в базу Простая
Антивирусное сканирование Обнаружение известных сигнатур упаковщика Не видит зашифрованное содержимое Простая
Распаковка с паролем + проверка Полный доступ к содержимому и его анализ Нужен пароль; риск заражения при распаковке Простая (при наличии пароля)
Анализ в песочнице (sandbox) Поведенческий анализ распакованных файлов Требует изолированной среды; нужен пароль Средняя

Если пароль известен: безопасная распаковка

Вот самый важный момент. Если вы вводите пароль и распаковываете архив прямо на рабочей машине — вы уже в зоне риска. Никогда так не делайте, если не уверены в источнике.

Правильный порядок действий:

  1. Изолированная среда. Используйте виртуальную машину, которая не имеет доступа к вашей основной файловой системе и сети. Идеально — отключённую от интернета VM с снапшотом, к которому можно откатиться.
  2. Распакуйте архив. В изолированной среде введите пароль и извлеките содержимое.
  3. Проанализируйте файлы. Проверьте каждый файл из архива: расширения, размеры, хеш-суммы, сигнатуры.
  4. Запустите антивирус. Просканируйте извлечённые файлы минимум двумя разными движками.
  5. Проведите поведенческий анализ. Если файлы вызывают подозрение, запустите их в песочнице (Cuckoo Sandbox, Any.Run, Joe Sandbox) и посмотрите, что они делают.

На что обращать внимание без распаковки

Даже не распаковывая архив, можно собрать достаточно признаков, чтобы принять решение. Вот на что смотреть:

  • Размер архива не соответствует содержимому. Крошечный архив, который якобы содержит документы на сотни мегабайт — подозрительно.
  • Откуда пришёл архив. Неизвестный отправитель, неожиданная отправка, странное сопроводительное письмо — всё это весомые причины не доверять.
  • Расширение файла. Файл называется «документы.7z», но по HEX определяется как .zip или вообще как .exe — классическая подмена.
  • Двойное расширение. Имя типа «отчёт.7z.exe» — старая, но всё ещё рабочая уловка.
  • Слишком сложное шифрование без видимых причин. Обычный пользователь редко шифрует архивы. Если отправитель — не ИТ-специалист и не работает с конфиденциальными данными, зашифрованный архив сам по себе повод для вопросов.
  • Пароль приходит отдельно «для безопасности». Это любимый приём фишинга: архив проходит почтовый фильтр (антивирус не может проверить зашифрованное содержимое), а пароль присылают в отдельном письме или в СМС, чтобы обойти фильтры.

Частые ошибки при проверке

Люди регулярно совершают одни и те же промахи, когда имеют дело с подозрительными зашифрованными архивами:

  • Распаковывают прямо на рабочий компьютер. Это самая грубая ошибка. Если внутри малварь — она начнёт работу сразу после распаковки.
  • Отключают антивирус «потому что он мешает». Особенно часто это делают, когда антивирус блокирует что-то из архива. Если антивирус ругается — это не повод его отключать, а повод остановиться.
  • Проверяют только один файл из архива. В зашифрованном архиве может быть десятки файлов. Проверка одного-двух ничего не гарантирует.
  • Игнорируют расширения внутри архива. Файл .pdf.exe или .doc.js внутри архива — это не документ и не таблица, а исполняемый код.
  • Доверяют зашифрованному архиву только потому, что отправитель знакомый. Аккаунт отправителя мог быть скомпрометирован. Знакомое имя не гарантирует безопасность содержимого.
  • Не проверяют HEX-заголовок. Подмена расширения — тривиальная вещь, и проверка занимает секунды, но многие этого не делают.

Инструменты, которые реально помогают

Вот набор инструментов, которые я использую на практике для анализа подозрительных .7z-архивов:

  • 7-Zip — для просмотра структуры и метаданных без распаковки.
  • HxD или 010 Editor — HEX-редакторы для анализа заголовков и структуры файла.
  • VirusTotal — проверка хеша архива по базам 70+ антивирусов.
  • Any.Run или Joe Sandbox — онлайн-песочницы для поведенческого анализа файлов.
  • PeStudio или CFF Explorer — для анализа исполняемых файлов, если они были извлечены из архива.
  • HashCalc или 7-Zip (встроенная функция) — для вычисления хеш-сумм.
  • Виртуальная машина (VirtualBox, VMware) — для безопасной распаковки и анализа.

Сценарии: что делать в зависимости от ситуации

Сценарий 1: Архив от известного отправителя, пароль известен

Даже в этом случае не спешите распаковывать на основной машине. Сначала проверьте HEX-заголовк на соответствие формату 7z. Вычислите хеш и проверьте на VirusTotal. Если всё чисто — распакуйте в виртуальной машине, просканируйте содержимое антивирусом, и только потом переносите файлы в основную систему.

Сценарий 2: Архив от неизвестного отправителя

Не вводите пароль и не распаковывайте. Сначала проведите полный внешний анализ: HEX, хеш, антивирус, VirusTotal. Если хоть что-то вызывает подозрение — не открывайте. Если архив пришёл по почте — свяжитесь с отправителем по другому каналу и уточните, действительно ли он вам что-то присылал.

Сценарий 3: Архив найден на флешке или скачан с сомнительного сайта

Не открывайте вообще без предварительного анализа. Загрузите хеш на VirusTotal. Проверьте в песочнице. Если детекций нет, но что-то подозрительно — запускайте в виртуальной машине с отключённой сетью.

Сценарий 4: Нужно проверить много архивов регулярно

Если вы по роду деятельности постоянно получаете .7z-архивы (например, в службе безопасности или техподдержке), имеет смысл настроить автоматическую пайплайн-проверку: вычисление хеша → проверка по базам → распаковка в песочнице → сканирование → поведенческий анализ. Для этого можно использовать решения типа Cuckoo Sandbox с автоматической распаковкой при известном пароле.

Признаки того, что архив скорее всего чистый

Не существует стопроцентного способа гарантировать безопасность без распаковки и проверки содержимого. Но совокупность признаков может дать разумную уверенность:

  • HEX-заголовок соответствует формату 7z;
  • хеш не найден в базах вредоносных файлов;

    • li>антивирус не детектирует угроз;

  • отправитель известен и подтвердил отправку;
  • размер архива соответствует заявленному содержимому;

    • li>имена файлов внутри (если видны) имеют ожидаемые расширения;

  • дата создания архива логична и соответствует контексту отправки.

Итог: пошаговый чек-лист

Вот краткий алгоритм, который стоит запомнить:

  1. Проверили HEX-заголовок — убедились, что это настоящий .7z.
  2. Вычислили хеш — проверили на VirusTotal и антивирусом.
  3. Открыли в 7-Zip — посмотрели метаданные без распаковки.
  4. Если имена файлов видны — проверили расширения на подозрительные.
  5. Если пароль известен — распаковали в изолированной среде.
  6. Просканировали извлечённые файлы антивирусом.
  7. Провели поведенческий анализ подозрительных файлов в песочнице.
  8. Только после всего этого перенесли файлы в рабочую среду.

Зашифрованный .7z — это не приговор и не гарантия угрозы. Это просто файл, который требует аккуратного подхода. Главное правило: никогда не распаковывайте подозрительный зашифрованный архив на рабочей машине и никогда не отключайте антивирус ради открытия файла. Изолированная среда, проверка хеша, анализ метаданных — три простых шага, которые спасут вас от большинства проблем.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком