Главная » Компьютерный шпионаж » Защита » Антивирусы и антишпионы » Защита главной загрузочной записи с помощью утилиты MBRFilter

Защита главной загрузочной записи с помощью утилиты MBRFilter

MBRFilter

Как реализовать защиту MBR?

Не для кого не новость, что вирусы со временем становятся все лучше и лучше. Если когда-то вирусы были просто развлечением программистов, сегодня они являются заработком хакеров. С помощью вредоносных программ воруют ценную информацию, создают хорошо окупающие себя ботнеты, ну и конечно же зарабатывают на Винлокерах (вымогателях-шифровальщиках).


Я хорошо помню первые Винлокеры, как они создавались и выкладывались авторами совершенно бесплатно. Кто тогда мог подумать, что на Винлокерах поднимут целую индустрию и они будут такими прибыльными и навороченными.

Хотите знать как я проверяю программы и анализирую вирусы? Начните с правильной установки и настройки виртуальной машины VirtualBox. Вам это понадобится!

Сегодняшние шифровальщики типа Petya и Satana куда круче того, что было когда-то. Сегодня кроме всего прочего они научились заражать главную загрузочную запись MBR. Как это работает, и как от этого защититься я расскажу вам в сегодняшней статье.

Защита MBR

Содержание

  • Предисловие
  • Главная загрузочная запись MBR
  • Как происходит заражение MBR
  • Защита MBR с помощью MBRFilter
    • Скачать MBRFilter
    • Установка MBRFilter
    • Удаление MBRFilter
    • Демонстрация работы MBRFilter

Главная загрузочная запись

Что такое главная загрузочная запись?

MBR — главная загрузочная запись (на английском master boot record) — код и данные, необходимые для последующей загрузки операционной системы, находящиеся в первых физических секторах (обычно в самом первом) жесткого диска или другого устройства хранения информации. Подробнее о MBR можете почитать на Wikipedia.

Так как код MBR выполняется перед самой загрузкой операционной системы, он может стать жертвой вирусов-вымогателей. Вредоносные программы заражающие MBR известны как Буткиты.

Microsoft уже давно пытается решить проблему MBR-вирусов путем реализации криптографической проверки загрузчика в Windows 8 и более новых версиях. Данная функция называется безопасной загрузкой и основывается на Unified Extensible Firmware Interface (UEFI) — современном BIOS.

Проблема заключается в том, что безопасная загрузка работает далеко не на всех компьютерах и не на всех версиях ОС Windows и не поддерживает диски с MBR-разделами. Это говорит о том, что на сегодняшний день огромное количество персональных компьютеров остаются уязвимыми для атак MBR.

MBRFilter

Но на днях ребята из команды Talos которая отвечает за информационную безопасность в компании Cisco Systems выложили бесплатную с открытым исходным кодом утилиту, которая защищает master boot record (главную загрузочную запись) компьютеров на операционной системе Windows от изменения вредоносными программами.

Скачать MBRFilter

Вы можете скачать MBRFilter с Гитаба бесплатно по этой ссылке. А вот альтернативная ссылка для тех у кого проблема с доступом на Гитаб. В архиве версия для 32-бит и 64-бит + исходники.

Как установить MBRFilter

Установка MBRFilter довольно проста. Все что требуется от пользователя это правым кликом мышки на файле вызвать контекстное меню и нажать пункт «Установить» и после этого перегрузить компьютер.

MBRFilterТеперь если какой-нибудь шифровальщик попробует изменить загрузочный сектор, пользователь увидит оповещение о том, что была попытка изменить главную загрузочную запись. На скрине ниже вы можете видеть такое оповещение при запуске вымогателя Петя.

Защита MBRКак удалить MBRFilter

Удаление MBRFilter тоже не проблема, но маленько посложнее. Для этого комбинацией клавиш WIN + R вызываем окно выполнить.

Win-R

И командой «regedit» запускаем Реестр Windows.

regedit

После чего находим эту ветку:

HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}

Правым кликом на параметре UpperFilters вызываем контекстное меню и выбираем пункт изменить. В появившемся окне удаляем строку «MBRFilter» и нажимаем «OK».

Там могут быть и другие записи. Необходимо удалить только эту!

Защита загрузочного сектора

В конце перезагружаем компьютер.

Данную процедуру, точнее удаление, рекомендую делать перед переустановкой системы. А так, после установки утилиты, можете про нее забыть.

Ну вот вроде и все. Теперь читатели сайта спай-софт.нет знают что такое MBR, немного о вирусах-вымогателях Петя и Сатана и о том как защитить MBR. На данный момент это хорошая защита MBR, но это только пока. У хакеров и на это появится свой ответ (решение). Поэтому я рекомендую подписаться на нас в соцсетях, чтобы быть в курсе о всех этих новшествах.

Хотите больше знать о вирусах, изучать их, но не знаете откуда скачать сэмплы? Вам сюда в статью «Где скачать вирусы«, там вы найдете огромною кучу этого добра и познакомитесь с человеком который коллекционирует вирусы моего, а может и вашего детства.

А да, напоследок интересное видео, где вы можете видеть, как вирус Петя заражает систему, и как эта маленькая но с большими я####и программулинка пытается этому противостоять.

Видео: демонстрация работы MBRFilter

Как реализовать защиту MBR? Не для кого не новость, что вирусы со временем становятся все лучше и лучше. Если когда-то вирусы были просто развлечением программистов, сегодня они являются заработком хакеров. С помощью вредоносных программ воруют ценную информацию, создают хорошо окупающие себя ботнеты, ну и конечно же зарабатывают на Винлокерах (вымогателях-шифровальщиках). Я хорошо помню первые Винлокеры, как они создавались и выкладывались авторами совершенно бесплатно. Кто тогда мог подумать, что на Винлокерах поднимут целую индустрию и они будут такими прибыльными и навороченными. Хотите знать как я проверяю программы и анализирую вирусы? Начните с правильной установки и настройки виртуальной машины VirtualBox. Вам это…

Оценка программы MBRFilter

Наша оценка

MBRFilter — маленькая, бесплатная утилита, которая может быть использована для предотвращения записи вредоносными программами в MBR в сектор 0 на всех дисковых устройствах подключенных к системе.

Оценка пользователей: 4.05 ( 15 оценок)

3

  1. khal12

    mbrfilter может конфликтовать с битлокер?

    • Falcon

      Наверно нет. Ведь MBRFilter не делает никаких модификаций в MBR а только защищает его от записи и изменения, типа ридонли.

  2. l1r

    Установил, полёт нормальный.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *