Гид по технологиям

Как защититься от атак через LNK‑файлы в Windows

6 min read Кибербезопасность Обновлено 18 Nov 2025
Защита от атак через LNK‑файлы в Windows
Защита от атак через LNK‑файлы в Windows

Что такое LNK‑файлы и почему они опасны

Вы, скорее всего, видели на рабочем столе ярлык с боковой стрелкой — это LNK‑файл (расширение .lnk). Он содержит путь к приложению или файлу и параметры запуска. В поле «Target» (Цель) помимо пути можно указать аргументы командной строки и дополнительные инструкции, что даёт злоумышленнику способ запускать произвольные команды при двойном щелчке.

Особенно опасна техника, когда в конце видимой строки добавляют длинную последовательность пробелов или невидимых символов. Поскольку Windows скрывает расширение .lnk по умолчанию, ярлык может иметь псевдоним вроде “Instructions.pdf.lnk”, а для пользователя это выглядит как “Instructions.pdf” и кажется безопасным. Фактически при запуске будут выполнены скрытые инструкции. Эта проблема отслеживается под идентификатором CVE‑2025‑9491.

Важно понимать: LNK‑файл сам по себе — не «вложенный документ» из интернета. Если вы получаете .lnk извне (по почте, в архиве, через обменник), с высокой вероятностью это попытка атаки.

Показывать расширение .lnk в Windows (обязательная защита)

Самый простой способ распознать мошенничество — увидеть расширение файла. Стандартная опция для показа расширений не всегда раскрывает .lnk, поэтому придётся изменить реестр.

Важно: перед правкой реестра сделайте резервную копию. Ошибка в реестре может привести к нестабильной работе системы и потере данных.

Откройте Редактор реестра и перейдите по следующему ключу:

HKEY_CLASSES_ROOT\lnkfile

В правой колонке удалите строковый параметр NeverShowExt. После перезагрузки Windows все ярлыки будут отображаться с расширением .lnk. Если вы когда‑либо получили файл с расширением .ink или .lnk от постороннего — не открывайте его.

Удаление строкового параметра в реестре Windows

Важно: удаление NeverShowExt только показывает расширения — это диагностический шаг, он не мешает исполнению вредоносного кода.

Правильный анализ LNK‑файла

Если вы нашли подозрительный LNK, не открывайте его. Вместо этого:

  • Правый клик → «Свойства» → вкладка «Ярлык» → проверьте поле «Объект» (Target).
  • Поле должно содержать точный путь к исполняемому файлу в кавычках, например “C:\Program Files\App\app.exe”.
  • Подозрительно, если в качестве цели фигурируют cmd.exe, powershell.exe, mshta.exe, wscript.exe и т.п. — это индикатор запуска оболочки для проигрывания команды.
  • Обратите внимание на: случайные символы, двоичные последовательности в конце строки, необычные пробелы или много точек.

Поле «Цель» ярлыка, показывающее путь к приложению Nvidia

Мини‑методология анализа LNK:

  1. Не запускать. Открыть свойства и сфотографировать/скопировать поле Target.
  2. Просканировать файл и текст поля на VirusTotal или аналогичном сервисе.
  3. Открыть LNK в безопасной среде (виртуальная машина или песочница) или использовать инструменты для парсинга ярлыков (например, утилиты набора Sysinternals: strings) и библиотеку liblnk, если есть навыки.
  4. Если в поле видны команды PowerShell или вызовы скриптов — считать файл подозрительным и удалить/изолировать.

Примечание: наличие видимой команды не всегда подтверждает компрометацию — нужны дополнительные артефакты (нетипичные сетевые соединения, изменённые файлы, запущенные процессы).

Отключите AutoPlay и предпросмотр файлов

Автоматический запуск с USB и предпросмотр в проводнике исторически использовались для эксплуатации LNK. Если вы не пользуетесь AutoPlay или предпросмотром — отключите их.

  • Параметры → Bluetooth и устройства → Автозапуск → Отключите переключатель.
  • Для предпросмотра файлов отключите панель предварительного просмотра в Проводнике или следуйте корпоративной инструкции по управлению exceptions/исклю-чениями.

Отключение AutoPlay в настройках Windows

Включите Контролируемый доступ к папкам (Controlled Folder Access)

Контролируемый доступ защищает важные пользовательские папки (Документы, Изображения, Рабочий стол) от изменения неизвестными приложениями. Многие LNK‑атаки пытаются взаимодействовать с этими папками; включение этой функции снижает риск потерь данных при шифровании или распространении вредоносного ПО.

Инструкция: Центр защиты Windows → Защита от вирусов и угроз → Параметры защиты от программ‑вымогателей → Управление доступом к папкам.

Ужесточите политику PowerShell

Многие LNK‑атаки используют PowerShell для выполнения вредоносных команд. Установите политику, разрешающую только подписанные сценарии:

Откройте PowerShell от имени администратора и выполните:

Set-ExecutionPolicy AllSigned

Подтвердите «y». Это потребует цифровой подписи для запуска скриптов. Чтобы вернуть настройку в исходное состояние используйте:

Set-ExecutionPolicy Undefined

Внимание: в корпоративной среде такой шаг может нарушить рабочие процессы. Согласуйте изменения с ИТ‑отделом.

Команда PowerShell, выполняющая изменение политики исполнения

Рекомендации по безопасности PowerShell:

  • Включите журналирование командлетов и скриптов (ScriptBlock logging).
  • Ограничьте исполнение скриптов через групповые политики.
  • Разрешайте запуск только подписанных скриптов.

Дополнительные слои защиты (альтернативные подходы)

  • Антивирус/EDR: настройте обнаружение поведения (behavioral) для странных процессов, запускаемых от ярлыков.
  • Политики групповой безопасности (GPO): запрет на исполнение с внешних или временных папок; блокировка запуска PowerShell/mshta через ярлыки.
  • Песочница или VM: открывайте сомнительные вложения только в изолированной виртуальной среде.
  • Обучение пользователей: короткие тренинги и регулярные рассылки с примерами фишинга/ярлыков.

Когда метод не сработает:

  • Если злоумышленник имеет доступ к вашей учётной записи или домену и заранее установил вредоносный исполняемый файл — показы расширений и запреты не помогут.
  • Если вредоносный код подписан действительной, но скомпрометированной подписью — проверка подписи не защитит.

Быстрый чек‑лист по ролям

Для конечного пользователя:

  • Никогда не открывайте .lnk, полученный по почте или из архива от незнакомца.
  • Включите отображение расширений и проверяйте их.
  • Не вставляйте USB‑накопители в рабочую машину без проверки.

Для администратора:

  • Удалите NeverShowExt через скрипт при согласии с политикой.
  • Включите Controlled Folder Access и ограничьте AutoPlay через GPO.
  • Внедрите политику PowerShell AllSigned и включите аудит ScriptBlock.

Для специалиста по инцидентам:

  • Соберите образ системы и логи: Procmon, Netflow/Netstat, журнал PowerShell.
  • Проанализируйте содержимое LNK в изолированной среде и проверьте на IOC (хэши, домены).

Плейбук — что делать при получении подозрительного LNK (SOP)

  1. Не запускать файл.
  2. Зафиксировать источник (почта, ZIP, USB).
  3. Просканировать файл на VirusTotal; сохранить результаты.
  4. Снять скриншот и скопировать поле “Target” из свойств.
  5. При наличии указаний на PowerShell/cmd — изолировать устройство от сети.
  6. Сообщить в ИТ/службу безопасности и передать файл для анализа.

Критерии приёмки для безопасного завершения:

  • Устройство очищено антивирусом и EDR.
  • Нет признаков пост‑эксплуатации (незнакомые служебные учётные записи, установленные службы, автозапуск).
  • Произведён анализ снимков памяти и журналов на наличие вредоносной активности.

План реагирования на инцидент, если LNK запустил вредоносный код

  1. Изоляция: немедленно отключите устройство от сети.
  2. Сбор данных: снимите память, экспортируйте логи, сохраните копию LNK и все связанные файлы.
  3. Анализ: определить, какие команды были выполнены, какие процессы/файлы созданы, к каким серверам были обращения.
  4. Устранение: удалить вредоносные артефакты, восстановить из чистых резервных копий.
  5. Корректирующие меры: обновить политики, провести переобучение сотрудников, внедрить дополнительные защитные механизмы.

Важно: если вы не обладаете необходимыми навыками, привлеките команду реагирования или внешних специалистов.

Психологическая модель и эвристики для распознавания фишинга через ярлыки

  • «Не открывай неизвестный ярлык» — базовая эвристика.
  • Если файл выглядит как документ (.pdf, .docx) но имеет метку ярлыка — не доверяйте виду, проверяйте расширение.
  • Любой ярлык, пришедший в архиве от внешнего отправителя — подозрителен.

Краткая памятка (cheat sheet)

  • Показывать расширения: удалите NeverShowExt.
  • Отключить AutoPlay.
  • Включить Controlled Folder Access.
  • Установить PowerShell: AllSigned.
  • Не открывать LNK, полученные извне.

Итог и рекомендации

LNK‑файлы остаются популярным вектором атак, потому что выглядят безобидно. Самые эффективные меры — комбинация технических настроек (показ расширений, GPO, PowerShell‑политики), поведенческих (не открывать ярлыки извне) и организационных (инструкции, EDR, резервирование).

Ниже краткие ключевые выводы и что нужно сделать прямо сейчас:

  • Включите отображение расширений и научите пользователей их проверять.
  • Отключите AutoPlay и панель предпросмотра, если не используете.
  • Жестко ограничьте исполнение PowerShell и включите аудит.
  • Подготовьте плейбук для реагирования и проверьте его в учениях.

Заметка: если у вас есть сомнения или в организации уже были инциденты — обратитесь к профессиональной команде реагирования.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Несколько аккаунтов Skype: Multi Skype Launcher
Программное обеспечение

Несколько аккаунтов Skype: Multi Skype Launcher

Журнал для работы: повысить продуктивность
Productivity

Журнал для работы: повысить продуктивность

Персональные звуки уведомлений на Android
Android.

Персональные звуки уведомлений на Android

Скачивание шоу Hulu для офлайн‑просмотра
Стриминг

Скачивание шоу Hulu для офлайн‑просмотра

Microsoft Start: персонализированная новостная лента
Новости

Microsoft Start: персонализированная новостная лента

Как изменить имя в Epic Games быстро
Гайды

Как изменить имя в Epic Games быстро