четверг, 20 октября 2016 г.

MBRFilter

MBRFilter by Cisco Talos 


   Master Boot Record (MBR) является самой важной структурой диска. Этот сектор создаётся при разбиении диска на разделы. В секторе MBR расположены небольшой код, называемый Master Boot Code (Bootstrap Code), а также сигнатура диска и таблица разделов Partition Table. 
MBR
В конце сектора MBR располагается двухбайтовая структура Boot Signature, указывающая на конец сектора. Она имеет значение 0x55AA. Сигнатура диска — это уникальное число, расположенное по смещению 0x01B8 и позволяющее операционной системе однозначно определить данный диск. Каждый жёсткий диск содержит сектор MBR, но загрузочный код используется только на дисках, имеющих активный первичный раздел.

Вымогатели, перезаписывающие Master Boot Record (MBR), пока мало распространены, но их вредоносная атака может иметь катастрофические последствия для данных, находящихся на жестких дисках ПК. 

Чтобы защитить ПК от этих типов вредоносных программ, Cisco Talos выпустила драйвер MBRFilter для Windows. Он находится в режиме ожидания программ, пытающихся изменить или зашифровать Master Boot Record, и блокирует их. 

Этот MBRFilter блокирует работу только шифровальщиков, изменяющих MBR, но не защищает от обычных шифровальщиков файлов и от комбинированных вроде Petya+Mischa, где второй компонент Mischa запускается, когда не удалось запустить Petya, и шифрует файлы в системе. 


Установка MBRFilter

Для установки MBRFilter, скачайте с представленных внизу страниц х32 или х64-версию MBRFilter, в зависимости от типа вашей ОС.  

После загрузки, извлеките их в папку. Вы увидите два файла, inf-файл, который называется MBRFilter.inf, а сам драйвер - файл MBRfilter.sys. 

Откройте контекстное меню правой кнопкой мыши на файле MBRFilter.inf и выберите там команду "Установить" (Install). 
MBRFilter

После того, как драйвер будет установлен, Windows предложит вам перезагрузить компьютер. 

После перезагрузки компьютера драйвер будет защищать ваш MBR от изменения вредоносами. 

Теперь, если крипто-вымогатель, или другая инфекция, попытаются изменить MBR вашего диска, то драйвер перехватит запрос и блокирует его действия. Будет отображено сообщение, как показано ниже, подтверждающее то, что действия вредоноса заблокированы.
MBRFilter

Ниже можно просмотреть видеоролик, демонстрирующий, что происходит, когда мы пытаемся запустить в системе, где уже установлен MBRFilter, шифровальщики Satana, Petya, и Petya+Mischa.

Всё. Теперь защита MBR обеспечена. 

Удаление MBRFilter

Чтобы удалить MBRFilter, выполните следующие действия:
- Откройте системный редактор реестра. 
- Откройте раздел
HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}
- Удалите строку MBRFilter из раздела реестра UpperFilters (только MBRFilter, т.к. здесь могут быть другие драйверы диска). 
Для этого правым кликом на параметре UpperFilters откройте контекстное меню и выберите пункт Изменить. 
В появившемся окне просто удалите строку MBRFilter и нажмите OK.
- Перезагрузите ПК.

Всё. Теперь MBRFilter отключен и защиты MBR нет. 



Страницы загрузки фильтра:
Официальная: https://github.com/vrtadmin/MBRFilter
Запасная: https://yadi.sk/d/xlOQnHUi3C85yB
Видео-демонстрация от BleepingComputer.com
https://www.youtube.com/watch?v=WO-YFP5EuO4
© Amigo-A (Andrew Ivanov): All blog articles.

3 комментария:

  1. Как удалить его?) не дает флешки загрузочные создавать.

    ОтветитьУдалить
    Ответы
    1. Это есть на официальной странице в файле README.txt
      Чтобы удалить MBRFilter, выполните следующие действия:
      - Удалите строку MBRFilter из раздела реестра UpperFilters (только MBRFilter, т.к. здесь могут быть другие драйверы диска):
      HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}
      Перезагрузите ПК. Доступ в MBR открыт.

      Удалить
    2. Добавил подробную процедуру удаления в статью выше.

      Удалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *