Пришло что-то подозрительное. Вот чем проверить прямо сейчас.
Коллега скинул «важный документ» в мессенджере. Старый знакомый прислал ссылку с просьбой «оценить». Сами скачали что-то с малоизвестного ресурса - и теперь стоите перед выбором: открыть или нет. Windows Defender молчит. Платный антивирус истёк год назад. Или его попросту нет.
Хорошая новость: большинство инструментов ниже не нужно устанавливать. Работают прямо в браузере, бесплатно, без регистрации. Одно исключение в конце - предупрежу заранее.
Честное замечание на старте: ни один из них не даёт стопроцентной гарантии. Новые вредоносные программы создаются быстрее, чем антивирусные компании успевают их описать и занести в базы. Но если хотя бы один из сервисов ниже поднял тревогу - лучше не рисковать.
VirusTotal - 70+ антивирусов в одном окне браузера
Сервис принадлежит подразделению безопасности Google и работает с 2004 года. Загружаете файл или вставляете адрес сайта - VirusTotal одновременно проверяет это у более чем 70 антивирусных компаний: Kaspersky, Avast, Bitdefender, ESET и ещё десятки других. Результат приходит за несколько секунд, и вы видите, сколько из них подняли тревогу - а сколько пропустили.
Это и есть главная ценность: не один движок, а хор из семи десятков. Один пропустил - другой поймал. Именно поэтому VirusTotal давно стал стандартом в кругах людей, которые работают с безопасностью.
Есть деталь, о которой мало кто знает: если кто-то уже загружал этот же файл раньше, VirusTotal не скачивает его заново. Он сравнивает уникальный «отпечаток» файла с базой и выдаёт готовый отчёт мгновенно. Удобно, когда проверяете популярный установщик - большинство из них уже есть в базе.
Ограничение, которое важно знать: всё, что вы загружаете, становится доступно другим пользователям сервиса и исследователям безопасности. Если в файле договор, сканы документов или личная переписка - лучше проверьте только ссылку на источник, а не сам файл. Максимальный размер - 650 МБ.
Hybrid Analysis - посмотреть, что файл делает на самом деле
VirusTotal говорит «обнаружен» или «чисто» - это мнение антивирусных программ на основе уже известных угроз. Hybrid Analysis работает принципиально иначе: он запускает подозрительный файл в изолированной среде - что-то вроде виртуального компьютера внутри сервера - и наблюдает, что тот делает. Какие процессы запускает, с какими адресами пытается связаться, что меняет в системе.
Это особенно полезно для совсем новых угроз, которые антивирусы ещё не видели и потому не поймают обычной проверкой. Именно их такой подход и выявляет.
Сервис создан на технологии компании CrowdStrike - одного из крупных игроков в корпоративной безопасности. Для обычных пользователей он бесплатен: лимит - 30 загрузок в месяц, максимальный размер файла - 250 МБ.
Читать полный отчёт без опыта непросто - там много технических деталей. Но даже без специальных знаний заметны ключевые сигналы: «подозрительное сетевое соединение», «попытка записи в системный каталог». Этого достаточно, чтобы принять решение.
MetaDefender Cloud - второе мнение, когда VirusTotal молчит
Набор антивирусных движков в MetaDefender отличается от VirusTotal - здесь их более 20, и часть из них не пересекается с теми, что работают в первом сервисе. Именно поэтому использовать оба имеет смысл в спорных случаях: угрозу, которую один пропустил, другой может поймать.
Сервис от компании OPSWAT, которая занимается защитой объектов критической инфраструктуры. Проверяет файлы, ссылки, IP-адреса и «отпечатки» файлов без регистрации. Лимит на файл - 140 МБ, что заметно скромнее VirusTotal. Если нужно проверить что-то крупнее - возвращайтесь к первому сервису.
Есть функция, которую трудно найти у конкурентов: MetaDefender умеет не просто сканировать документ, но и «обезвреживать» его - убирать из PDF или файла Word встроенные макросы и скрипты, возвращая очищенную версию. Это удобно, когда документ пришёл из непроверенного источника, но нужен именно его текст.
Dr.Web Online - российский сканер с отдельной проверкой ссылок
Doctor Web на российском рынке с 1992 года, и онлайн-сканер - бесплатная часть их сервиса. Без регистрации, прямо в браузере: загружаете файл, движок Dr.Web с актуальными базами его проверяет, получаете результат.
Лимит на файл - 10 МБ. Это меньше, чем у конкурентов, и это реальное неудобство при работе с установщиками или архивами. Зато есть отдельная форма для проверки ссылок: вставляете адрес сайта и получаете ответ - безопасен, подозрителен или заблокирован в базе Dr.Web. Для большинства повседневных случаев - быстро и достаточно.
Главный минус прозрачен: здесь работает только один антивирусный движок, а не несколько. Как инструмент первой проверки - подходит. Для спорных ситуаций лучше дополнить VirusTotal.
URLVoid - репутация домена по тридцати чёрным спискам
Иногда подозрение вызывает не файл, а сам сайт. URLVoid проверяет доменное имя сразу по более чем 30 базам данных блокировок и репутационным службам. Если домен засветился хоть в одной - увидите, куда и по какой причине.
Дополнительно сервис показывает дату регистрации домена. Это полезнее, чем кажется на первый взгляд: если сайт, который представляется «официальным магазином» или «проверенным сервисом», существует три недели - уже информация к размышлению.
Ограничение реальное: URLVoid анализирует репутацию домена целиком, а не конкретную страницу. Свежесозданный фишинговый сайт, которого ещё нет ни в одной базе, пройдёт проверку чисто. Используйте в паре с VirusTotal - они друг друга хорошо дополняют.
Google Safe Browsing - как Chrome решает, предупреждать вас или нет
Именно эту базу использует браузер Chrome, когда показывает предупреждение «Этот сайт может нанести вред вашему устройству». Через форму на сайте Google вы можете проверить любую ссылку самостоятельно - не дожидаясь, пока браузер сам решит, стоит ли предупреждать. Полезно, если пользуетесь другим браузером или хотите проверить ссылку до клика.
Проверка мгновенная, регистрация не нужна.
Слабое место - задержка. Мошеннический сайт может существовать несколько дней, пока не попадёт в базу Google. Для только что созданных ресурсов - дополните URLVoid или VirusTotal.
ClamAV - антивирус с открытым кодом для постоянной защиты
Единственный инструмент в подборке, который нужно устанавливать. ClamAV - антивирус с полностью открытым кодом, который поддерживает Cisco Talos - одна из крупнейших команд исследователей безопасности в мире. Существует с 2004 года, базы обновляются регулярно.
По умолчанию ClamAV работает через командную строку - это надо признать честно. Если хотите привычный интерфейс с кнопками, под Windows ставится надстройка ClamWin, под Linux - ClamTk. Они добавляют визуальную оболочку поверх основного движка и позволяют сканировать файлы и папки без специальных знаний.
По глубине обнаружения ClamAV уступает коммерческим антивирусам - особенно на самых свежих угрозах. Это реальный минус, не повод для паники. В связке с онлайн-проверкой через VirusTotal перед каждым запуском чего-то подозрительного получается схема, которая закрывает большинство реальных рисков - без ежегодной подписки.
Спорная, но обоснованная мысль: человеку, который не открывает всё подряд и проверяет файлы до запуска, этот набор инструментов даёт уровень защиты, сопоставимый с платным антивирусом. Разница - в привычке, а не в подписке.
Расскажите в комментариях: чем проверяете подозрительные файлы? Есть инструмент, которому доверяете больше VirusTotal?
🔔 КликХак - для тех, кто предпочитает разобраться один раз, а не платить каждый год. Если находки полезны - канал того стоит.