Я получил письмо от не совсем заслуживающего доверия источника, оно может быть законным, но я не совсем уверен. Он содержит, помимо прочего, информацию о файле Microsoft Word .docx файле Microsoft Excel .xlsx .
Я уже отсканировал файлы на http://virustotal.com, вирусы не обнаружены, но я также прочитал, что макросы могут существовать в xml или zip-части самих файлов.
Я ищу идеи о выявлении потенциальных злонамеренных намерений, таких как поиск макросов.
Макросы не могут быть сохранены в файлах .xlsx . Excel откажется и скажет вам сохранить его как файл .xlsm . Если вы сохраните как .xlsm а затем переименуете в .xlsx Excel не откроет файл.
Предполагая, что кто-то обошел это ограничение, Excel отключит все макросы, найденные в файле .xlsx .
Я занимаюсь ИТ-поддержкой сайта для производственного предприятия и могу вам сказать, что отправка документов Word и Excel сотрудникам другой компании не является распространенным явлением, особенно для обмена советами. Я постоянно получаю такие письма, и советы всегда содержатся в электронном письме, включаются в PDF или ссылку на страницу на веб-сайте их компании.
Внутри организации это другой вопрос. Пользователи в организации часто обмениваются файлами Word и Excel по электронной почте.
С другой стороны, отправка zip-файлов является обычным явлением как внутри, так и за пределами организации. Это также 50%/50% от того, спам это или нет. Пользователи, которых я поддерживаю, пересылают мне электронные письма, которые они получают, чтобы определить, был ли это спам или нет, и спам-письма часто сопровождают заархивированные файлы. С другой стороны, они часто обращаются ко мне за помощью, когда они получают легитимные электронные письма, которые содержат заархивированные файлы или нуждаются в том, чтобы отправить письмо с zip-файлом. Часто организации имеют ограничения по размеру электронных писем, которые они могут отправлять или получать, и пользователи выбирают архивирование файлов, когда они превышают эти ограничения. Но опять же, когда компании отправляют электронные письма, чтобы поделиться советами, я никогда не видел этого.
Примечание: это только мой опыт, но в любое время компания (любая компания, не только ИТ-компания) должна сначала связаться с вами, они не очень хороши в том, что они делают, и вы должны избегать их. Когда компания хороша в том, что она делает, клиенты приходят к ним.
Первое правило: НИКОГДА не открывайте нежелательные вложения электронной почты. Это просто крайне плохая практика безопасности. Если вы отправите мне что-нибудь подозрительное, а я вас не знаю, я автоматически добавлю вас в черный список.
Что касается форматов, я обычно вижу, что большинство компаний используют Adobe PDF для технических документов. Я не могу вспомнить, когда в последний раз я видел технические документы в необработанном формате Office. Раньше из-за проблемы с макросами вы открывали такие файлы только из надежных источников и даже потом сначала отключали макросы. Еще одна причина, по которой вы не видите, что сегодняшние метаданные в файлах могут привести к смущающему раскрытию информации. (Какой PDF не застрахован от! Что-то иметь в виду.)
Если это не заслуживающий доверия источник или вы даже немного подозрительны, лучше всего просто удалить электронное письмо. Особенно, если это информация, которую вы не запрашивали, или она не является частью предыдущей информации, или она не является важной для вас информацией.
Если вы можете связаться с отправителем, чтобы подтвердить подлинность файла, сделайте это. Если возможно, попросите повторно отправить информацию в виде текстового файла (даже PDF-файлы могут содержать вредоносные программы).
Если вам действительно нужен доступ к информации, и вы не можете получить ее в новом формате, вот что я сделаю:
