Защита главной загрузочной записи с помощью утилиты MBRFilter

MBRFilter

Как реализовать защиту MBR?

Не для кого не новость, что вирусы со временем становятся все лучше и лучше. Если когда-то вирусы были просто развлечением программистов, сегодня они являются заработком хакеров. С помощью вредоносных программ воруют ценную информацию, создают хорошо окупающие себя ботнеты, ну и конечно же зарабатывают на Винлокерах (вымогателях-шифровальщиках).


Я хорошо помню первые Винлокеры, как они создавались и выкладывались авторами совершенно бесплатно. Кто тогда мог подумать, что на Винлокерах поднимут целую индустрию и они будут такими прибыльными и навороченными.

Хотите знать как я проверяю программы и анализирую вирусы? Начните с правильной установки и настройки виртуальной машины VirtualBox. Вам это понадобится!

Сегодняшние шифровальщики типа Petya и Satana куда круче того, что было когда-то. Сегодня кроме всего прочего они научились заражать главную загрузочную запись MBR. Как это работает, и как от этого защититься я расскажу вам в сегодняшней статье.

Защита MBR

Содержание

  • Предисловие
  • Главная загрузочная запись MBR
  • Как происходит заражение MBR
  • Защита MBR с помощью MBRFilter
    • Скачать MBRFilter
    • Установка MBRFilter
    • Удаление MBRFilter
    • Демонстрация работы MBRFilter

Главная загрузочная запись

Что такое главная загрузочная запись?

MBR — главная загрузочная запись (на английском master boot record) — код и данные, необходимые для последующей загрузки операционной системы, находящиеся в первых физических секторах (обычно в самом первом) жесткого диска или другого устройства хранения информации. Подробнее о MBR можете почитать на Wikipedia.

Так как код MBR выполняется перед самой загрузкой операционной системы, он может стать жертвой вирусов-вымогателей. Вредоносные программы заражающие MBR известны как Буткиты.

Microsoft уже давно пытается решить проблему MBR-вирусов путем реализации криптографической проверки загрузчика в Windows 8 и более новых версиях. Данная функция называется безопасной загрузкой и основывается на Unified Extensible Firmware Interface (UEFI) — современном BIOS.

Проблема заключается в том, что безопасная загрузка работает далеко не на всех компьютерах и не на всех версиях ОС Windows и не поддерживает диски с MBR-разделами. Это говорит о том, что на сегодняшний день огромное количество персональных компьютеров остаются уязвимыми для атак MBR.

MBRFilter

Но на днях ребята из команды Talos которая отвечает за информационную безопасность в компании Cisco Systems выложили бесплатную с открытым исходным кодом утилиту, которая защищает master boot record (главную загрузочную запись) компьютеров на операционной системе Windows от изменения вредоносными программами.

Скачать MBRFilter

Вы можете скачать MBRFilter с Гитаба бесплатно по этой ссылке. А вот альтернативная ссылка для тех у кого проблема с доступом на Гитаб. В архиве версия для 32-бит и 64-бит + исходники.

Как установить MBRFilter

Установка MBRFilter довольно проста. Все что требуется от пользователя это правым кликом мышки на файле вызвать контекстное меню и нажать пункт «Установить» и после этого перегрузить компьютер.

MBRFilterТеперь если какой-нибудь шифровальщик попробует изменить загрузочный сектор, пользователь увидит оповещение о том, что была попытка изменить главную загрузочную запись. На скрине ниже вы можете видеть такое оповещение при запуске вымогателя Петя.

Защита MBRКак удалить MBRFilter

Удаление MBRFilter тоже не проблема, но маленько посложнее. Для этого комбинацией клавиш WIN + R вызываем окно выполнить.

Win-R

И командой «regedit» запускаем Реестр Windows.

regedit

После чего находим эту ветку:

HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}

Правым кликом на параметре UpperFilters вызываем контекстное меню и выбираем пункт изменить. В появившемся окне удаляем строку «MBRFilter» и нажимаем «OK».

Там могут быть и другие записи. Необходимо удалить только эту!

Защита загрузочного сектора

В конце перезагружаем компьютер.

Данную процедуру, точнее удаление, рекомендую делать перед переустановкой системы. А так, после установки утилиты, можете про нее забыть.

Ну вот вроде и все. Теперь читатели сайта спай-софт.нет знают что такое MBR, немного о вирусах-вымогателях Петя и Сатана и о том как защитить MBR. На данный момент это хорошая защита MBR, но это только пока. У хакеров и на это появится свой ответ (решение). Поэтому я рекомендую подписаться на нас в соцсетях, чтобы быть в курсе о всех этих новшествах.

Хотите больше знать о вирусах, изучать их, но не знаете откуда скачать сэмплы? Вам сюда в статью «Где скачать вирусы«, там вы найдете огромною кучу этого добра и познакомитесь с человеком который коллекционирует вирусы моего, а может и вашего детства.

А да, напоследок интересное видео, где вы можете видеть, как вирус Петя заражает систему, и как эта маленькая но с большими я####и программулинка пытается этому противостоять.

Видео: демонстрация работы MBRFilter
https://www.youtube.com/watch?v=nLyOi75Wu3A

Оценка программы MBRFilter

Наша оценка

MBRFilter — маленькая, бесплатная утилита, которая может быть использована для предотвращения записи вредоносными программами в MBR в сектор 0 на всех дисковых устройствах подключенных к системе.

User Rating: 3.91 ( 20 votes)
ВКонтакте
OK
Telegram
WhatsApp
Viber

15 комментариев

  1. khal12

    mbrfilter может конфликтовать с битлокер?

    • Falcon

      Наверно нет. Ведь MBRFilter не делает никаких модификаций в MBR а только защищает его от записи и изменения, типа ридонли.

  2. l1r

    Установил, полёт нормальный.

  3. Сергей

    Полезная утилита

  4. София

    Блин, страшно. Вирусы скоро из BIOS начнут вылазить на материнскую плату.

  5. Анатолий

    Т.е если не удалить ветку в регистре то и винду не переустановишь?) А если слетело чего в винде, как тогда?

  6. Борис

    А почему 360 Total Security реагирует на папку 32.zip и пишет, что она содержит опасный вирус ?

  7. Юрий

    После установки mbr filter перестают работать usb-накопители (Win7x64). У кого нибудь есть такая проблема?

    • Семён

      Есть, и насколько я понимаю только на 7 х64. Что с этим делать — пока непонятно.

  8. Sametz

    Все хорошо, только вот компьютер с Windows XP теперь выключается только с кнопки — экран «Завершение работы Windows» провисел часа полтора, пока не надоел.
    Это глюк, фича, или особенности работы с данной конкретной ОС?

  9. Николай

    Подтверждаю. После установки Mbrfilter компьютер не выключатся, только кнопкой питание удерживать более 4 сек.

  10. Джо Неуловимый

    Ангалогичная проблема с Windows XP — нет возможности корректно выключить или перезагрузить компьютер, то зависает, т ов BSOD вываливается.. На компах с 7-кой такой проблемы нет.

  11. karma

    Под windows xp сегодня можно найти только уязвимости, софта нормального уже давно нет

  12. Семён

    После перезагрузки пропала возможность вставлять флешки и другие съёмные носители — комп просто не видит их и не отображает соответствующие диски в проводнике.

  13. Вит

    Вроде все ок! Только флешки перестают читаться!!!!!!!!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *