Как открыть lnk файлы на компьютере
Токсичные ярлыки в Windows: старый артефакт, не забытый хакерами, но частично забытый криминалистами
В одной из прошлых статей мы рассказывали о таком криминалистическом артефакте, как Windows 10 Timeline, об утилитах для его анализа и о том, какие сведения из него можно извлечь при расследовании инцидентов. Сегодня мы поговорим о ярлыках Windows. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, в каких атаках они используются и как детектировать подобные файлы.
LNK-файлы (ярлыки windows, shortcut files) — служебные файлы, которые, как правило, автоматически создаются операционной системой Windows, когда пользователь открывает файлы. Windows использует их для быстрого доступа к конкретному файлу. Также часть LNK-файлов может быть вручную создана пользователем, например, для удобства работы.
Ярлыки на рабочем столе:
Расположение LNK-файлов
| Для операционных систем Windows 7—Windows 10 | C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Recent |
| Для операционной системы Windows XP | C:\Documents and Settings\%User profile%\Recent |
Однако существует множество иных мест, где исследователь может найти LNK-файлы:
Содержимое ярлыков
До того, как Microsoft опубликовала информацию о формате LNK-файлов [1], исследователи предпринимали попытки самостоятельно описать этот формат [2, 3]. Сложность исследований заключалась в том, что разные ярлыки содержат разные сведения. И при переходе от ярлыка к ярлыку может меняться количество содержащихся в нем сведений о конкретном файле. Кроме того, в Windows 10 в LNK-файлах появились новые поля, которых не было в предыдущих версиях операционной системы.
Итак, какую же информацию содержит LNK-файл? Belkasoft Evidence Center отображает три секции с информацией об LNK-файле: Метаданные, Происхождение и Файл.
Наиболее важные из сведений, представленных в секции Метаданные:
В секции Файл дан MAC-адрес устройства, на котором был создан ярлык. Эта информация может помочь идентифицировать устройство, на котором данный файл был создан.
Следует отметить, что MAC-адрес устройства, зафиксированный в LNK-файле, может отличаться от реального. Поэтому этот параметр иногда не является достоверным.
При проведении исследований следует обращать внимание на временные метки LNK-файла, так как время его создания, как правило, соответствует либо времени создания этого файла пользователем, либо времени первого обращения к файлу, ассоциированного с данным ярлыком. Время изменения файла обычно соответствует времени последнего обращения к файлу, с которым ассоциирован ярлык.
Восстановление LNK-файлов
В каталоге Recent, который описан выше, находится до 149 LNK-файлов. Что же делать, когда нужный нам ярлык удален? Конечно же, нужно попробовать восстановить его! Восстановление LNK-файлов можно произвести с использованием сигнатуры заголовка файла hex:4C 00 00 00.
Чтобы задать заголовок файла, нужно пройти в меню программы: Инструменты — Настройки, перейти во вкладку Карвинг, нажать кнопку Добавить и создать новую сигнатуру. Более подробно о методах карвинга с помощью Belkasoft Evidence Center можно прочитать в статье «Carving and its Implementations in Digital Forensics» [4].
Добавление пользовательской сигнатуры (header):
Использование LNK-файлов атакующими в инцидентах информационной безопасности
На каждом Windows-компьютере могут находиться сотни и тысячи ярлыков. Поэтому найти ярлык, использованный атакующими для компрометации компьютера, часто не проще, чем иголку в стоге сена.
Компрометация атакуемой системы
Более 90% вредоносных программ распространяются через электронную почту. Как правило, вредоносные электронные письма содержат либо ссылку на сетевой ресурс, либо специальным образом подготовленный документ, при открытии которого в компьютер пользователя загружаются вредоносные программы. Также в хакерских атаках часто применяются LNK-файлы.
Секция Метаданные вредоносного LNK-файла:
Как правило, подобный LNK-файл содержит PowerShell-код, который исполняется при попытке открытия пользователем присланного ему ярлыка. Как видно на скриншоте выше, такие ярлыки можно легко обнаружить с помощью Belkasoft Evidence Center: в метаданных присутствует путь до исполняемого powershell.exe. В поле Аргументы приведены аргументы команды PowerShell и закодированная полезная нагрузка.
Закрепление в скомпрометированной системе
Один из методов использования LNK-файлов в хакерских атаках — закрепление в скомпрометированной системе. Чтобы «вредонос» запускался каждый раз при запуске операционной системы, можно сделать LNK-файл со ссылкой на исполняемый файл вредоносной программы (или, например, на файл, содержащий код загрузчика) и поместить ярлык по адресу C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Тогда при старте операционной системы будет происходить запуск «вредоноса». Такие ярлыки можно найти во вкладке Файловая система программы Belkasoft Evidence Center.
Ярлык PhonerLite.lnk, находящийся в автозагрузке:
Исследование LNK-файлов
LNK-файлы — это криминалистический артефакт, который анализировался криминалистами еще при исследовании древних версий операционной системы Windows. Поэтому, в той или иной мере, анализ этих файлов поддерживают практически все программы для криминалистического анализа. Однако по мере эволюции Windows эволюционировали и файлы ярлыков. Сейчас в них есть поля, отображение которых ранее считалось нецелесообразным, и, соответственно, часть криминалистических программ не отображает эти поля. При этом анализ содержимого данных полей актуален при расследовании инцидентов информационной безопасности и хакерских атак.
Для исследования LNK-файлов мы рекомендуем использовать Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (Eric Zimmerman’s tools). Эти программы позволяют быстро проанализировать все файлы ярлыков, находящиеся на исследуемом компьютере, и вычленить те, которые нужно проанализировать более тщательно.
Исследование LNK-файлов с помощью Belkasoft Evidence Center
Так как фактически все примеры, данные выше, подготовлены с помощью Belkasoft Evidence Center, описывать ее дополнительно нет смысла.
Исследование LNK-файлов с помощью AXIOM
AXIOM — одна из топовых утилит для компьютерной криминалистики в настоящее время. Собранная программой информация о файлах ярлыков, находящихся в исследуемой системе Windows, сгруппирована в разделе Operating system:
Значение полей, отображаемое для конкретного ярлыка:
Как видно из скриншота выше, в обнаруженный программой ярлык интегрирована команда для запуска PowerShell и набор инструкций, которые исполнятся, когда пользователь кликнет на ярлык. Подобный ярлык требует от исследователя дополнительного анализа.
Исследование LNK-файлов с помощью LECmd
Комплект утилит «Eric Zimmerman’s tools» хорошо зарекомендовал себя при расследовании инцидентов. В этот комплект входит утилита командной строки LECmd, которая предназначена для анализа LNK-файлов.
Объем данных об анализируемом LNK-файле, которые выводит эта утилита, просто поражает.
Информация, извлеченная из анализируемого LNK-файла утилитой LECmd:
Выводы
LNK-файлы — один из старейших артефактов Windows, который известен компьютерным криминалистам. Тем не менее, он используется в хакерских атаках, и о его исследовании не стоит забывать при расследовании инцидентов информационной безопасности.
Огромное число программ для компьютерной криминалистики поддерживают, в той или иной степени, анализ этого артефакта Windows. Однако не все из них отображают содержимое полей ярлыков, анализ которых необходим при расследовании. Поэтому стоит аккуратно подходить к выбору программных инструментов, которые попадут в набор специалиста, расследующего инциденты.
Расширение lnk как убрать
Когда пользователь пытается открыть файл, который не имеет ассоциации, Windows предложит указать программу, с помощью которой можно это сделать. Но пользователь уверен, что ему по почте прислали именно документ в формате Word и пытается открыть файл программой Word.
В результате все файлы имеющие такое же расширение ассоциируются с этой программой.
Если в Windows появилась ассоциация ярлыков, то все ярлыки станут неработоспособными и программы с рабочего стола открываться не будут.
Восстановить ассоциацию файлов lnk можно через реестр путем удаления соответствующей записи.
Открываем окно «Выполнить» сочетанием клавиш «Win+R» и вводим команду «regedit»
В реестре переходим по ветке:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts
Изменить ассоциацию файла, неправильно сопоставленного какой-либо программе, можно без вмешательства в реестр.
Изменение ассоциации файла программе настраивается через элемент Панели управления «Программы по-умолчанию».
Для этого откроем панель управления «Пуск / Панель управления» и выберем элемент «Программы по умолчанию»
Выбираем пункт «Сопоставление типов файлов или протоколов конкретным программам»
Выбираем расширение файла, для которого необходимо изменить ассоциацию, и нажимаем кнопку «Изменить программу»
Указываем программу, при помощи которой необходимо открывать данный файл.
Исправить данную ситуацию поможет правка системного реестра. Открыть реестр можно следующим способом: через горячую клавишу Win + R, запустить окно «Выполнить», либо кто не умеет пользоваться горячими кнопками, то через меню «Пуск»->»Выполнить». В открывшемся окне ввести regedit и нажать ОК.
Далее в окне навигации по реестру идем по следующему пути: КомпьютерHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.lnkOpenWithList и ищем раздел UserChoice. Удалите его со всем содержимым и перезагрузите компьютер.
Здравствуйте, друзья. Хакеры постоянно придумывают новые способы потрепать нервы пользователей ПК. Но если вооружиться знаниями, то можно смело противостоять даже самым опасным угрозам. Сегодня я поделюсь с Вами способами, как удалить вирус LNK. Возможно, Вы слышите его название впервые, но, уверен, что сталкиваться с ним уже приходилось.
Суть проблемы
У этого «троянского коня» есть множество разновидностей: от самых безобидных (наподобие LNK/Agent) до серьезных шпионских скриптов, которые способны глубоко укореняться в системе и воровать Ваши данные.
Первый признак того, что вирус поразил файлы – это появление ярлыков вместо ранее существовавших папок. Стоит только запустить их, и угроза начнет распространяться по компьютеру. Последствия могут быть разными:
Согласитесь, вырисовываются не очень приятные перспективы.
Как бороться с вирусом, создающим ярлыки?
Если «троян» не успел распространиться, то есть, он был вовремя выявлен, и были предприняты меры по его устранению, то уровень угрозы можно считать минимальным. Удалить вирус будет просто. Но чаще всего пользователи начинают кликать по ярлыкам множество раз, способствуя «размножению» вредных элементов.
Хорошо, когда на ПК установлен качественный антивирус, который сможет выявить и устранить LNK Starter самостоятельно. Увы, многие «юзеры» пренебрегают использованием защитного ПО.
Перейдем к рассмотрению методов устранения проблемы. Начнем с универсальных (в этой ситуации) способов.
Полезный контент:
Используем встроенные средства
Для начала стоит сделать все скрытые элементы файловой системы видимыми. Делается это так:
Необходимо разобраться с восстановлением папок. Для этого придется изменить атрибуты, которые установил вирус. Делается это просто:
cd /d БУКВА_ЗАРАЖЕННОГО_ДИСКА:
Здесь может находится скрытая папка вируса, которую необходимо зачистить.
Используем сторонние программы
Если не используете антивирусное ПО на постоянной основе, то лучшим способом устранения «троянов» станет утилита DrWeb Cure It! Она постоянно обновляется и может обезвредить самые новые угрозы, в том числе и jenxcus.
Немного о Дженксус
Jenxcus-h Trj – именно так отображается опасный «троян» в результатах поиска антивирусной программы. Возможны разновидности: VBS (указывает, что скрипт создан на языке Visual Basic), Jenxcus.A и другие. Но суть от этого не меняется.
Данный вредоносный скрипт может попасть на компьютер разными способами: при открытии подозрительного e-mail, распаковке архива, установке неблагонадёжного софта. Вы можете даже не подозревать о заражении. Но с каждой последующей загрузкой Windows троян будет поражать всё больше областей диска. Но самым страшным является то, что «захваченные территории» становятся доступны для хакеров, которые удаленно смогут «шпионить» за Вами, воровать важные данные и т.д.
Обнаружить Дженксус очень непросто. Если его не перехватить в самом начале, то дальше данная проблема может приобрести необратимый характер. И спасёт только форматирование с последующей переустановкой системы.
Выводы
Надеюсь, статья помогла избавиться от вирусов, если нет, то жду ответов в комментариях будем разбираться с проблемой вместе. Нашли другой способ удаления, так же пишите мне буду добавлять сюда. Не забываем делиться в социальных сетях, помогите другим не заразиться или вылечиться от данного вируса.
Как открыть файл LNK Windows 7?
Как открыть файл lnk онлайн?
Файл формата LNK открывается специальными программами. Чтобы открыть данный формат, скачайте одну из предложенных программ.
…
Среди самых популярных программных приложений, с применением которых открывается формат LNK, можно выделить:
Как восстановить файлы lnk?
Что значит формат lnk?
Файлы LNK (также известные как ярлыки к файлам) используются в качестве ссылки (в ОС Windows) на исходный файл. При этом в таком файле-ярлыке содержится тип ярлыка, данные об имени файла, местоположении, программе, которая может открыть этот файл, а также кнопка быстрого доступа (опционально).
Как преобразовать LNK в пдф?
Вот как это работает:
Чем открыть файл Ink?
Существует несколько популярных программ, которые можно использовать для открытия файла INK. Попробуйте использовать одну из трех наиболее распространенных программ: Mimio Ink File, Pantone Reference File или Intkey Startup Configuration File.
Как восстановить файлы EXE?
Восстановить ассоциации приложений (.exe), можно отредактировав реестр Windows. Для этого с помощью горячих клавиш Windows запустите контекстное меню «Выполнить» (Win+R). Далее, в открывшемся окне нужно вписать: regedit и нажать Ок.
Как убрать Тип файла lnk?
Неполадка устраняется установкой утилиты Unassociate File Types для Microsoft Windows. После запуска программы, следует выбрать в списке расширение. lnk и нажать клавишу удаления ассоциации файлов, перезапустив компьютер, открыть файл LNK можно будет привычным способом.
Как вернуть открытие файла по умолчанию?
Войдите в меню «Пуск», выберите «Параметры», далее перейдите в окно «Система», нажмите на раздел «Приложения по умолчанию», а затем выберите настройку «Сброс к рекомендованным значениям по умолчанию». Для сброса сопоставления файловых ассоциаций, нажмите на кнопку «Сбросить».
Как открыть файл с расширением Download?
Некоторые из наиболее популярных программ для открытия файлов DOWNLOAD — Chrome Partial Download File и Mozilla Partial Download File. Просмотрите веб-сайты разработчиков, загрузите одну или несколько из этих программ, затем попробуйте снова открыть файл DOWNLOAD.
Как ярлык превратить в документ?
Способ 1. Преобразование ярлыков в исходные файлы с помощью командной строки
Как избавиться от ярлыка на флешке?
Удаление вируса с флешки с помощью командной строки
Что делать если все значки на рабочем столе стали одинаковыми?
Проблема выглядит следующим образом: ярлыки всех программ и папок выглядят как как ярлык одной программы. Проще говоря, компьютер пытается открывать разные программы какой-то одной программой. … В данном случае на придется восстанавливать ассоциации файлов.
Что делать если на компьютере все программы открываются через одну?
Как исправить открытие всех файлов и ярлыков одной программой?
Какая программа может открывать lnk файлы?
lnk в Блокноте: просто перетащите их в окно Блокнота. Если вы откроете их через диалоговое окно «Открыть», Блокнот откроет исполняемый файл, на который указывает расширение. lnk файл.
Что это за файл — LNK и как его открыть?
lnk — это файлы ярлыков Windows. Это просто указатели в Windows, указывающие на ваши исходные файлы. Dropbox не может переходить по этим ссылкам, поэтому вам нужно поместить исходные файлы в папку Dropbox, чтобы синхронизировать их.
Как использовать файлы LNK?
Файл можно создать в Windows, щелкнув правой кнопкой мыши файл, папку или исполняемую программу и выбрав «Создать ярлык». Файлы LNK обычно используют тот же значок, что и их целевой файл, но добавляют небольшую изогнутую стрелку, чтобы указать, что файл указывает на другое местоположение.
Как восстановить файлы LNK?
Как открыть файлы LNK на Android?
Дважды нажмите на *. lnk, чтобы открыть его.
Что такое судебная экспертиза файлов LNK?
Эксперты-криминалисты используют файлы ярлыков LNK для восстановления метаданных о файлах, к которым недавно осуществлялся доступ, включая файлы, удаленные по истечении времени доступа. В ходе недавнего расследования FireEye Mandiant обнаружил LNK-файлы, которые указывали на то, что злоумышленник получил доступ к файлам, включенным в результаты поиска Windows Explorer.
Как мне преобразовать LNK в нормальный?
Исправить значки ярлыков, измененные на файлы LNK в Windows 7
Что означает файл LNK?
Файлы LNK (ярлыки или файлы ярлыков Windows) обычно представляют собой файлы, которые автоматически создаются ОС Windows всякий раз, когда пользователь открывает их файлы. Эти файлы используются операционной системой для обеспечения быстрого доступа к определенному файлу.
Опасны ли файлы LNK?
Некоторые вредоносные программы устанавливают вредоносные файлы LNK как часть своей полезной нагрузки. Вредные файлы LNK также часто распространяются на зараженных съемных дисках; в таких случаях вредоносные файлы, на которые они ссылаются, скрываются на съемном диске, а файл LNK виден.
Как открыть файлы LNK в Windows?
Открытие файлов LNK в Блокноте: просто перетащите их в окно Блокнота. Если вы откроете их из диалогового окна «Открыть», Блокнот откроет EXE-файл, на который указывает файл LNK.
Где хранятся файлы LNK?
Файлы LNK, созданные Windows, хранятся в папке C: Users AppData Roaming Microsoft Windows Recent.
Пять шагов для открытия файлов INK
Как мне изменить файл с LNK на EXE?
Как конвертировать LNK в EXE
Как удалить ярлык вируса с USB-накопителя?
Как удалить ярлык вируса с флэш-накопителя:
Как изменить и восстановить нарушенные ассоциации типов файлов в Windows 10?
Файловые ассоциации для обычных файлов
Воспользуйтесь пунктом меню «Открыть с помощью». Щелкните правой кнопкой мыши файл, связь с которым необходимо изменить. Из списка предложенных программ выберите приложение, которое вам подходит, или найдите другое. Запустить Панель управления / Программы по умолчанию / Установить ассоциации.
Расширение файла LNK
Оглавление
Мы надеемся, что вы найдете на этой странице полезный и ценный ресурс!
1 расширений и 0 псевдонимы, найденных в базе данных
✅ Windows Shortcut
Другие типы файлов могут также использовать расширение файла .lnk.
По данным Поиск на нашем сайте эти опечатки были наиболее распространенными в прошлом году:
Это возможно, что расширение имени файла указано неправильно?
Мы нашли следующие аналогичные расширений файлов в нашей базе данных:
Если дважды щелкнуть файл, чтобы открыть его, Windows проверяет расширение имени файла. Если Windows распознает расширение имени файла, файл открывается в программе, которая связана с этим расширением имени файла. Когда Windows не распознает расширение имени файла, появляется следующее сообщение:
Windows не удается открыть этот файл:
Чтобы открыть этот файл, Windows необходимо знать, какую программу вы хотите использовать для его открытия.
Если вы не знаете как настроить сопоставления файлов .lnk, проверьте FAQ.
🔴 Можно ли изменить расширение файлов?
Изменение имени файла расширение файла не является хорошей идеей. Когда вы меняете расширение файла, вы изменить способ программы на вашем компьютере чтения файла. Проблема заключается в том, что изменение расширения файла не изменяет формат файла.
Если у вас есть полезная информация о расширение файла .lnk, напишите нам!