Новости
Обычные файлы как оружие: чем опасны RAR-, SVG- и PDF-вложения
Почему в 2026 году вредонос всё чаще прячут в привычных форматах и как безопасно открывать вложения.
Исследователи описали новый вредоносный фреймворк Avalon со встроенным вирусом-шифровальщиком CrownX. Заражение начинается не с привычного вложения .exe, а с образа диска .iso и ярлыка .lnk, спрятанных в защищённом паролем архиве. Приём рассчитан на то, чтобы проскочить проверку почты — и это ещё один повод по-новому смотреть на «безобидные» файлы-контейнеры.

Коротко: команда Blackpoint Cyber раскрыла модульный вредонос Avalon с шифровальщиком CrownX. Жертву заманивают письмом с «юридическим документом» и ссылкой на защищённый архив в облаке; внутри — ISO-образ с ярлыком .lnk, который через системную утилиту MSBuild запускает код прямо в памяти. Финальная стадия — CrownX — целенаправленно сносит теневые копии и бэкапы. Главная защита: не монтировать ISO из писем и держать резервные копии офлайн.
В начале июля 2026 года группа Adversary Pursuit Group (APG) компании Blackpoint Cyber опубликовала разбор ранее неизвестного вредоносного фреймворка под названием Avalon. Это не один вирус, а модульная «платформа»: она умеет красть учётные данные, закрепляться в системе, распространяться по сети, давать удалённый доступ и — на финальной стадии — запускать вымогатель-шифровальщик, который внутри кода назван CrownX.
Для нас в этой истории важен не столько сам вымогатель, сколько способ доставки. Он построен целиком на манипуляции файлами: злоумышленники обошлись без явных исполняемых вложений и собрали цепочку из форматов, которым пользователи привыкли доверять, — архива, образа диска и ярлыка. Именно это делает кейс показательным примером для всех, кто регулярно получает файлы по почте.
Цепочка заражения, которую описали исследователи, разворачивается в несколько шагов:
Secure_Document_CA-283505_pdf.iso. Имя подобрано так, чтобы выглядеть как отсканированный PDF.Secure Document CA-283505.pdf.lnk. По клику он запускает не просмотрщик, а командную строку.cmd.exe, а следом — легитимную системную утилиту MSBuild.exe, которая компилирует и выполняет вложенный код прямо в оперативной памяти, не создавая отдельного «вирусного» файла на диске.Дальше в память подгружается основной модуль Avalon — и начинается основная фаза атаки. Ключевая идея всей схемы: до последнего момента на диске нет ни одного явно вредоносного исполняемого файла, а те форматы, что участвуют в цепочке (ISO, LNK), формально не считаются опасными.
Выбор форматов здесь не случаен. Образ диска ISO — это файл-контейнер: обычно в нём хранят дистрибутивы программ и операционных систем (подробнее — в нашем разборе, чем открыть ISO). У этого формата есть неудобное для защиты свойство: современные Windows и macOS монтируют образ штатными средствами в пару кликов, а почтовые фильтры и «метка происхождения из интернета» (Mark-of-the-Web) часто не переносятся на файлы внутри образа. Проще говоря, содержимое ISO нередко теряет пометку «скачано из сети» — и система задаёт меньше вопросов.
Ярлык .lnk — второй элемент маскировки. Пользователь видит имя и иконку «документа», но за ними скрыта произвольная команда запуска. Такой ярлык можно оформить под PDF, папку или картинку, и Windows по умолчанию не показывает расширение .lnk — жертва думает, что открывает файл, а на деле выполняет команду.
Помещая вредонос внутрь ISO- и LNK-файлов, а не в прямое вложение, атакующие обходят сразу два рубежа: проверку почтовым шлюзом и предупреждение системы о запуске файла из интернета. Внешне вы «просто открываете присланный документ» — а запускаете чужой код.
Приём вписывается в общий тренд последних лет: злоумышленники всё чаще прячут полезную нагрузку в привычных форматах. Мы уже разбирали похожую логику на примере опасных вложений в RAR, SVG и PDF — Avalon добавляет к этому списку связку «архив + образ диска + ярлык».
Отдельно исследователи отмечают, что финальный модуль-шифровальщик CrownX спроектирован так, чтобы лишить жертву возможности восстановиться самостоятельно. Перед шифрованием он целенаправленно ломает механизмы восстановления Windows: останавливает службу теневого копирования (VSS), удаляет уже созданные теневые копии, правит в реестре настройки восстановления и портит данные среды восстановления (WinRE). Зашифрованным файлам, по данным разбора, приписывается расширение .8hn2yc.
По наблюдениям Blackpoint Cyber, атака нацелена в первую очередь на инфраструктуру резервного копирования — упоминаются системы вроде Veeam, Acronis, NetApp, Synology, Hyper-V и vCenter. Логика простая: если у компании нет уцелевшего бэкапа, вероятность выплаты выкупа заметно выше. Это ещё раз подтверждает старое правило: резервная копия, до которой может дотянуться вредонос, — уже не совсем резервная копия.
Даже если вы не администратор корпоративной сети, выводы из этой истории простые и применимые каждый день. Опасность несёт не тип файла сам по себе, а его происхождение и то, что он делает при открытии. ISO, LNK, RAR, PDF — нейтральные форматы; вредоносными их делает контекст: неожиданное письмо, ссылка на облако, пароль в теле сообщения, необходимость «просто открыть документ».
.iso. Пришёл образ диска под видом документа — это сильный повод не открывать его вовсе..lnk, замаскированный под .pdf, будет видно сразу. В Проводнике: «Вид» → «Показывать» → «Расширения имён файлов».Если сомневаетесь в присланном файле, не открывайте его наугад: сначала проверьте файл на вирусы, а общие правила безопасной работы с загрузками мы собрали в разделе безопасность файлов — как обращаться с вложениями, архивами и образами дисков. Тем, кто регулярно работает с архивами, пригодится и разбор чем открыть RAR: понимание форматов помогает быстрее отличить обычный файл от приманки.