Защита на главния зареждащ запис с MBRFilter

Как да внедрим MBR защита?

За никого не е новина, че вирусите стават все по-добри и по-добри с времето. Ако някога вирусите бяха просто забавление за програмистите, днес те са доход на хакерите. С помощта на злонамерен софтуер се краде ценна информация, създават се ботнет мрежи, които се отплащат добре и, разбира се, правят пари от Winlockers (шифроващи програми за рансъмуер).

Днешният ransomware като Petya и Satana е много по-готин от преди. Днес, наред с други неща, те се научиха как да заразят MBR главния зареждащ запис. Как работи и как да се предпазите от него, ще ви разкажа в днешната статия.

MBR защита

  • Предговор
  • Главен запис за стартиране на MBR
  • Как се заразява MBR
  • MBR защита с MBRFilter
  • Изтеглете MBRFilter
  • Инсталиране на MBRFilter
  • Премахване на MBRFilter
  • Демонстрация на MBRFilter

Главен запис за зареждане

Какво е главен зареждащ запис?

Тъй като MBR кодът се изпълнява точно преди зареждането на операционната система, той може да стане жертва на рансъмуер вируси. Зловреден софтуер, който заразява MBR, е известен като Bootkits.

Microsoft се опитва да реши проблема с MBR вирусите от дълго време чрез внедряване на криптографска проверка на буутлоудъра в Windows 8 и по-нови версии. Тази функция се нарича сигурно зареждане и се основава на Unified Extensible Firmware Interface (UEFI) – модерния BIOS.

Проблемът е, че защитеното зареждане не работи на всички компютри и не на всички версии на Windows OS и не поддържа дискове с MBR дялове. Това предполага, че днес огромен бройперсоналните компютри остават уязвими на MBR атаки.

Но онзи ден момчетата от екипа на Talos, който отговаря за информационната сигурност в Cisco Systems, публикуваха безплатна помощна програма с отворен код, която защитава главния запис за зареждане (главен запис за зареждане) на компютри с Windows от модифициране от зловреден софтуер.

Изтеглете MBRFilter

Как да инсталирате MBRFilter

Инсталирането на MBRFilter е доста лесно. Всичко, което се изисква от потребителя, е да щракнете с десния бутон върху файла, за да отворите контекстното меню и да щракнете върху елемента "Инсталиране" и след това да рестартирате компютъра.

запис
Сега, ако някой рансъмуер се опита да промени сектора за зареждане, потребителят ще види известие, че е направен опит за промяна на главния запис за зареждане. На екранната снимка по-долу можете да видите такъв сигнал при стартиране на рансъмуера Petya.

защита
Как да деинсталирате MBRFilter

Премахването на MBRFilter също не е проблем, но малко по-трудно. За да направите това, използвайте клавишната комбинация WIN + R, за да отворите прозореца Run.

защита

И с командата "regedit" стартираме регистъра на Windows.

зареждащ

След това намираме този клон:

Щракнете с десния бутон върху параметъра UpperFilters, за да извикате контекстното меню и да изберете елемента за редактиране. В прозореца, който се показва, изтрийте реда "MBRFilter" и щракнете върху "OK".

MBRFilter

Накрая рестартираме компютъра.

Тази процедура, или по-скоро премахване, препоръчвам да направите, преди да преинсталирате системата. И така, след като инсталирате помощната програма, можете да забравите за нея.

Искате да знаете повече за вирусите, да ги изучавате, но не знаете откъде да изтеглите мостри? Вие сте тук в статията „Къде да изтегля вируси“, там ще намерите огромна купчина от тази доброта и ще срещнете човек, който събира вируси от моя, а може би и от вашиядетство.

Видео: Демонстрация на MBRFilter

MBRFilter оценка

Нашата оценка

MBRFilter е малка безплатна помощна програма, която може да се използва за предотвратяване на злонамерен софтуер да записва MBR в сектор 0 на всички дискови устройства, свързани към системата.