USD 65.99 ЕВРО 74.9

Бесплатный инструмент защищает от атак главную загрузочную запись ПК

Экономика

Инструмент действует как системный драйвер и защищает загрузочную запись от программ-вымогателей и других вредоносных программ.


 
Команда Cisco Systems Talos разработала инструмент с открытым исходным кодом, который может защитить master boot record (главную загрузочную запись) компьютеров Windows от изменения вредоносными программами.
 
Инструмент, называемый MBRFilter, функционирует как подписанный драйвер системы и устанавливает сектор 0 диска в состояние только для чтения. Он доступен как для 32-битных, так и для 64-битных версий Windows, а его исходный код был опубликован на GitHub.
 
Главная загрузочная запись (MBR) состоит из исполняемого кода, который хранится в первом секторе (сектор 0) жесткого диска и запускает загрузчик операционной системы. MBR также содержит информацию о разделах диска и их файловых системах.
 
Так как код MBR выполняется перед самой ОС, он может стать жертвой вредоносных программ, пытающихся получить фору перед антивирусными программами. Вредоносные программы, заражающие MBR, чтобы скрыть себя от антивирусных программ, исторически известны как буткиты (руткиты уровня загрузки).
 
Microsoft пыталась решить проблему буткитов путем реализации криптографической проверки загрузчика в Windows 8 и более поздних версиях. Эта функция называется безопасной загрузкой и базируется на Unified Extensible Firmware Interface (UEFI) — современном BIOS.
 
Проблема заключается в том, что безопасная загрузка не работает на всех компьютерах, на всех версиях Windows, и не поддерживает диски с MBR-разделами. Это означает, что до сих пор большое количество компьютеров оставались уязвимыми для атак MBR.
 
Совсем недавно авторы программ-вымогателей оценили потенциал для злоупотребления MBR в своих атаках. Например, программа-вымогатель Petya, о которой стало известно в марте, заменяет MBR вредоносным кодом, который шифрует раздел с главной файловой таблицей (MFT) при перезагрузке компьютера.
 
MFT представляет собой специальный файл на разделах NTFS, который содержит информацию о любом другом файле: имя, размер и размещение на секторах жесткого диска. Шифрование MFT делает весь системный раздел непригодным для использования, и не позволяет пользователям использовать компьютер.
 
Вторая программа-вымогатель, нацеленная на MBR, появилась в этом году. Она называется Satana. Она не шифрует MFT, но шифрует сам исходный код MBR, заменяя его своим собственным кодом, который отображает сообщение с требованием выкупа.
 
Третья программа-вымогатель, которая изменяет MBR, называется HDDCrypter. Некоторые исследователи считают, что она является предшественником Petya и Satana.
 
«MBRFilter — простой фильтр диска на основе драйверов Microsoft diskperf и classpnp», говорят исследователи Cisco Talos в своем блоге. «Он может быть использован для предотвращения записи вредоносными программами в сектор 0 на всех дисковых устройствах, подключенных к системе. После установки, система должна быть загружена в безопасном режиме для того, чтобы Сектор 0 диска был доступен для модификации».