1. Головний завантажувальний запис
2. MBRFilter
3. завантажити MBRFilter
4. Як встановити MBRFilter
5. Як видалити MBRFilter

Як реалізувати захист MBR?

Ні для кого не новина, що віруси з часом стають все краще і краще. Якщо колись віруси були просто розвагою програмістів, сьогодні вони є заробітком хакерів. За допомогою шкідливих програм крадуть цінну інформацію, створюють добре окупають себе ботнети, ну і звичайно ж заробляють на Вінлокерах (здирників-шифрувальники).

Я добре пам'ятаю перші Вінлокери, як вони створювалися і викладалися авторами абсолютно безкоштовно. Хто тоді міг подумати, що на Вінлокерах піднімуть цілу індустрію і вони будуть такими прибутковими і навороченими.

Сьогоднішні шифрувальники типу Petya і Satana куди крутіше того, що було колись. Сьогодні крім усього іншого вони навчилися заражати головний завантажувальний запис MBR. Як це працює, і як від цього захиститися я розповім вам в сьогоднішній статті.

зміст

• Передмова
• Головний завантажувальний запис MBR
• Як відбувається зараження MBR
• Захист MBR за допомогою MBRFilter
  • завантажити MBRFilter
  • установка MBRFilter
  • видалення MBRFilter
  • Демонстрація роботи MBRFilter

Головний завантажувальний запис

Що таке головний завантажувальний запис?

MBR - головний завантажувальний запис (англійською master boot record) - код і дані, необхідні для подальшого завантаження операційної системи, що знаходяться в перших фізичних секторах (зазвичай в найпершому) жорсткого диска або іншого пристрою зберігання інформації. Детальніше про MBR можете почитати на Wikipedia .

Так як код MBR виконується перед самою завантаженням операційної системи, він може стати жертвою вірусів-вимагачів. Шкідливі програми заражають MBR відомі як буткіта.

Microsoft вже давно намагається вирішити проблему MBR-вірусів шляхом реалізації криптографічного перевірки завантажувача в Windows 8 і більше нових версіях. Ця функція називається безпечної завантаженням і грунтується на Unified Extensible Firmware Interface (UEFI) - сучасному BIOS.

Проблема полягає в тому, що безпечна завантаження працює далеко не на всіх комп'ютерах і не на всіх версіях ОС Windows і не підтримує диски з MBR-розділами. Це говорить про те, що на сьогоднішній день величезна кількість персональних комп'ютерів залишаються уразливими для атак MBR.

MBRFilter

Але днями хлопці з команди Talos яка відповідає за інформаційну безпеку в компанії Cisco Systems виклали безкоштовну з відкритим вихідним кодом утиліту, яка захищає master boot record (головний завантажувальний запис) комп'ютерів на операційній системі Windows від зміни шкідливими програмами.

завантажити MBRFilter

Ви можете завантажити MBRFilter з Гітаба безкоштовно по цій засланні . А ось альтернативна посилання для тих у кого проблема з доступом на Гітаб. В архіві версія для 32-біт і 64-біт + вихідні.

Як встановити MBRFilter

Установка MBRFilter досить проста. Все що потрібно від користувача це правим кліком мишки на файлі викликати контекстне меню і натиснути пункт «Встановити» та спробувати перезавантажити комп'ютер.

Тепер якщо який-небудь шифрувальник спробує змінити завантажувальний сектор, користувач побачить сповіщення про те, що була спроба змінити головний завантажувальний запис. На скрині нижче ви можете бачити таке оприлюднення при запуску вимагача Петя.

Як видалити MBRFilter

Видалення MBRFilter теж не проблема, але маленько складніше. Для цього комбінацією клавіш WIN + R викликаємо вікно виконати.

І командою «regedit» запускаємо Реєстр Windows.

Після чого знаходимо цю гілку:

HKLM \ System \ CurrentControlSet \ Control \ Class \ {4d36e967-e325-11ce-bfc1-08002be10318}

Правим кліком на параметрі UpperFilters викликаємо контекстне меню і вибираємо пункт змінити. У вікні видаляємо рядок «MBRFilter» і натискаємо «OK».

Там можуть бути й інші записи. Необхідно видалити тільки цю!

В кінці перезавантажуємо комп'ютер.

Дану процедуру, точніше видалення, рекомендую робити перед перевстановлення системи. А так, після установки утиліти, можете про неї забути.

Ну ось ніби і все. Тепер читачі сайту спай-софт.нет знають що таке MBR, трохи про віруси-здирників Петя і Сатана і про те як захистити MBR. На даний момент це хороший захист MBR, але це тільки поки. У хакерів і на це з'явиться своя відповідь (рішення). Тому я рекомендую підписатися на нас у соцмережах, щоб бути в курсі про всіх цих нововведеннях.

Хочете більше знати про віруси, вивчати їх, але не знаєте звідки скачати семпли? Вам сюди до статті « Де скачати віруси «, Там ви знайдете огромною купу цього добра і познайомитеся з людиною який колекціонує віруси мого, а може і вашого дитинства.

А так, наостанок цікаве відео, де ви можете бачити, як вірус Петя заражає систему, і як ця маленька але з великими я #### і программулінка намагається цьому протистояти.

Відео: демонстрація роботи MBRFilter