MBRFilter by Cisco Talos
Master Boot Record (MBR) является самой важной структурой диска. Этот сектор создаётся при разбиении диска на разделы. В секторе MBR расположены небольшой код, называемый Master Boot Code (Bootstrap Code), а также сигнатура диска и таблица разделов Partition Table.
В конце сектора MBR располагается двухбайтовая структура Boot Signature, указывающая на конец сектора. Она имеет значение 0x55AA. Сигнатура диска — это уникальное число, расположенное по смещению 0x01B8 и позволяющее операционной системе однозначно определить данный диск. Каждый жёсткий диск содержит сектор MBR, но загрузочный код используется только на дисках, имеющих активный первичный раздел.
Вымогатели, перезаписывающие Master Boot Record (MBR), пока мало распространены, но их вредоносная атака может иметь катастрофические последствия для данных, находящихся на жестких дисках ПК.
Чтобы защитить ПК от этих типов вредоносных программ, Cisco Talos выпустила драйвер MBRFilter для Windows. Он находится в режиме ожидания программ, пытающихся изменить или зашифровать Master Boot Record, и блокирует их.
Этот MBRFilter блокирует работу только шифровальщиков, изменяющих MBR, но не защищает от обычных шифровальщиков файлов и от комбинированных вроде Petya+Mischa, где второй компонент Mischa запускается, когда не удалось запустить Petya, и шифрует файлы в системе.
Установка MBRFilter
Для установки MBRFilter, скачайте с представленных внизу страниц х32 или х64-версию MBRFilter, в зависимости от типа вашей ОС.
После загрузки, извлеките их в папку. Вы увидите два файла, inf-файл, который называется MBRFilter.inf, а сам драйвер - файл MBRfilter.sys.
Откройте контекстное меню правой кнопкой мыши на файле MBRFilter.inf и выберите там команду "Установить" (Install).
После того, как драйвер будет установлен, Windows предложит вам перезагрузить компьютер.
После перезагрузки компьютера драйвер будет защищать ваш MBR от изменения вредоносами.
Теперь, если крипто-вымогатель, или другая инфекция, попытаются изменить MBR вашего диска, то драйвер перехватит запрос и блокирует его действия. Будет отображено сообщение, как показано ниже, подтверждающее то, что действия вредоноса заблокированы.
Ниже можно просмотреть видеоролик, демонстрирующий, что происходит, когда мы пытаемся запустить в системе, где уже установлен MBRFilter, шифровальщики Satana, Petya, и Petya+Mischa.
Всё. Теперь защита MBR обеспечена.
Удаление MBRFilter
Чтобы удалить MBRFilter, выполните следующие действия:
- Откройте системный редактор реестра.
- Откройте раздел
HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}
- Удалите строку MBRFilter из раздела реестра UpperFilters (только MBRFilter, т.к. здесь могут быть другие драйверы диска).
Для этого правым кликом на параметре UpperFilters откройте контекстное меню и выберите пункт Изменить.
В появившемся окне просто удалите строку MBRFilter и нажмите OK.
- Перезагрузите ПК.
Всё. Теперь MBRFilter отключен и защиты MBR нет.
Страницы загрузки фильтра:
Официальная новая: https://www.talosintelligence.com/mbrfilter
Официальная старая: https://github.com/vrtadmin/MBRFilter
Запасная: https://yadi.sk/d/xlOQnHUi3C85yB
© Amigo-A (Andrew Ivanov): All blog articles.Видео-демонстрация от BleepingComputer.com
https://www.youtube.com/watch?v=WO-YFP5EuO4