За 2025 год через вредоносные RAR-архивы заразились десятки тысяч пользователей только в России, по данным исследователей в области информационной безопасности. Причем большинство из них даже не подозревали, что обычный архив с якобы важными документами может превратить их компьютер в часть ботнета или украсть все пароли, включая данные для входа в онлайн-банкинг.
WinRAR остается одним из самых популярных архиваторов в мире, но именно его массовость делает программу лакомым куском для киберпреступников. Проблема не только в самой программе. Дело в том, что архивы создают идеальную среду для маскировки вредоносного кода. Антивирусы часто не могут просканировать содержимое запароленных архивов, а пользователи привыкли доверять файлам, которые приходят от знакомых или скачиваются с проверенных сайтов. Ну а хакеры этим активно пользуются.
Способ №1: Подмена расширений и двойная маскировка
Самая простая и при этом невероятно эффективная схема. Представьте, что вам на почту приходит архив с названием "Акт_сверки_2026.pdf.rar". Вы его открываете, видите внутри файл "Акт_сверки_2026.pdf" и спокойно запускаете. Только вот это не PDF.
Хакеры используют особенность Windows, которая по умолчанию скрывает расширения файлов. Реальное имя файла может выглядеть как "Акт_сверки_2026.pdf.exe", но система покажет вам только "Акт_сверки_2026.pdf". В итоге вместо документа вы запускаете исполняемый файл, который моментально заражает систему. К моменту, когда вы поймете, что что-то не так, трояны уже разошлись по всем папкам.
| Что видит пользователь | Что на самом деле | Результат |
|---|---|---|
| Документ_2026.pdf | Документ_2026.pdf.exe | Запуск вредоносной программы |
| Фото_отпуск.jpg | Фото_отпуск.jpg.scr | Установка шпионского ПО |
| Договор.docx | Договор.docx.com | Загрузка троянского вируса |
Особенно часто эту схему применяют в корпоративной переписке. Злоумышленники взламывают почтовые ящики сотрудников компаний и рассылают от их имени архивы с якобы важными документами. Получатель видит знакомый адрес отправителя, тему письма в духе "Срочно: счет на оплату" и не задумываясь открывает вложение.
Чтобы усложнить обнаружение, киберпреступники часто используют иконки документов для исполняемых файлов. То есть .exe файл визуально выглядит как PDF или Word-документ. Добавьте сюда несколько уровней вложенности в архиве, и получается почти идеальная ловушка. Пользователь распаковывает архив, видит папку "Документы 2026", внутри еще один архив, в нем папка "Акты", а там уже файл с привычной иконкой PDF. Кто в таком лабиринте будет проверять реальное расширение?
Интересно, что такие атаки работают даже на технически подкованных людях. Недавно был случай, когда системный администратор крупной компании заразил рабочую сеть именно таким образом. Он получил письмо якобы от поставщика ПО с обновлением безопасности, в архиве был файл update_security.pdf.exe, замаскированный под документ с инструкцией. Результат предсказуем: вымогатель заблокировал файлы на сотнях рабочих станций.
Способ №2: Эксплуатация уязвимостей WinRAR
В WinRAR регулярно находят критические уязвимости, позволяющие выполнить произвольный код просто при открытии архива. Звучит фантастически, но это реальность. Например, знаменитая CVE-2023-38831 позволяла хакерам создавать специально сформированные RAR-файлы, которые запускали вредоносный код еще до того, как пользователь что-то сделал с содержимым.
Механизм работы такой: злоумышленник создает архив с обычным файлом, допустим, изображением или документом. Но в архив внедряется скрытая папка с тем же именем и расширением, внутри которой лежит исполняемый файл. При попытке открыть "безопасный" файл через интерфейс WinRAR программа по ошибке запускает вредонос из скрытой папки. Пользователь даже не понимает, что произошло.
Проблема в том, что многие до сих пор используют устаревшие версии WinRAR. Программа обновляется не так часто, а пользователи вообще не следят за апдейтами архиватора. Зачем? Он же просто распаковывает файлы. Вот это "просто" и становится проблемой. Хакеры знают, что миллионы людей сидят на версиях 2018-2020 годов с кучей непропатченных дыр.
Наиболее опасные типы уязвимостей WinRAR:
- Выполнение произвольного кода при открытии специально сформированного архива
- Обход защиты путем записи файлов в системные директории при распаковке
- Переполнение буфера при обработке имен файлов с нестандартными символами
- Уязвимости в обработке ACE-архивов (формат практически не используется, но поддерживается)
- Возможность внедрения вредоносного кода через поврежденные заголовки архивов
Другая распространенная уязвимость связана с обработкой путей файлов. WinRAR может извлекать файлы в произвольные директории системы, минуя защиту Windows. То есть при распаковке архива вредонос может записать свою копию в папку автозагрузки или системные директории, и при следующей перезагрузке компьютер уже полностью под контролем злоумышленников.
Занятно, что разработчики WinRAR довольно быстро выпускают патчи, но донести информацию до конечных пользователей практически невозможно. Программа не имеет встроенной системы автообновления по умолчанию (точнее, она есть, но мало кто ее включает), поэтому люди продолжают работать с дырявыми версиями годами. А для хакеров это просто праздник.
Способ №3: Архивы с паролем и социальная инженерия
Может ли в архиве быть вирус, если он защищен паролем? Еще как может. Более того, пароль создает ложное чувство безопасности. Пользователь думает: раз отправитель установил защиту, значит, контент важный и проверенный. А хакеры именно на это и рассчитывают.
Схема выглядит так: вам приходит письмо от имени банка, госучреждения или службы доставки. В нем говорится, что во вложении важный документ, защищенный паролем для безопасности. Пароль указан прямо в теле письма, что-то вроде "2026" или "документ". Вы вводите его, открываете архив и запускаете файл внутри.
Типичные легенды в фишинговых письмах с архивами:
- Уведомление о задолженности от налоговой службы (пароль — ИНН получателя)
- Акт сверки или счет на оплату от контрагента (пароль — дата или номер документа)
- Накладная от транспортной компании (пароль — трек-номер посылки)
- Уведомление о блокировке аккаунта с инструкцией по восстановлению
- Предложение о работе с резюме и тестовым заданием
Фишка в том, что антивирусы не могут проверить содержимое запароленных архивов. Технически они просто не имеют доступа к зашифрованным данным до их распаковки. Поэтому вредоносный файл спокойно проходит через все фильтры почтовых сервисов и антивирусного ПО. Он становится видимым только когда пользователь уже ввел пароль и извлек содержимое.
Особенно опасны такие атаки для корпоративного сектора. Недавно была серия атак на российские компании, где хакеры рассылали архивы якобы с актуализированными данными от налоговой. Письмо выглядело официально, со всеми логотипами и правильными реквизитами. Пароль был указан как "ваш ИНН". Бухгалтеры массово вводили пароли и открывали файлы, запуская шифровальщики.
Интересный момент: злоумышленники часто добавляют в архив несколько обычных файлов вместе с вредоносным. Например, реальные PDF с какой-то информацией и один исполняемый файл. Когда пользователь открывает PDF и видит там нормальный контент, он расслабляется и может запустить второй файл, думая, что это тоже часть документации.
Есть еще более изощренный вариант: многотомные архивы. Вредонос разбивается на несколько частей (file.part1.rar, file.part2.rar и так далее), каждая из которых сама по себе не опасна. Но когда WinRAR собирает их вместе при распаковке, получается рабочий троян. Антивирусы при этом часто пропускают отдельные части, потому что в них нет полноценного вредоносного кода.
Способ №4: Архивные бомбы и отказ в обслуживании
Не все атаки через архивы направлены на кражу данных. Иногда цель — просто вывести систему из строя. Архивные бомбы (zip bombs или rar bombs) представляют собой специально созданные файлы крошечного размера, которые при распаковке расширяются до огромных объемов.
Классический пример: архив размером 42 килобайта, который при извлечении превращается в петабайты данных. Когда WinRAR пытается распаковать такой файл, он начинает создавать миллионы вложенных файлов и папок, забивая жесткий диск и оперативную память. Система намертво зависает, а в худшем случае может повредиться файловая система.
| Размер архива | Размер после распаковки | Степень сжатия |
|---|---|---|
| 42 КБ | 4.5 ПБ | 1:107 374 182 400 |
| 10 МБ | 281 ТБ | 1:28 100 000 |
| 1 МБ | 47 ГБ | 1:47 000 |
Механизм основан на рекурсивной компрессии. Создается файл, наполненный повторяющимися данными, которые отлично сжимаются. Этот файл упаковывается в архив, потом этот архив упаковывается еще раз, и так десятки уровней. При распаковке каждый уровень увеличивает объем в сотни раз, создавая эффект лавины.
Такие атаки используются не только против обычных пользователей. Они эффективны против серверов и облачных сервисов, которые автоматически сканируют загружаемые файлы. Антивирус пытается проверить содержимое архива, начинает его распаковывать и падает от перегрузки. Или сервер, который автоматически обрабатывает вложения в письмах, получает архивную бомбу и выходит из строя на несколько часов.
Защититься от архивных бомб сложно, потому что они не содержат вредоносного кода как такового. Это просто очень эффективно организованные данные. Современные версии архиваторов научились детектировать подозрительные уровни компрессии и предупреждают пользователя, но старые версии распаковывают все подряд без вопросов.
Были случаи, когда хакеры комбинировали архивные бомбы с реальными вирусами. Пользователь получает огромный архив якобы с видеокурсом или коллекцией программ. При попытке распаковки система зависает, человек перезагружает компьютер, пытается снова — и в процессе этой возни пропускает момент, когда где-то в глубине архива запускается реальный вредонос.
Почему антивирусы пропускают вирусы в архивах
Главная проблема в том, что антивирусное ПО не всегда может заглянуть внутрь архива. Если файл защищен паролем, антивирус физически не имеет к нему доступа до распаковки. А распаковывать каждый архив целиком для проверки слишком ресурсозатратно.
Второй момент: многоуровневая упаковка. Архив внутри архива внутри архива. Большинство антивирусов проверяют только первые 2-3 уровня вложенности, потому что дальше это занимает слишком много времени. Хакеры создают 10-15 уровней, пряча вредонос в самом центре этой матрешки.
Еще одна хитрость: использование редких форматов сжатия. WinRAR поддерживает кучу экзотических типов архивов, которые антивирусы просто не умеют распаковывать для проверки. Или используют настолько старые версии алгоритмов, что современное защитное ПО их игнорирует.
Наконец, злоумышленники научились фрагментировать вредоносный код на несколько безобидных частей, которые собираются в рабочий вирус только после распаковки. Антивирус видит отдельные фрагменты, не находит в них сигнатур известных угроз и пропускает архив.
Способ №5: Фишинг через архивы в облачных хранилищах
Современные хакеры все чаще используют легитимные сервисы для распространения вредоносов. Схема такая: создается архив с трояном, загружается в Google Drive, Яндекс.Диск или Dropbox, а затем пользователям рассылаются ссылки на скачивание с пометкой "важный файл, откройте срочно".
Почему это работает? Потому что ссылка ведет на официальный домен облачного сервиса, который не вызывает подозрений. Если бы хакер прислал файл напрямую через почту, спам-фильтры могли бы его заблокировать. А ссылка на drive.google.com проходит все проверки. Пользователь видит знакомый интерфейс облачного сервиса, большую кнопку "Скачать" и не задумываясь кликает.
Особенно эффективна эта схема в корпоративной среде, где люди постоянно обмениваются файлами через облака. Хакер может взломать аккаунт одного сотрудника, создать в его облачном хранилище папку с вредоносным архивом и разослать ссылку всем коллегам из адресной книги. Получатели видят имя знакомого человека и доверяют ссылке.
Признаки подозрительных ссылок на архивы:
- Прямая ссылка на скачивание без предпросмотра содержимого
- Отправитель настаивает на срочности и ограниченном сроке доступа
- Имя файла содержит слова "конфиденциально", "срочно", "зарплата"
- Размер архива подозрительно мал для заявленного содержимого
- Ссылка создана через сервисы сокращения URL (bit.ly, goo.gl и подобные)
Добавьте сюда социальную инженерию: в названии файла может быть что-то вроде "Зарплатная_ведомость_февраль_2026.rar" или "Список_сокращений_КОНФИДЕНЦИАЛЬНО.rar". Любопытство делает свое дело. Человек скачивает архив, открывает его на рабочем компьютере, и все — сеть компании заражена.
Интересно, что облачные сервисы научились сканировать загружаемые файлы на вирусы, но это работает не всегда идеально. Например, если архив большой (несколько гигабайт) и содержит много легитимных файлов вместе с одним вредоносным, система может его пропустить. Или если используется шифрование и пароль — тут облачный антивирус бессилен точно так же, как и локальный.
Есть еще вариант атаки через публичные ссылки с ограниченным сроком действия. Хакер создает временную ссылку (например, активна только 24 часа), рассылает ее жертвам с пометкой "срочно скачайте до истечения срока", и люди в спешке загружают файл, не проверяя его. А через сутки ссылка перестает работать, и отследить источник заражения становится сложнее.
Чек-лист безопасности при работе с архивами
Итак, как защитить себя от всех этих угроз? Вот несколько конкретных рекомендаций, которые реально работают:
| Действие | Как это сделать | Зачем это нужно |
|---|---|---|
| Показать расширения файлов | Проводник → Вид → Показать → Расширения имен файлов | Увидеть реальный тип файла (.exe не сможет притвориться .pdf) |
| Обновить WinRAR | Справка → О программе → проверить версию, скачать обновление с официального сайта | Закрыть известные уязвимости в программе |
| Проверить архив онлайн | Загрузить на VirusTotal.com перед распаковкой | Проверка 70+ антивирусными движками одновременно |
| Включить глубокое сканирование | Настройки антивируса → Дополнительно → Проверять архивы полностью | Антивирус будет проверять содержимое всех архивов |
Дополнительные меры предосторожности:
- Не открывайте архивы от незнакомых отправителей. Даже если письмо выглядит официально, позвоните отправителю по известному вам номеру и уточните, действительно ли он присылал файл.
- Не вводите пароли из писем для распаковки архивов. Легитимные организации никогда не присылают важные документы в запароленных архивах через почту.
- Распаковывайте файлы в отдельную папку и проверяйте содержимое. Не запускайте файлы прямо из архива. Сначала извлеките все во временную папку, просмотрите список файлов, проверьте их типы.
- Используйте песочницу для подозрительных файлов. Windows 10/11 имеет встроенную функцию Windows Sandbox, которая позволяет запускать программы в изолированной среде.
- Будьте особенно внимательны с архивами, связанными с финансами. Если получили архив якобы от банка с инструкциями, лучше зайдите на официальный сайт организации и проверьте информацию там.
Безопасные альтернативы WinRAR
Если вы все еще используете WinRAR в 2026 году, самое время задуматься о переходе на более безопасные решения.
| Программа | Преимущества | Недостатки |
|---|---|---|
| 7-Zip | Бесплатный, открытый исходный код, высокая степень сжатия, активное комьюнити | Менее интуитивный интерфейс |
| Встроенный архиватор Windows | Не требует установки, базовая безопасность на уровне ОС | Ограниченный функционал, не все форматы |
| PeaZip | Шифрование, двухфакторная аутентификация, менеджер паролей | Менее известная программа |
| Онлайн-архиваторы | Изоляция от основной системы, не нужна установка | Риск утечки данных, нужен интернет |
7-Zip — бесплатный открытый архиватор с отличной репутацией в плане безопасности. Код программы открыт, поэтому уязвимости находятся и закрываются быстрее. Поддерживает все популярные форматы, включая RAR, имеет собственный формат 7z с лучшей степенью сжатия.
Встроенный архиватор Windows — начиная с Windows 11, система умеет работать с ZIP, RAR и некоторыми другими форматами без сторонних программ. Функционал базовый, но для большинства задач этого хватает. Плюс минус один вектор атаки — не нужно устанавливать дополнительное ПО.
PeaZip — еще один бесплатный архиватор с акцентом на безопасность. Поддерживает шифрование файлов, двухфакторную аутентификацию для архивов и имеет встроенный менеджер паролей. Работает на Windows и Linux.
Важный момент: какой бы архиватор вы ни выбрали, держите его в актуальном состоянии. Включите автоматические обновления, если такая опция есть. Большинство атак через архивы эксплуатируют старые, давно закрытые уязвимости. Если ваше ПО обновлено, вы автоматически защищены от 80 процентов известных угроз.
И последнее: научитесь работать с форматом ZIP вместо RAR, где это возможно. ZIP стал фактическим стандартом, его поддерживают все операционные системы из коробки, и для него существует меньше специфичных эксплойтов. RAR хорош для архивации больших объемов данных, но для обычной пересылки файлов ZIP безопаснее и универсальнее.
Помните: безопасность это не разовое действие, а постоянная практика. Даже самый защищенный архиватор не спасет, если вы бездумно открываете все подряд. Будьте внимательны, не торопитесь и всегда задавайте себе вопрос: а точно ли мне нужно это открывать прямо сейчас?
