Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

По умолчанию все версии Windows, включая самые последние, не отображают расширения файлов.

Windows не показывает расширения для всех тех типов файлов, которые широко известны и используются (JPG, GIF, AVI, MP3 и т. д.), но также и для исполняемых файлов, таких как EXE, COM, BAT.

Другими словами, по умолчанию Windows не показывает расширения для известных типов файлов: результат, полученный при доступе к окну «Этот компьютер», «Компьютер» или «Мой компьютер» и открытии любой папки, аналогичен следующему:

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Для каждого типа файла (в данном случае некоторых изображений, документа и файла в формате PDF) Windows не показывает соответствующее расширение, а просто отображает значок программы, используемой для открытия каждого элемента.

Просмотр расширений файлов в Windows

Windows не отображает расширения файлов, которые ей уже известны и для которых в реестре есть ассоциация расширение-приложение.

В Windows 7, чтобы узнать список расширений, которые операционная система считает «известными», просто введите «Изменить связанный тип файла» в поле «Поиск программ и файлов» кнопки «Пуск» и нажмите «Ввод».

В Windows 10 просто введите «Выбрать приложение по умолчанию для каждого типа файлов» в поле поиска операционной системы.

Мы предлагаем просматривать расширения файлов в Windows, открыв окно параметров любой папки.

Чтобы продолжить быстро, независимо от версии Windows, которую вы используете, вы можете нажать комбинацию клавиш Windows + R и ввести управление папками.

Когда появится окно, показанное на рисунке, просто щелкните вкладку «Вид», а затем снимите флажок «Скрыть расширения для известных типов файлов».

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Подтвердив нажатием кнопки OK, Windows отобразит расширения файлов, независимо от их типа, и, следовательно, также те, которые известны операционной системе.

Почему важно просматривать расширения файлов в Windows

Даже сегодня многие вредоносные программы используют второе (ложное) расширение перед своим реальным расширением.

Допустим, мы имеем дело с файлом с именемmalware.mp3.exe. Поскольку операционной системе известно расширение .EXE, она по умолчанию не отображает его. Вот что видит пользователь в случае с файлом nomemalware.mp3.exe:

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Пользователь может подумать, что файл представляет собой музыкальное произведение, хранящееся в формате MP3, и, таким образом, будет вынужден дважды щелкнуть по нему, не задумываясь.

На самом деле, если вы заметите «Приложение» вместо «MP3-аудио», вы должны сразу почувствовать «запах гари».

Поэтому, чтобы не попасть в какую-то ловушку, всегда полезно, как показано выше, попросить Windows показать расширение файла.

Обратите внимание на использование символов Unicode, позволяющих писать справа налево.

Эта тактика известна давно, но разработчики программных решений для обеспечения безопасности неоднократно заявляют о ней после обнаружения новых образцов вредоносного ПО, использующих ее.

Windows, как и другие операционные системы, допускает правильное отображение тех текстов, которые написаны справа налево.

В арабском, иврите и новоарамейском языке используется левосторонний способ письма, в то время как итальянский, очевидно, как и многие западные языки, является правосторонним.

В системе кодирования Unicode, в которой каждому символу присваивается уникальный код независимо от языка, компьютерной платформы и используемой программы, существует код (U+202E), позволяющий «перевернуть» строку символов.

Windows называет этот специальный (невидимый) символ «Принудительное чтение справа налево» или «Переопределение справа налево»:

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Попробуйте ввести карту символов в поле поиска Windows.

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Затем ищите символ U + 202E, пока этот код не появится в нижней строке окна карты символов.

В этот момент нажмите кнопку «Выбрать», а затем кнопку «Копировать»: специальный символ будет скопирован в память, в буфер обмена Windows.

Затем создайте временную папку и скопируйте туда файл C:WindowsSystem32calc.exe: это явно системный калькулятор.

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Переименуйте файл calc.exe, нажав клавишу F2, написав foto_vacanze_rel, затем нажмите CTRL + V, чтобы вставить ранее скопированный специальный символ, и, наконец, продолжайте писать gpj.exe.

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Вы получите файл, который только на первый взгляд имеет расширение .JPG, но на самом деле это не более чем исполняемый файл. Просто дважды щелкните по нему, и появится не изображение, а калькулятор Windows.

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Перейдя в окно свойств файла (правый клик, Свойства), в соответствии с формулировкой Тип файла, вы всегда будете читать реальный тип выбранного файла.

Обычно затем можно изменить значок исполняемого файла, чтобы установить еще более эффективную ловушку. Использование значка, который Windows отображает по умолчанию для изображений, может вызвать еще меньше подозрений, и пользователь, скорее всего, запустит исполняемый файл, файл JavaScript (.JS), сценарий PowerShell (.PS *) или вредоносный пакет (.BAT).

Символ U + 202E используется, чтобы ввести пользователей в заблуждение относительно реальной «идентичности» файла, особенно в системах, где флажок «Скрыть расширения для известных типов файлов» был правильно отключен.

Также нужно сказать, что некоторые программы (программы для обмена сообщениями и почтовые клиенты в примисе), могут не заметить «обманку» со спецсимволом U+202E. Как объяснил Касперский, например, программное обеспечение Telegram Messenger для настольных систем — на момент написания этой статьи — вылетает с ошибкой.

Просмотрите расширения файлов в Windows и разоблачите тех, кто использует опасные приемы

Тот, который показан Telegram Messenger (см. Изображение выше), представляет собой не файл PNG, а файл JavaScript с расширением .JS.

Поэтому необходимо уделять максимальное внимание файлам, которые вы загружаете и собираетесь открывать на своем компьютере. На первый взгляд безобидные объекты могут таить в себе опасные подводные камни.

Если у вас есть сомнения в подлинности файла, особенно если он получен из небезопасных источников, всегда полезно проверить его несколькими антивирусными ядрами, например, с помощью службы VirusTotal.

В связи с этим рекомендуем прочитать статью Проверка файла на наличие заражения перед его открытием.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.